如今，我们面临的问题是如何才能拥有更快的应用响应时间、更高的可用性与无懈可击的安全性，真正做到事半功倍？以政府为例，政府机构一直试图优化IT基础设施，为市民提供便捷的信息和服务。然而，横跨政府IT机构的应用程序漏洞可能会给其机构本身及市民带来严重后果，比如有关安全抗攻击、有关日志审计等问题。

　　基于以上这些问题，越来越多的网络需要获得端到端的出口与安全解决方案，期望通过解决方案实现以下功能：

　　1）可靠的应用性能。随着负载和网络条件的变化，对应用活动的流量，继续智能动态的调整，并在保障性能的同时，保证应用交付的可靠性，任何故障都不能造成数据业务的中断。

　　2）安全防护功能。能够提供对蠕虫、病毒、拒绝服务（DoS）以及Web攻击的防护。

　　3）高效的应用交付功能。通过高级优化与负载均衡方案，提供加速的应用性能。

　　4）统一的监管功能。可以提供集中化管理，实时健康状态、性能和安全性的检测；可以提供事件日志和广泛报告功能，记录威胁情况。

　　以上这些可以用通俗的设备功能来衡量，即：基本转发、应用识别、流控、WAN优化、应用网络和安全防护等。但是，对于应用必经之地——网络出口而言，这些功能也将造成极大地延迟和性能衰减，如何平衡多业务与高性能的问题摆在了我们面前。

网络出口多业务与高性能技术

　　结合多年的网络出口部署经验，锐捷网络综合解决了多业务与高性能平衡的难题。锐捷网络采取的平衡策略是：增强、融合。
　　
　　增强，即强化单体性能，针对网络出口难点的NAT/PBR、DPI识别、抗攻击等逐个突破。

　　1） 高性能NAT/PBR。

　　采用REF技术实现业务交换， REF（Ruijie Express Forwarding）是一种高性能、多业务、抗攻击的高速业务交换方式。REF可以直接运行在高速硬件平台上，独立于操作系统，它可以降低操作系统的复杂性，减少冗余，提高效率。REF快转平台是转发加速平面的核心技术。VCPU技术把CPU虚拟为“虚数据核”和“虚系统核”，REF快转平台直接运行在“虚数据核”上，相当于用软件把“虚数据核”模拟成为了一个ASIC转发芯片，与X-Flow结合后可以识别和转发二到七层的相关网络业务，实现业务的高速交换。
 
　　2） 高性能DPI引擎。

　　采用基于正则表达式的DPI引擎，并用DFA算法代替了传统的NFA算法，最终实现基于硬件的DFA引擎，它可以做到：

　　在线IP的数量与设备性能无关；

　　并发SESSION的数量与设备性能无关；

　　控制策略的条目数与设备性能无关；

　　虚拟通道的数目与设备性能无关；

　　实现加载的协议数量与设备性能无关性。

　　3） 多核高性能，提升安全防护性能。

　　防火墙、IDS、WebGuard均采用多核处理器架构。安全类设备采用多核处理器之后，多项复杂功能就可以同时开启使用。在单核架构下，如果同时进行开启防火墙的包过滤和应用层入侵检测，记录URL日志，流量统计等多项功能时，发现网络的速度马上下降50%甚至更低。但是，如果使用多核架构，每个核可以分别处理不同的数据包，同比性能可以提升30%-70%。同时，多核架构使得设备的稳定性和扩展性得到很大的提高。

　　融合，即综合功能与性能的关系，融合部分功能，如流控与网关认证、路由与智能选路。

　　1）流控与网关认证的融合。

　　根据国家建设和谐网络的大方向，结合网络出口带宽资源有效控制的原则，进行互联网接入控制是十分必要的。通过对网络出口进行准出控制，加上日志记录可以满足公安部82号令要求，实现实名制网络准入。通过准出控制，可以防止非本单位人员访问Internet资源，占用出口带宽。传统做法是通过架设专门的认证网关来进行，这在无形中改变了既有网络结构，同时增加了单点故障。锐捷网络采用创新技术，将网络必备的流控设备与网关认证进行融合，实现了基于用户身份的带宽分配、流量优化和应用控制。举例来说：某领导A认证入网后，带宽5M，能下迅雷；某学生B认证入网后，带宽1M，不能下BT。

　　2）路由、NAT与智能选路融合。

　　出口的基础是数据转发，也就是路由。基于国内的现状，NAT功能是出口必不可少的功能，也同时需要考虑到如何充分利用多ISP链路。我们通常需要串接一台专门的多链路负载均衡设备，这样做既增加了投资，又使得出口架构变得复杂。锐捷网络通过在NPE网络出口引擎这样的出口专用设备上，纳入多链路负载均衡功能，实现了转发与选路的融合。
 
　　多业务与高性能是一对矛盾体，但今天的网络恰恰更加讲求高速、高效、安全的应用交付服务。那么高性能的考虑必不可少，NAT高性能、DPI高性能、安全高性能、日志审计高性能、WAN优化高性能都必须纳入考虑范畴。锐捷网络通过增强单体性能和融合相近性功能的策略，打造了一个融合多业务、保证高性能的网络出口解决方案。