• <xmp id="om0om">
  • <table id="om0om"><noscript id="om0om"></noscript></table>
  • 3 月 19 日下午 2 點,鎖定 NVIDIA AI 網絡中文專場。立即注冊觀看
    網絡安全/欺詐檢測

    為企業提供增強的人工智能 5G 安全的智能交通分流

    保護私有 5G 和邊緣應用帶來了許多挑戰。復雜的基于 AI 和 ML 的攻擊活動需要安全性來實時響應。

    Palo Alto Networks 的安全平臺多年來一直在整合 ML 和 AI 技術突破,以確保實時 ML 功能和 AI 驅動的事件響應是自主的。

    Palo Alto Networks 和 NVIDIA 的團隊合作構建了 智能交通卸載(ITO),我們的目標非常明確:使任何企業都能在不損害安全性同時保持性能和效率的情況下接受 5G。我們創建了 ITO 作為一種基礎解決方案,以幫助現代企業建立快速、安全的私有 5G 基礎設施。

    數據處理器(DPU)是邊緣計算 AI 和 ML 基礎設施、超大規模電信云以及任何提供 IT、OT 或 IoT 網絡和服務的云中的關鍵組件。企業客戶使用 ITO 擴展安全功能,并將防火墻的總體吞吐量提高至少 5 倍。

    我們為 ITO 帶來了多種增強功能,為您提供了更多的選擇、易于部署和更高的性能,包括以下功能:

    雖然靜態和動態路由提供了擴展的部署選項,但基于 NAT 的卸載可以幫助您保護互聯網周邊,以保護最終用戶身份,同時卸載流量。

    ITO 現在在 NVIDIA BlueField-3 上?

    除了現有的 NVIDIA BlueField-2 DPU 集成,我們正在擴大我們的產品范圍,以包括對下一代 NVIDIA BlueField-3 DPU 的支持。

    我們的 ITO 解決方案通過 NVIDIA BlueField DPU 加速 Palo Alto Networks 的 VM 系列虛擬下一代防火墻(NGFW),顯著提高吞吐量,同時大幅降低基礎設施成本。

    ITO 增強選項:L3 支持?

    當我們推出 ITO 時,我們支持插入防火墻的 vWire 模式。這意味著防火墻不執行任何切換或路由功能。它就像電線上的一個凸起。這對于不需要路由或切換的特定環境是有益的,或者如果防火墻從單個 L3 域獲取所有流量。

    新的第 3 層模式真正擴展了您利用數據中心內安全性的能力,依靠防火墻將流量切換和路由到網絡域。

    圖 1 顯示了數據包流在第 3 層模式下的工作方式。

    Diagram shows the host, leaf/router, and 5G layers using NVIDIA BlueField DPU.
    圖 1。第 3 層模式下的數據包流

    在圖 1 中,數據包流具有以下特征:

    • 接口 e1/1 和 e1/2 是在第 3 層模式下配置的。
    • VR1 配置有到 5G 第 3 層路由器或 UPF 以及到互聯網對等路由器的靜態或動態路由。
    • 支持標記和未標記的流量。路由器和 DPU 或 NIC 可以處于訪問模式或中繼模式。

    這是第 3 層模式的數據包流過程:

    1. 數據包從 5G UPF(第 3 層路由器)發送到第 3 層葉/路由器。
    2. 當數據包到達連接到 DPU 和 SmartNIC PF0 的路由器端口 PA1 時,它們將被編程以添加 vlanX 標記到數據包。
    3. 當數據包到達 DPU 端口 pf0vf0 時,無論是否移除 VLAN,它們都會被傳送到 VM 系列。
    4. 防火墻正在 L3 模式下運行。它找到數據包的下一跳及其 MAC 地址。
    5. 防火墻通過 gRPC 使用新的目標 MAC 地址和vlanY,如果需要。
    6. 帶有標簽的數據包 vlanY 從 DPU 和 SmartNIC 端口 PF1 到達路由器端口 PA2
    7. 如果數據包未標記,則路由器端口 PA2 可以添加標簽 vlanY,以便進行標識。
    8. 數據包被發送到下一跳地址,并被傳遞到互聯網對等端。在動態路由的情況下,通過任何路由更新,VM 系列都會使用新的下一跳 MAC 地址更新 DPU。

    ITO 增強選項:對 vWire 和 L3 的 NAT 支持?

    通常,在 5G 部署和某些超大型企業環境中,PAN VM 系列虛擬 NGFW 可保護互聯網周邊或南北流量。在這樣的部署中,您可以利用我們的 NAT 模式來確保最終用戶設備不會暴露在互聯網上。

    我們在 vWire 和第 3 層部署模式中都提供了具有 ITO 功能的 NAT 支持。現在,您可以使用 IPv4 配置多種 NAT 模式,例如具有動態 IP 地址和端口轉換的源 NAT、目標 NAT 端口轉換和轉發。

    圖 2 從數據包流的角度展示了這是如何工作的。

    Diagram shows the source and destination ports for gaming devices through to gaming portals.
    圖 2:配置了 NAT 策略的數據包流

    以下是 NAT 策略的配置方式:

    • VM 系列已將 NAT 策略配置為執行 IP 和端口到動態 IP 和端口映射的源 NAT。
    • 所定義的 NAT 策略還可以執行目的地 IP 和端口的轉換和轉發。

    這是配置 NAT 策略時的數據包流過程:

    1. 數據包通過 5G UPF 或第 3 層路由器從 5G 設備發送,其源 IP 地址和端口為 172.10.20.30:320。
    2. 數據包到達 VM 系列,其中 NAT 策略被定義為執行源 NAT 到動態 IP 地址和端口的轉換。源 IP:端口 172.10.20.30:320 被轉換為 192.168.100.15:545。
    3. VM 系列根據定義的 NAT 策略對數據包進行第 2 層和第 3 層重寫,可以是具有動態 IP 地址和端口轉換的源 NAT,也可以是具有端口轉換和轉發的目的地 NAT。
    4. VM 系列通過帶有 NAT 轉換的 gRPC 更新 DPU 和 SmartNIC。
    5. SNAT DIPP 通過為具有相同原始源 IP 地址和端口對的后續會話保留專用源 IP 地址與端口對與特定公共(翻譯的)源 IP 地址及端口對的綁定來保持持久性。在這種情況下,172.10.20.30:320 及其轉換的 192.168.100.15:545 地址對于多個目標 IP 地址端口是持久的。

    結論?

    通過利用 ITO 的增強功能,您現在可以擴展選項,以 vWire 或第 3 層模式部署 VM 系列 NGFW。您可以在帶有 ITO 的 VM 系列上無縫地繼續使用 NAT 功能。 NVIDIA BlueField-3 DPU 也提供了這些功能,您可以在這里以至少 5 倍的安全性能解鎖更高吞吐量的進一步優勢。

    Palo Alto Networks 和 NVIDIA 共同為企業帶來了零信任安全,在性能和效率方面沒有任何妥協。立即開始使用 BlueField DPU 上的智能流量卸載,通過查看 ITO 部署指南。然后,采取下一步行動, 聯系您的 NVIDIA 銷售代表

    ?

    0

    標簽

    人人超碰97caoporen国产