保護(hù)邊緣 5G 專網(wǎng)和應(yīng)用的安全面臨著諸多挑戰(zhàn)。當(dāng)面臨基于 AI 和 ML 的復(fù)雜攻擊活動(dòng)時(shí)，應(yīng)作出實(shí)時(shí)響應(yīng)。

派拓網(wǎng)絡(luò)的安全平臺(tái)多年來一直在融合 ML 與 AI 技術(shù)突破，以確保實(shí)時(shí) ML 能力和 AI 驅(qū)動(dòng)的事件響應(yīng)都是自主的。

NVIDIA 團(tuán)隊(duì)與派拓網(wǎng)絡(luò)團(tuán)隊(duì)聯(lián)合打造智能流量卸載（ITO）的目標(biāo)非常明確——使任何企業(yè)都能在保證安全、性能和效率的前提下?lián)肀?5G。我們將該 ITO 創(chuàng)建為一個(gè)基礎(chǔ)解決方案，幫助現(xiàn)代企業(yè)建立快速、安全的 5G 專網(wǎng)基礎(chǔ)設(shè)施。

數(shù)據(jù)處理單元（DPU）是邊緣計(jì)算 AI 和 ML 基礎(chǔ)設(shè)施、超大規(guī)模電信云以及任何提供 IT、OT 或 IoT 網(wǎng)絡(luò)與服務(wù)的云中的關(guān)鍵組件。企業(yè)客戶可以使用 ITO 擴(kuò)展安全功能并將防火墻總吞吐量提高至少 5 倍。

我們正在為 ITO 帶來多項(xiàng)改進(jìn)，進(jìn)而提供更多的選擇、部署的簡(jiǎn)易性和更高的性能。這些改進(jìn)包括：

新增對(duì) NVIDIA BlueField-3 DPU 的支持

具有第 3 層路由功能的擴(kuò)展部署模式

基于網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的卸載

靜態(tài)和動(dòng)態(tài)路由功能提供了更多部署選項(xiàng)，而基于 NAT 的卸載功能則可以幫助確保互聯(lián)網(wǎng)周邊的安全，以保護(hù)終端用戶身份，同時(shí)卸載流量。

ITO 在 NVIDIA BlueField-3 上可用

除了集成至現(xiàn)有 NVIDIA BlueField-2 DPU，我們還將產(chǎn)品范圍擴(kuò)大至包括對(duì) NVIDIA BlueField-3 DPU 的支持。

我們的 ITO 解決方案通過 NVIDA BlueField DPU為派拓網(wǎng)絡(luò)的 VM 系列新一代虛擬防火墻（NGFW）提供加速，可大幅提高吞吐量，同時(shí)顯著降低基礎(chǔ)設(shè)施成本。

ITO 增強(qiáng)選項(xiàng)：L3 支持

我們?cè)谕瞥?ITO 時(shí)，支持 vWire 防火墻插入模式。這意味著防火墻不執(zhí)行任何交換或路由功能，而只是充當(dāng)線纜中的塊。這對(duì)于不需要路由或切換的特定環(huán)境，或者防火墻從單個(gè) L3 域獲取所有流量的情況很有幫助。

全新第 3 層模式真正擴(kuò)展了在數(shù)據(jù)中心內(nèi)利用安全解決方案的能力，可以依靠防火墻將流量交換、發(fā)送至網(wǎng)絡(luò)域。

圖 1 顯示了數(shù)據(jù)包流在第 3 層模式下的工作原理。

圖 1. L3 中的數(shù)據(jù)包流

在圖 1 中，數(shù)據(jù)包流具有以下特征：

在 L3 模式配置接口 e1/1 和 e1/2。

VR1 配置了到 5G 第 3 層路由器或 UPF 以及到互聯(lián)網(wǎng)對(duì)等路由器的靜態(tài)或動(dòng)態(tài)路由。

支持標(biāo)記和未標(biāo)記的流量。路由器和 DPU 或 NIC 支持 access 或 trunk 模式。

第 3 層模式的數(shù)據(jù)包流程如下：

數(shù)據(jù)包從 5G UPF（第 3 層路由器）發(fā)送至第 3 層 Leaf/路由器。

數(shù)據(jù)包到達(dá)連接到 DPU 和 SmartNIC PF0 的路由器端口 PA1 時(shí)，將被編程以在數(shù)據(jù)包中添加 vlanX 標(biāo)記。

