- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
网络存储的带宽优化与保护
为了覆盖更广阔的市场区域,获得更高的利润,企业的成长总是直接表现为分支机构的增长;同时,为了实现更好的业务连续性,企业也必须通过异地数据备份等手段保证日常业务的平稳处理,并在灾害发生后及时恢复。面对类似的不断发展的应用需求,将存储技术与网络结合是业界必然的选择:基于广域网络(WAN)的存储应用能够大大减少空间距离给业务带来的诸多不便,实现广泛的连接和覆盖。
然而,在实际应用中,网络存储的部署还必须面对并解决两个关键问题:带宽和安全。存储应用(其实是所有应用)的完成总是有特定的时间要求,基于网络的实现则转换为对网络带宽的需求,要保证相关任务的及时完成,就必须为其提供必要且足够的网络带宽;另一方面,企业的信息(数据)资源直接关系到其核心竞争力,是企业最重要的财富,在任何条件下都应该得到适当的保护。
由于公共网络的安全性无法得到保障,企业往往只能租用专有线路来部署相关网络存储应用。随着业务的不断发展,逐渐丰富的应用对网络带宽也有了更高的要求,而租用专线的昂贵费用将企业置于两难的境地:不提高专线的带宽将影响业务的发展;提高专线带宽的费用又过于昂贵,将大量消耗企业的新增利润。
在此情形下,使用基于数据压缩的网络带宽优化技术将在很大程度上缓解数据传输的压力。基于RFC 3173定义的IPComp协议架构,通过对IP报文载荷的压缩,一般能够获得约2:1的压缩比(特定应用的压缩比与被压缩数据相关)。使用压缩后,报文减小到原来的一半,相应的,对网络带宽的需求也就减少了50%;网络带宽不变时将能够传输二倍的原始数据。在一般网络系统中,数据压缩有着非常广泛和成熟的应用,以Cisco为代表的主要网络设备厂商都提供了对基于LZS算法的数据压缩的支持。
图1
另一方面,由于租用专线的价格过于昂贵,使用基于公共互联网的IPsec VPN是很好的替代方案:IPsec VPN直接基于普通的公共网络,通过加密隧道在两个站点间建立可信连接。与专线相比,基于普通互联网接入IPsec VPN不会增加额外的网络成本,相同的支出将可以获得高得多的带宽。而且,IPsec VPN提供了更好的灵活性,当分支机构进一步增加时,不需要重新添加、部署新的网络线路,直接通过软件的策略配置即可完成与新分支机构的可靠连接。
但是,由于公共互联网络固有的安全缺陷,为了提供可靠的身份认证、保护数据的完整性和机密性、抵御包括各种可能的黑客攻击,IPsec VPN的构建引入了非常完善而繁复的安全协议,并需要对所传输的数据进行复杂的加密处理及封装。传统的IPsec VPN部署多依赖独立的安全网关或特定网络设备(路由器、防火墙等)的IPsec VPN模块实现。除了额外的设备成本,IPsec VPN的部署、配置和维护都比较复杂,通常都需要由具备必要安全知识的专业人员完成。而且,由于加密等安全处理需要占用大量的CPU资源,高性能的IPsec VPN设备都需要使用特殊的安全加速模块;同时,复杂的IPsec协议处理往往会在报文的传输中引入较大的时延,也可能因此造成某些存储应用无法正常进行或完成。
为此,作为网络安全和存储优化市场长期以来的领导者,Hifn创造性地提出了FlowThrough安全处理架构,并基于成熟的芯片技术,推出了Express DS4100多功能网卡,为网络存储厂商提供了一种配置简便、能够同时实现带宽优化和IPsec VPN的解决方案。
图2
Express DS4100多功能网卡通过集成Hifn FlowThrough 8450安全处理器和Intel 82576网卡芯片,以标准小尺寸(半高半长)PCIe板卡提供双千兆接口(可选的光纤或RJ45铜接口),能够以4Gb/s的线速完成带宽优化(压缩)和保护(IPsec VPN),并能够自动管理基于网络的自动密钥协商(IKE),从而将带宽优化和保护简化为最少的策略配置,使复杂的安全和压缩处理的细节对用户透明。同时,凭借卓越的技术设计,Express DS4100的带宽优化及保护处理引入的时延仅约4.5us,不会给应用带来任何阻碍。
只需要以Express DS4100替代普通的以太网卡,客户的可用带宽就将增长约一倍,而无需添加任何额外设备或支付更多的线路租用费用;同时,简便的IPsec VPN部署将使用户彻底摆脱租用线路的种种限制,为业务的快速增长提供完备的基础支持。
作者:杨洋 Hifn公司中国区高级现场应用工程师 来源:电子工程专辑