保護邊緣 5G 專網(wǎng)和應用的安全面臨著諸多挑戰(zhàn)。當面臨基于 AI 和 ML 的復雜攻擊活動時，應作出實時響應。

派拓網(wǎng)絡的安全平臺多年來一直在融合 ML 與 AI 技術突破，以確保實時 ML 能力和 AI 驅(qū)動的事件響應都是自主的。

NVIDIA 團隊與派拓網(wǎng)絡團隊聯(lián)合打造智能流量卸載（ITO）的目標非常明確——使任何企業(yè)都能在保證安全、性能和效率的前提下?lián)肀?5G。我們將該 ITO 創(chuàng)建為一個基礎解決方案，幫助現(xiàn)代企業(yè)建立快速、安全的 5G 專網(wǎng)基礎設施。

數(shù)據(jù)處理單元（DPU）是邊緣計算 AI 和 ML 基礎設施、超大規(guī)模電信云以及任何提供 IT、OT 或 IoT 網(wǎng)絡與服務的云中的關鍵組件。企業(yè)客戶可以使用 ITO 擴展安全功能并將防火墻總吞吐量提高至少 5 倍。

我們正在為 ITO 帶來多項改進，進而提供更多的選擇、部署的簡易性和更高的性能。這些改進包括：

新增對 NVIDIA BlueField-3 DPU 的支持

具有第 3 層路由功能的擴展部署模式

基于網(wǎng)絡地址轉(zhuǎn)換（NAT）的卸載

靜態(tài)和動態(tài)路由功能提供了更多部署選項，而基于 NAT 的卸載功能則可以幫助確?；ヂ?lián)網(wǎng)周邊的安全，以保護終端用戶身份，同時卸載流量。

ITO 在 NVIDIA BlueField-3 上可用

除了集成至現(xiàn)有 NVIDIA BlueField-2 DPU，我們還將產(chǎn)品范圍擴大至包括對 NVIDIA BlueField-3 DPU 的支持。

我們的 ITO 解決方案通過 NVIDA BlueField DPU為派拓網(wǎng)絡的 VM 系列新一代虛擬防火墻（NGFW）提供加速，可大幅提高吞吐量，同時顯著降低基礎設施成本。

ITO 增強選項：L3 支持

我們在推出 ITO 時，支持 vWire 防火墻插入模式。這意味著防火墻不執(zhí)行任何交換或路由功能，而只是充當線纜中的塊。這對于不需要路由或切換的特定環(huán)境，或者防火墻從單個 L3 域獲取所有流量的情況很有幫助。

全新第 3 層模式真正擴展了在數(shù)據(jù)中心內(nèi)利用安全解決方案的能力，可以依靠防火墻將流量交換、發(fā)送至網(wǎng)絡域。

圖 1 顯示了數(shù)據(jù)包流在第 3 層模式下的工作原理。

圖 1. L3 中的數(shù)據(jù)包流

在圖 1 中，數(shù)據(jù)包流具有以下特征：

在 L3 模式配置接口 e1/1 和 e1/2。

VR1 配置了到 5G 第 3 層路由器或 UPF 以及到互聯(lián)網(wǎng)對等路由器的靜態(tài)或動態(tài)路由。

支持標記和未標記的流量。路由器和 DPU 或 NIC 支持 access 或 trunk 模式。

第 3 層模式的數(shù)據(jù)包流程如下：

數(shù)據(jù)包從 5G UPF（第 3 層路由器）發(fā)送至第 3 層 Leaf/路由器。

數(shù)據(jù)包到達連接到 DPU 和 SmartNIC PF0 的路由器端口 PA1 時，將被編程以在數(shù)據(jù)包中添加 vlanX 標記。

