保護邊緣 5G 專網和應用的安全面臨著諸多挑戰。當面臨基于 AI 和 ML 的復雜攻擊活動時，應作出實時響應。

派拓網絡的安全平臺多年來一直在融合 ML 與 AI 技術突破，以確保實時 ML 能力和 AI 驅動的事件響應都是自主的。

NVIDIA 團隊與派拓網絡團隊聯合打造智能流量卸載（ITO）的目標非常明確——使任何企業都能在保證安全、性能和效率的前提下擁抱 5G。我們將該 ITO 創建為一個基礎解決方案，幫助現代企業建立快速、安全的 5G 專網基礎設施。

數據處理單元（DPU）是邊緣計算 AI 和 ML 基礎設施、超大規模電信云以及任何提供 IT、OT 或 IoT 網絡與服務的云中的關鍵組件。企業客戶可以使用 ITO 擴展安全功能并將防火墻總吞吐量提高至少 5 倍。

我們正在為 ITO 帶來多項改進，進而提供更多的選擇、部署的簡易性和更高的性能。這些改進包括：

新增對 NVIDIA BlueField-3 DPU 的支持

具有第 3 層路由功能的擴展部署模式

基于網絡地址轉換（NAT）的卸載

靜態和動態路由功能提供了更多部署選項，而基于 NAT 的卸載功能則可以幫助確保互聯網周邊的安全，以保護終端用戶身份，同時卸載流量。

ITO 在 NVIDIA BlueField-3 上可用

除了集成至現有 NVIDIA BlueField-2 DPU，我們還將產品范圍擴大至包括對 NVIDIA BlueField-3 DPU 的支持。

我們的 ITO 解決方案通過 NVIDA BlueField DPU為派拓網絡的 VM 系列新一代虛擬防火墻（NGFW）提供加速，可大幅提高吞吐量，同時顯著降低基礎設施成本。

ITO 增強選項：L3 支持

我們在推出 ITO 時，支持 vWire 防火墻插入模式。這意味著防火墻不執行任何交換或路由功能，而只是充當線纜中的塊。這對于不需要路由或切換的特定環境，或者防火墻從單個 L3 域獲取所有流量的情況很有幫助。

全新第 3 層模式真正擴展了在數據中心內利用安全解決方案的能力，可以依靠防火墻將流量交換、發送至網絡域。

圖 1 顯示了數據包流在第 3 層模式下的工作原理。

圖 1. L3 中的數據包流

在圖 1 中，數據包流具有以下特征：

在 L3 模式配置接口 e1/1 和 e1/2。

VR1 配置了到 5G 第 3 層路由器或 UPF 以及到互聯網對等路由器的靜態或動態路由。

支持標記和未標記的流量。路由器和 DPU 或 NIC 支持 access 或 trunk 模式。

第 3 層模式的數據包流程如下：

數據包從 5G UPF（第 3 層路由器）發送至第 3 層 Leaf/路由器。

數據包到達連接到 DPU 和 SmartNIC PF0 的路由器端口 PA1 時，將被編程以在數據包中添加 vlanX 標記。

數據包到達 DPU 端口 pf0vf0，無論是否移除 VLAN，它們都會被傳送到 VM 系列防火墻。

該防火墻在第 3 層模式下運行。它會找到數據包的下一跳及其 MAC 地址。

防火墻根據新的目標 MAC 地址和 vlanY（如需要），通過 gRPC 更新 DPU 和 SmartNIC。

帶 vlanY 的標記數據包從 DPU 和 SmartNIC 端口 PF1 到達路由器端口 PA2。

如果數據包未標記，路由器端口 PA2 可添加 vlanY 標記。

數據包被發送至下一跳地址并傳送至互聯網對端設備。在使用動態路由的情況下，如果有任何路由更新，VM 系列防火墻都會用新的下一跳 MAC 地址更新 DPU。

ITO 增強選項：對 vWire 和 L3 的 NAT 支持

通常，在 5G 部署和某些超大規模企業環境中，PAN VM 系列虛擬 NGFW 可確保互聯網邊界或南北流量的安全。在此類部署中，您可以使用我們的 NAT 模式來確保終端用戶設備不會暴露在互聯網上。

我們在 vWire 和第 3 層部署模式中都提供具備 ITO 功能的 NAT 支持。現在，您可以通過 IPv4 配置多種 NAT 模式，例如帶有動態 IP 地址和端口轉換的源 NAT、目標 NAT 端口轉換和轉發。

圖 2 從數據包流的角度展示了其工作原理。

圖 2. 配置 NAT 策略的數據包流

NAT 策略的配置方式如下：

VM 系列防火墻配置了 NAT 策略以執行 IP 和端口到動態 IP 和端口映射的源 NAT。

所定義的 NAT 策略還可以執行目標 IP 以及端口轉換和轉發。

以下是配置 NAT 策略時的數據包流程：

數據包從 5G 設備通過 5G UPF 或第 3 層路由器發送，源 IP 地址和端口為 172.10.20.30:320。

數據包到達 VM 系列防火墻，并在那里將 NAT 策略定義為執行源 NAT 到動態 IP 地址和端口的轉換。源 IP：端口 172.10.20.30:320 將被轉換成 192.168.100.15:545。

VM 系列防火墻根據定義的 NAT 策略對數據包進行第 2 層和第 3 層重寫，而 NAT 策略可以是帶有動態 IP 地址和端口轉換的源 NAT，也可以是帶有端口轉換和轉發的目標 NAT。

借助 NAT 轉換，VM 系列防火墻通過 gRPC 更新 DPU 和 SmartNIC。

SNAT DIPP 通過保留私有源 IP 地址和端口對與特定公有（已轉換）源 IP 地址和端口組合的綁定來保持持久性，以便用于具有相同原始源 IP 地址和端口組合的后續會話。在這種情況下，172.10.20.30:320 及其轉換后的 192.168.100.15:545 地址對于多個目標 IP 地址端口都是持久的。

結論

通過利用 ITO 的增強特性，您現在可以獲得擴展的選項，在 vWire 或第 3 層模式中部署 VM 系列 NGFW。您可以繼續在配有 ITO 的 VM 系列上無縫使用 NAT 功能。您還可以在 NVIDIA BlueField-3 DPU 上使用這些特性，獲得更高的吞吐量并將安全性能提高至少 5 倍。

派拓網絡與 NVIDIA 攜手在不影響性能和效率的情況下為企業帶來零信任安全。現在就通過 ITO 部署指南開始在 BlueField DPU 上使用智能流量卸載。