5.4. OTN加密:运营商的应用实例
5.4.1.加密的高带宽数据中心互连 (DCI) 业务
数据中心之间的通信流的特点包括:高带宽、分组格式、以太网或基于存储协议,取决于数据中心的地理分布,传送距离从 100 到 1000公里不等。这些数据流代表的对安全敏感的业务可能是为金融机构传送的交易数据、为企业灾难恢复 /业务连续性而进行的数据复制、或者云计算服务(如谷歌的云平台,亚马逊 AWSEC2 或微软 Azure)提供的为任务关键型应用程序宿主进行的工作负载平衡。
鉴于这些服务需要的带宽十分庞大 — —某些情况下在不同中心之间的互联带宽达到 10 兆位/秒的规模,网络效率对这些业务尤其重要。运营商因此需要一种无需为安全性能而牺牲网络效率的加密解决方案。
通过利用 100G相干光传输技术的点到点DWDM的 OTN 传送已成为广受欢迎的选择,可以为运营商解决这些业务在带宽和传输范围的需求。以波长粒度进行整波长 OTN加密提供的解决方案与底层的混合流量无关,无论它是低速率客户流量的混合或与波长相匹配的客户流量。此外,如果客户流量类型或速度发生变化,整带宽 OTN 加密提供了扩展加密负载大小及多业务支持的灵活性,从而可以根据需要应对各种变化。
Figure 7.DCI的整带宽大容量 OTN 加密
例如,如Figure 7中所示,运营商需要支持从西DC到东DC的100 Gbit/s 链接。眼下,数据流量需要在100G波长上传送 10 x 10GbE 客户流量,但是运营商预计其中很大一部分将转到 100GbE 。整带宽 OTN 加密支持两种模式,可以加密包含着未加密的 10 x 10GbE客户流量的 ODU4或者单一的 100GbE 客户流量。此外,如果在任意点上,客户要求支持传送存储客户流量,如Fiber-Channel或Infiniband,在同样的100G WDM链路上提供数据复制业务,整波长 OTN加密解决方案能进行调适,先将存储客户流量封装到大小合适的 ODUk 容器中,然后再加密更高速率的 100 G ODU4波长。
5.4.2.加密的专用线路 & 云连接传输作为服务(TaaS)
专用线路服务的重要性经常为诸如移动和宽带业务等带来的 IP流量的增长势头所掩盖,但其仍不失为运营商的一个重要营收来源。2014年,仅仅在美国,专线业务就占据了 300亿美元的市场。(19)同一年,AT&T的报告指出,大规模的有线业务就占据了集团营收的约 10%。(20)
这些业务的实现种类多种多样且不断在演进 — —跨越传统以太网专线、波长和租用的暗光纤、乃至新兴的企业云互连业务 — — 每一种都有一组不同的 SLA及要求。总而言之,在客户需要站点之间稳定且在某些情况下高带宽的连接且其流量要与其它流量源相互隔绝的情况下,会选择这些服务。安全的重要性日益凸现,尤其是越来越多的企业都在采用基于云计算的服务来提供面向客户的应用程序和关键性任务的工作负载。截至 2014 年,62%的企业在使用云计算,有 70%的 Verizon云客户将其应用于面向外部的生产应用程序。(21)
基于OTN的光传送成为了大多数运营商提供这些业务的首选方案,而次波长OTN加密的方案则提供了额外的价值,可以改良上述方案并增加其在市场上的差异性,且无需在业务类型、可扩展性或性能等方面做出牺牲。该解决方案与客户和协议无关,速率可扩展的、恒定的加密负载,负载大小最高可达 100Gbit/s,并且可以灵活地在点到点或L1交换的网络中独立地传送这些业务。
在次波长OTN加密以外,再加上 L1 OTN交换网络所提供的按需带宽分配,为运营商提供一种强大的安全方案,可以进一步促进高价值、基于云计算的业务的接纳度。基于云的工作负载从本质上具有突发性的特点,因此不适用于在最终用户和应用程序之间的带宽固定的环境中。客户也只会愿意在安全得到保证的前提之下,将关键性任务的工作负载移至云端。解决办法是采取一种灵活、加密、云连接的传送作为服务的方案,可以随着客户的工作负载变化而根据需求进行扩展。
Figure 8.加密的企业云传送作为服务(TaaS)
有了L1交换网络中的次波长OTN加密,基于分组的专用客户流量可以进行 GFP 封装,然后在加密的尺寸灵活可变的 OTN 传送容器(名为 ODUflex)中,传送进入(或出)承载着基于云的应用程序的数据中心。这些加密的、基于ODUflex的专用线路可以采用由 G.709 OTN 标准(G.hao)支持的自动、无中断调节技术,根据需要来扩展所提供的带宽。