數(shù)據(jù)包到達 DPU 端口 pf0vf0，無論是否移除 VLAN，它們都會被傳送到 VM 系列防火墻。

該防火墻在第 3 層模式下運行。它會找到數(shù)據(jù)包的下一跳及其 MAC 地址。

防火墻根據(jù)新的目標 MAC 地址和 vlanY（如需要），通過 gRPC 更新 DPU 和 SmartNIC。

帶 vlanY 的標記數(shù)據(jù)包從 DPU 和 SmartNIC 端口 PF1 到達路由器端口 PA2。

如果數(shù)據(jù)包未標記，路由器端口 PA2 可添加 vlanY 標記。

數(shù)據(jù)包被發(fā)送至下一跳地址并傳送至互聯(lián)網(wǎng)對端設備。在使用動態(tài)路由的情況下，如果有任何路由更新，VM 系列防火墻都會用新的下一跳 MAC 地址更新 DPU。

ITO 增強選項：對 vWire 和 L3 的 NAT 支持

通常，在 5G 部署和某些超大規(guī)模企業(yè)環(huán)境中，PAN VM 系列虛擬 NGFW 可確保互聯(lián)網(wǎng)邊界或南北流量的安全。在此類部署中，您可以使用我們的 NAT 模式來確保終端用戶設備不會暴露在互聯(lián)網(wǎng)上。

我們在 vWire 和第 3 層部署模式中都提供具備 ITO 功能的 NAT 支持?，F(xiàn)在，您可以通過 IPv4 配置多種 NAT 模式，例如帶有動態(tài) IP 地址和端口轉(zhuǎn)換的源 NAT、目標 NAT 端口轉(zhuǎn)換和轉(zhuǎn)發(fā)。

圖 2 從數(shù)據(jù)包流的角度展示了其工作原理。

圖 2. 配置 NAT 策略的數(shù)據(jù)包流

NAT 策略的配置方式如下：

VM 系列防火墻配置了 NAT 策略以執(zhí)行 IP 和端口到動態(tài) IP 和端口映射的源 NAT。

所定義的 NAT 策略還可以執(zhí)行目標 IP 以及端口轉(zhuǎn)換和轉(zhuǎn)發(fā)。

以下是配置 NAT 策略時的數(shù)據(jù)包流程：

數(shù)據(jù)包從 5G 設備通過 5G UPF 或第 3 層路由器發(fā)送，源 IP 地址和端口為 172.10.20.30:320。

數(shù)據(jù)包到達 VM 系列防火墻，并在那里將 NAT 策略定義為執(zhí)行源 NAT 到動態(tài) IP 地址和端口的轉(zhuǎn)換。源 IP：端口 172.10.20.30:320 將被轉(zhuǎn)換成 192.168.100.15:545。

VM 系列防火墻根據(jù)定義的 NAT 策略對數(shù)據(jù)包進行第 2 層和第 3 層重寫，而 NAT 策略可以是帶有動態(tài) IP 地址和端口轉(zhuǎn)換的源 NAT，也可以是帶有端口轉(zhuǎn)換和轉(zhuǎn)發(fā)的目標 NAT。

借助 NAT 轉(zhuǎn)換，VM 系列防火墻通過 gRPC 更新 DPU 和 SmartNIC。

SNAT DIPP 通過保留私有源 IP 地址和端口對與特定公有（已轉(zhuǎn)換）源 IP 地址和端口組合的綁定來保持持久性，以便用于具有相同原始源 IP 地址和端口組合的后續(xù)會話。在這種情況下，172.10.20.30:320 及其轉(zhuǎn)換后的 192.168.100.15:545 地址對于多個目標 IP 地址端口都是持久的。

結論

通過利用 ITO 的增強特性，您現(xiàn)在可以獲得擴展的選項，在 vWire 或第 3 層模式中部署 VM 系列 NGFW。您可以繼續(xù)在配有 ITO 的 VM 系列上無縫使用 NAT 功能。您還可以在 NVIDIA BlueField-3 DPU 上使用這些特性，獲得更高的吞吐量并將安全性能提高至少 5 倍。

派拓網(wǎng)絡與 NVIDIA 攜手在不影響性能和效率的情況下為企業(yè)帶來零信任安全?，F(xiàn)在就通過 ITO 部署指南開始在 BlueField DPU 上使用智能流量卸載。