保護私有 5G 和邊緣應用帶來了許多挑戰。復雜的基于 AI 和 ML 的攻擊活動需要安全性來實時響應。
Palo Alto Networks 的安全平臺多年來一直在整合 ML 和 AI 技術突破,以確保實時 ML 功能和 AI 驅動的事件響應是自主的。
Palo Alto Networks 和 NVIDIA 的團隊合作構建了 智能交通卸載(ITO),我們的目標非常明確:使任何企業都能在不損害安全性同時保持性能和效率的情況下接受 5G。我們創建了 ITO 作為一種基礎解決方案,以幫助現代企業建立快速、安全的私有 5G 基礎設施。
數據處理器(DPU)是邊緣計算 AI 和 ML 基礎設施、超大規模電信云以及任何提供 IT、OT 或 IoT 網絡和服務的云中的關鍵組件。企業客戶使用 ITO 擴展安全功能,并將防火墻的總體吞吐量提高至少 5 倍。
我們為 ITO 帶來了多種增強功能,為您提供了更多的選擇、易于部署和更高的性能,包括以下功能:
- 新增支持 NVIDIA BlueField-3 數據處理單元 (DPU)
- 具有第三層路由功能的擴展部署模式
- 基于網絡地址轉換(NAT)的卸載
雖然靜態和動態路由提供了擴展的部署選項,但基于 NAT 的卸載可以幫助您保護互聯網周邊,以保護最終用戶身份,同時卸載流量。
ITO 現在在 NVIDIA BlueField-3 上?
除了現有的 NVIDIA BlueField-2 DPU 集成,我們正在擴大我們的產品范圍,以包括對下一代 NVIDIA BlueField-3 DPU 的支持。
我們的 ITO 解決方案通過 NVIDIA BlueField DPU 加速 Palo Alto Networks 的 VM 系列虛擬下一代防火墻(NGFW),顯著提高吞吐量,同時大幅降低基礎設施成本。
ITO 增強選項:L3 支持?
當我們推出 ITO 時,我們支持插入防火墻的 vWire 模式。這意味著防火墻不執行任何切換或路由功能。它就像電線上的一個凸起。這對于不需要路由或切換的特定環境是有益的,或者如果防火墻從單個 L3 域獲取所有流量。
新的第 3 層模式真正擴展了您利用數據中心內安全性的能力,依靠防火墻將流量切換和路由到網絡域。
圖 1 顯示了數據包流在第 3 層模式下的工作方式。

在圖 1 中,數據包流具有以下特征:
- 接口 e1/1 和 e1/2 是在第 3 層模式下配置的。
- VR1 配置有到 5G 第 3 層路由器或 UPF 以及到互聯網對等路由器的靜態或動態路由。
- 支持標記和未標記的流量。路由器和 DPU 或 NIC 可以處于訪問模式或中繼模式。
這是第 3 層模式的數據包流過程:
- 數據包從 5G UPF(第 3 層路由器)發送到第 3 層葉/路由器。
- 當數據包到達連接到 DPU 和 SmartNIC PF0 的路由器端口 PA1 時,它們將被編程以添加
vlanX
標記到數據包。 - 當數據包到達 DPU 端口
pf0vf0
時,無論是否移除 VLAN,它們都會被傳送到 VM 系列。 - 防火墻正在 L3 模式下運行。它找到數據包的下一跳及其 MAC 地址。
- 防火墻通過 gRPC 使用新的目標 MAC 地址和
vlanY
,如果需要。 - 帶有標簽的數據包
vlanY
從 DPU 和 SmartNIC 端口PF1
到達路由器端口PA2
。 - 如果數據包未標記,則路由器端口
PA2
可以添加標簽vlanY
,以便進行標識。 - 數據包被發送到下一跳地址,并被傳遞到互聯網對等端。在動態路由的情況下,通過任何路由更新,VM 系列都會使用新的下一跳 MAC 地址更新 DPU。
ITO 增強選項:對 vWire 和 L3 的 NAT 支持?
通常,在 5G 部署和某些超大型企業環境中,PAN VM 系列虛擬 NGFW 可保護互聯網周邊或南北流量。在這樣的部署中,您可以利用我們的 NAT 模式來確保最終用戶設備不會暴露在互聯網上。
我們在 vWire 和第 3 層部署模式中都提供了具有 ITO 功能的 NAT 支持。現在,您可以使用 IPv4 配置多種 NAT 模式,例如具有動態 IP 地址和端口轉換的源 NAT、目標 NAT 端口轉換和轉發。
圖 2 從數據包流的角度展示了這是如何工作的。

以下是 NAT 策略的配置方式:
- VM 系列已將 NAT 策略配置為執行 IP 和端口到動態 IP 和端口映射的源 NAT。
- 所定義的 NAT 策略還可以執行目的地 IP 和端口的轉換和轉發。
這是配置 NAT 策略時的數據包流過程:
- 數據包通過 5G UPF 或第 3 層路由器從 5G 設備發送,其源 IP 地址和端口為 172.10.20.30:320。
- 數據包到達 VM 系列,其中 NAT 策略被定義為執行源 NAT 到動態 IP 地址和端口的轉換。源 IP:端口 172.10.20.30:320 被轉換為 192.168.100.15:545。
- VM 系列根據定義的 NAT 策略對數據包進行第 2 層和第 3 層重寫,可以是具有動態 IP 地址和端口轉換的源 NAT,也可以是具有端口轉換和轉發的目的地 NAT。
- VM 系列通過帶有 NAT 轉換的 gRPC 更新 DPU 和 SmartNIC。
- SNAT DIPP 通過為具有相同原始源 IP 地址和端口對的后續會話保留專用源 IP 地址與端口對與特定公共(翻譯的)源 IP 地址及端口對的綁定來保持持久性。在這種情況下,172.10.20.30:320 及其轉換的 192.168.100.15:545 地址對于多個目標 IP 地址端口是持久的。
結論?
通過利用 ITO 的增強功能,您現在可以擴展選項,以 vWire 或第 3 層模式部署 VM 系列 NGFW。您可以在帶有 ITO 的 VM 系列上無縫地繼續使用 NAT 功能。 NVIDIA BlueField-3 DPU 也提供了這些功能,您可以在這里以至少 5 倍的安全性能解鎖更高吞吐量的進一步優勢。
Palo Alto Networks 和 NVIDIA 共同為企業帶來了零信任安全,在性能和效率方面沒有任何妥協。立即開始使用 BlueField DPU 上的智能流量卸載,通過查看 ITO 部署指南。然后,采取下一步行動, 聯系您的 NVIDIA 銷售代表。
?