为企业提供增强型 AI 助力 5G 安全的智能流量卸载

保护边缘5G专网和应用的安全面临着诸多挑战。当面临基于AI和ML的复杂攻击活动时，应作出实时响应。

派拓网络的安全平台多年来一直在融合ML与AI技术突破，以确保实时ML能力和AI驱动的事件响应都是自主的。

NVIDIA团队与派拓网络团队联合打造智能流量卸载（ITO）的目标非常明确——使任何企业都能在保证安全、性能和效率的前提下拥抱5G。我们将该ITO创建为一个基础解决方案，帮助现代企业建立快速、安全的5G专网基础设施。

数据处理单元（DPU）是边缘计算AI和ML基础设施、超大规模电信云以及任何提供IT、OT或IoT网络与服务的云中的关键组件。企业客户可以使用ITO扩展安全功能并将防火墙总吞吐量提高至少5倍。

我们正在为ITO带来多项改进，进而提供更多的选择、部署的简易性和更高的性能。这些改进包括：

新增对NVIDIABlueField-3DPU的支持

具有第3层路由功能的扩展部署模式

基于网络地址转换（NAT）的卸载

静态和动态路由功能提供了更多部署选项，而基于NAT的卸载功能则可以帮助确保互联网周边的安全，以保护终端用户身份，同时卸载流量。

ITO在NVIDIABlueField-3上可用

除了集成至现有NVIDIABlueField-2DPU，我们还将产品范围扩大至包括对NVIDIABlueField-3DPU的支持。

我们的ITO解决方案通过NVIDABlueFieldDPU为派拓网络的VM系列新一代虚拟防火墙（NGFW）提供加速，可大幅提高吞吐量，同时显著降低基础设施成本。

ITO增强选项：L3支持

我们在推出ITO时，支持vWire防火墙插入模式。这意味着防火墙不执行任何交换或路由功能，而只是充当线缆中的块。这对于不需要路由或切换的特定环境，或者防火墙从单个L3域获取所有流量的情况很有帮助。

全新第3层模式真正扩展了在数据中心内利用安全解决方案的能力，可以依靠防火墙将流量交换、发送至网络域。

图1显示了数据包流在第3层模式下的工作原理。

图1.L3中的数据包流

在图1中，数据包流具有以下特征：

在L3模式配置接口e1/1和e1/2。

VR1配置了到5G第3层路由器或UPF以及到互联网对等路由器的静态或动态路由。

支持标记和未标记的流量。路由器和DPU或NIC支持access或trunk模式。

第3层模式的数据包流程如下：

数据包从5GUPF（第3层路由器）发送至第3层Leaf/路由器。

数据包到达连接到DPU和SmartNICPF0的路由器端口PA1时，将被编程以在数据包中添加vlanX标记。

数据包到达DPU端口pf0vf0，无论是否移除VLAN，它们都会被传送到VM系列防火墙。

该防火墙在第3层模式下运行。它会找到数据包的下一跳及其MAC地址。

防火墙根据新的目标MAC地址和vlanY（如需要），通过gRPC更新DPU和SmartNIC。

带vlanY的标记数据包从DPU和SmartNIC端口PF1到达路由器端口PA2。

如果数据包未标记，路由器端口PA2可添加vlanY标记。

数据包被发送至下一跳地址并传送至互联网对端设备。在使用动态路由的情况下，如果有任何路由更新，VM系列防火墙都会用新的下一跳MAC地址更新DPU。

ITO增强选项：对vWire和L3的NAT支持

通常，在5G部署和某些超大规模企业环境中，PANVM系列虚拟NGFW可确保互联网边界或南北流量的安全。在此类部署中，您可以使用我们的NAT模式来确保终端用户设备不会暴露在互联网上。

我们在vWire和第3层部署模式中都提供具备ITO功能的NAT支持。现在，您可以通过IPv4配置多种NAT模式，例如带有动态IP地址和端口转换的源NAT、目标NAT端口转换和转发。

图2从数据包流的角度展示了其工作原理。

图2.配置NAT策略的数据包流

NAT策略的配置方式如下：

VM系列防火墙配置了NAT策略以执行IP和端口到动态IP和端口映射的源NAT。

所定义的NAT策略还可以执行目标IP以及端口转换和转发。

以下是配置NAT策略时的数据包流程：

数据包从5G设备通过5GUPF或第3层路由器发送，源IP地址和端口为172.10.20.30:320。

数据包到达VM系列防火墙，并在那里将NAT策略定义为执行源NAT到动态IP地址和端口的转换。源IP：端口172.10.20.30:320将被转换成192.168.100.15:545。

VM系列防火墙根据定义的NAT策略对数据包进行第2层和第3层重写，而NAT策略可以是带有动态IP地址和端口转换的源NAT，也可以是带有端口转换和转发的目标NAT。

借助NAT转换，VM系列防火墙通过gRPC更新DPU和SmartNIC。

SNATDIPP通过保留私有源IP地址和端口对与特定公有（已转换）源IP地址和端口组合的绑定来保持持久性，以便用于具有相同原始源IP地址和端口组合的后续会话。在这种情况下，172.10.20.30:320及其转换后的192.168.100.15:545地址对于多个目标IP地址端口都是持久的。

结论

通过利用ITO的增强特性，您现在可以获得扩展的选项，在vWire或第3层模式中部署VM系列NGFW。您可以继续在配有ITO的VM系列上无缝使用NAT功能。您还可以在NVIDIABlueField-3DPU上使用这些特性，获得更高的吞吐量并将安全性能提高至少5倍。

派拓网络与NVIDIA携手在不影响性能和效率的情况下为企业带来零信任安全。现在就通过ITO部署指南开始在BlueFieldDPU上使用智能流量卸载：

如需进一步了解，请联系您的NVIDIA销售代表：