5.4.3.加密的 MPLS传送
到目前为止,为了支持 MPLS流量在 MPLS网络中端到端的加密,运营商被迫在如下两个选择中进行拣选:
-
利用 IPsec来加密底层的分组,导致在延迟和吞吐量方面的权衡取舍。
-
利用基于 MACsec的解决方案需要一个专有的 MACsec 实现来规避逐跳造成的限制。
今天,越来越多的运营商正仰赖基于OTN的光传送设备作为 MPLS 网络的底层支撑,以实现端到端 MPLS 流量的有效传送。引入分组光传送平台(P - OTP / P OTNs)和混合分组/ OTN线卡的体系结构促成了本地分组交换、将基于分组的流量封装进 ODUflex容器、以及将许多低速率流量有效地调制到 100 G 波长之上,从而进一步推动了上述浪潮。(22)
次波长OTN加密进一步扩展了此能力,使MPLS流量的加密和传送方式变得与底层的网络架构无关,并毋须牺牲网络性能或利用效率。这种情况下,每个 MPLS 分组流量均映射到加密的 ODUflex 容器中,该容器接着又复用到高速率的波长之上。这些加密的流量可以在整个传送网络中独立路由,既可以是在交换的、也可以是在点到点基于 OTN 的传送网络之上。
5.4.4.运营商应用案例建议
OTN加密为运营商提供了一个可行的选择方案,可以改善并差异化其传送业务,而无须损失质量、灵活度、性能、成本及其复杂性。为了将其优势最大化,运营商必须选择一种加密的 OTN 处理方案,能提供所有要素来解决范围宽广的业务类型和应用程序模型的问题,并且粒度要有波长和次波长两种选择。从这个角度来看,OTN处理器的性能可谓良莠不齐。下一节讨论了 Pmc-sierra 提供的先进技术,如何助力运营商实现了全球领先的安全传送解决方案。
5.5. DIGI G4:确保云计算和通信服务提供商运输网络
在其新的、行业领先的OTN处理器 DIGI-120G的基础之上,PMC - Sierra的 DIGI G4 400G OTN处理器满足云和通信运营商的需求,为其提供了一款灵活度高、扩展性好、 SDN友好的、加密的传送基础设施。它是业内密度最高的单芯片 4 x 100G OTN 处理器,每端口功耗比上一代降低了 50%。DIGI G4 提供了在分组光传送平台 (P- OTP) 、ROADM/WDM和超大规模数据中心互联平台上的400G线卡对容量、安全性和灵活度的要求。
Figure 9. PMC DIGI G4:低延迟、多业务、灵活和可扩展的部署
DIGI G4集成了速率灵活、协议无关的 OTN 加密功能,并提供低于180ns的加密延迟,让运营商可以在不牺牲网络性能和效率的前提下对业务进行加密。
DIGI G4支持灵活的加密业务交付和网络部署模型,让运营商得以在传送网络中部署端到端的、加密友好的传送平台,并对从点到点WDM到L1 OTN交换网络到整波长和次波长加密业务等多种模式提供支持。这样的灵活性意味着该方案在网络架构和部署模型不断演进的过程中仍然能保护运营商的投资。
5.6.结论
加密运营商网络中数据的问题已经分析透彻清楚了。移动业务及云服务的日益普及使运营商网络中的敏感的企业和个人信息的数量暴增。若干"在线"网络加密方案对此提供了解决办法,但由于不同解决方案在在网络中对应的不同层级运行,在性能、成本和实施的灵活性方面迥然而异。为此目的,在决定如何加密机密数据时,成本、复杂度和对网络性能和服务可用性的影响都必须仔细考虑在内。
利用 OTN加密来为传送网提供端到端的安全保障是一个颇具吸引力的崭新解决方案。它提供了一种低延迟、与服务 & 协议无关的实现方式,可以有效地利用网络带宽 — —对于力求不被海量数据所淹没的运营商而言至关重要。另外,由 PMC的DIGI-G4引领的 OTN 处理器的革新让运营商能够支持多种灵活、可扩展的网络模型,包括 OTN 交换或点到点 WDM等。这不仅让运营商可以改善现有的业务,还助其开拓新的营收和利润来源,以在市场中提供差异化的服务,而无需部署更多全新的网络。
2332
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