數(shù)據(jù)包到達(dá) DPU 端口 pf0vf0，無論是否移除 VLAN，它們都會(huì)被傳送到 VM 系列防火墻。

該防火墻在第 3 層模式下運(yùn)行。它會(huì)找到數(shù)據(jù)包的下一跳及其 MAC 地址。

防火墻根據(jù)新的目標(biāo) MAC 地址和 vlanY（如需要），通過 gRPC 更新 DPU 和 SmartNIC。

帶 vlanY 的標(biāo)記數(shù)據(jù)包從 DPU 和 SmartNIC 端口 PF1 到達(dá)路由器端口 PA2。

如果數(shù)據(jù)包未標(biāo)記，路由器端口 PA2 可添加 vlanY 標(biāo)記。

數(shù)據(jù)包被發(fā)送至下一跳地址并傳送至互聯(lián)網(wǎng)對(duì)端設(shè)備。在使用動(dòng)態(tài)路由的情況下，如果有任何路由更新，VM 系列防火墻都會(huì)用新的下一跳 MAC 地址更新 DPU。

ITO 增強(qiáng)選項(xiàng)：對(duì) vWire 和 L3 的 NAT 支持

通常，在 5G 部署和某些超大規(guī)模企業(yè)環(huán)境中，PAN VM 系列虛擬 NGFW 可確保互聯(lián)網(wǎng)邊界或南北流量的安全。在此類部署中，您可以使用我們的 NAT 模式來確保終端用戶設(shè)備不會(huì)暴露在互聯(lián)網(wǎng)上。

我們?cè)?vWire 和第 3 層部署模式中都提供具備 ITO 功能的 NAT 支持。現(xiàn)在，您可以通過 IPv4 配置多種 NAT 模式，例如帶有動(dòng)態(tài) IP 地址和端口轉(zhuǎn)換的源 NAT、目標(biāo) NAT 端口轉(zhuǎn)換和轉(zhuǎn)發(fā)。

圖 2 從數(shù)據(jù)包流的角度展示了其工作原理。

圖 2. 配置 NAT 策略的數(shù)據(jù)包流

NAT 策略的配置方式如下：

VM 系列防火墻配置了 NAT 策略以執(zhí)行 IP 和端口到動(dòng)態(tài) IP 和端口映射的源 NAT。

所定義的 NAT 策略還可以執(zhí)行目標(biāo) IP 以及端口轉(zhuǎn)換和轉(zhuǎn)發(fā)。

以下是配置 NAT 策略時(shí)的數(shù)據(jù)包流程：

數(shù)據(jù)包從 5G 設(shè)備通過 5G UPF 或第 3 層路由器發(fā)送，源 IP 地址和端口為 172.10.20.30:320。

數(shù)據(jù)包到達(dá) VM 系列防火墻，并在那里將 NAT 策略定義為執(zhí)行源 NAT 到動(dòng)態(tài) IP 地址和端口的轉(zhuǎn)換。源 IP：端口 172.10.20.30:320 將被轉(zhuǎn)換成 192.168.100.15:545。

VM 系列防火墻根據(jù)定義的 NAT 策略對(duì)數(shù)據(jù)包進(jìn)行第 2 層和第 3 層重寫，而 NAT 策略可以是帶有動(dòng)態(tài) IP 地址和端口轉(zhuǎn)換的源 NAT，也可以是帶有端口轉(zhuǎn)換和轉(zhuǎn)發(fā)的目標(biāo) NAT。

借助 NAT 轉(zhuǎn)換，VM 系列防火墻通過 gRPC 更新 DPU 和 SmartNIC。

SNAT DIPP 通過保留私有源 IP 地址和端口對(duì)與特定公有（已轉(zhuǎn)換）源 IP 地址和端口組合的綁定來保持持久性，以便用于具有相同原始源 IP 地址和端口組合的后續(xù)會(huì)話。在這種情況下，172.10.20.30:320 及其轉(zhuǎn)換后的 192.168.100.15:545 地址對(duì)于多個(gè)目標(biāo) IP 地址端口都是持久的。

結(jié)論

通過利用 ITO 的增強(qiáng)特性，您現(xiàn)在可以獲得擴(kuò)展的選項(xiàng)，在 vWire 或第 3 層模式中部署 VM 系列 NGFW。您可以繼續(xù)在配有 ITO 的 VM 系列上無縫使用 NAT 功能。您還可以在 NVIDIA BlueField-3 DPU 上使用這些特性，獲得更高的吞吐量并將安全性能提高至少 5 倍。

派拓網(wǎng)絡(luò)與 NVIDIA 攜手在不影響性能和效率的情況下為企業(yè)帶來零信任安全。現(xiàn)在就通過 ITO 部署指南開始在 BlueField DPU 上使用智能流量卸載。