隨著企業(yè)網(wǎng)絡向100G高速互聯(lián)與多云架構(gòu)演進，傳統(tǒng)的網(wǎng)絡流量管理模型正面臨根本性挑戰(zhàn)。基于靜態(tài)IP五元組的策略配置，在應對IP動態(tài)化、CDN服務復用及加密流量普及等現(xiàn)實場景時，不僅運維復雜度劇增，更難以保障關(guān)鍵業(yè)務的體驗與安全。網(wǎng)絡架構(gòu)的升級，亟需從“以地址為中心”轉(zhuǎn)向“以身份與來源為核心”的智能控制范式。

AsterNOS-VPP 所集成的 Geo-Engine 技術(shù)，通過輕量化、高效率的協(xié)議頭部解析機制，在數(shù)據(jù)轉(zhuǎn)發(fā)面直接提取流量身份特征——如 TLS SNI、HTTP Host、DNS Query 等，并借助 GeoIP（地理區(qū)域）與 GeoSite（應用分類）兩大規(guī)則引擎，實現(xiàn)對流量的實時識別與分類。該方案摒棄了傳統(tǒng)深度包檢測（DPI）的資源消耗與性能瓶頸，在 TLS 1.3 全加密環(huán)境下仍能保持線速轉(zhuǎn)發(fā)，為高吞吐場景下的精細策略部署提供了技術(shù)基礎。

高效識別與匹配架構(gòu)

AsterNOS Geo-Engine 的關(guān)鍵創(chuàng)新在于其“提取-匹配-執(zhí)行”的高效流水線設計：

多協(xié)議特征提取

針對 HTTPS/TLS、HTTP/1.1、DNS、SOCKS5 等常見協(xié)議，僅解析其握手或請求頭部中的關(guān)鍵字段，如 SNI、Host 等，避免全報文檢測帶來的性能損耗。

• TTPS/TLS： 在 TLS 握手階段解析 Client Hello 包，提取SNI（Server Name Indication） 字段

• HTTP/1.1： 解析請求頭中的Host字段

• DNS： 當設備作為 DNS 代理或網(wǎng)關(guān)時，直接從 Query Name 字段提取域名

• SOCKS5： 提取 ATYP 為域名類型時的 DST.ADDR

高性能規(guī)則匹配

采用 Patricia Trie 結(jié)構(gòu)管理 IP 規(guī)則，支持高速最長前綴匹配；域名規(guī)則則通過優(yōu)化后的 Trie 樹實現(xiàn)后綴匹配。該結(jié)構(gòu)支持多條規(guī)則重疊匹配，并按優(yōu)先級返回結(jié)果，兼顧了精準度與處理效率。

（Patricia Trie（帕特里夏樹）是一種專門處理字符串匹配的高效索引結(jié)構(gòu)。它通過合并只有單一子節(jié)點的路徑來“壓縮”空間，像一棵去掉了冗余分叉的樹。在網(wǎng)絡路由中，它能以極速實現(xiàn)最長前綴匹配，即從成千上萬條路由規(guī)則中瞬間鎖定最精確的那一條 。）

有狀態(tài)會話管理

系統(tǒng)維護動態(tài)會話表，對同一流后續(xù)報文直接復用識別結(jié)果，極大降低重復解析開銷，保障轉(zhuǎn)發(fā)平面性能穩(wěn)定。

數(shù)據(jù)包進入VPP的 ip4/6 輸入節(jié)點后的處理流程如下：

1. 域名提?。簲?shù)據(jù)包進入geosite_input節(jié)點，根據(jù)協(xié)議類型提取域名。
2. 會話查詢：系統(tǒng)查詢現(xiàn)有會話表。若存在匹配結(jié)果則直接復用，減少重復解析開銷。
3. 規(guī)則匹配：

• 域名特征匹配：對于攜帶域名信息的數(shù)據(jù)包（如TLS客戶端初始化、HTTP主機字段、DNS查詢），系統(tǒng)優(yōu)先提取域名特征并與GeoSite規(guī)則庫進行匹配，這是最精確的識別方式。
• IP匹配：對于域名未匹配任何規(guī)則的數(shù)據(jù)包，系統(tǒng)利用DNS解析結(jié)果匹配配置的GeoIP規(guī)則。
• 對于無法提取域名數(shù)據(jù)包，系統(tǒng)直接使用IP地址進行匹配。

典型業(yè)務場景與策略價值

基于上述能力，企業(yè)可在以下幾類典型場景中實現(xiàn)策略升級：

1、應用感知路由（PBR）

通過域名而非 IP 定義關(guān)鍵業(yè)務（如 Zoom、Microsoft 365），實現(xiàn)流量自動導向優(yōu)質(zhì)鏈路。即便服務端 IP 變更，策略依然持續(xù)生效，極大提升路由可靠性與運維自動化水平。

偽代碼示例：

pbr-map SMART_ROUTING match geosite ZOOM set nexthop match geosite MICROSOFT set nexthop

2、安全合規(guī)與訪問控制

直接基于地理區(qū)域（GeoIP）或應用類別（GeoSite）配置 ACL 策略，無需依賴外部防火墻或昂貴特征庫。例如，可一鍵阻斷特定國家訪問或非業(yè)務類應用，在轉(zhuǎn)發(fā)面實現(xiàn)零信任流量的早期過濾。

偽代碼示例：

access-list SECURE_ACL # Deny all media websites (based on domain classification) rule 10 deny geosite CATEGORY-MEDIA # Block US IPs (based on geo-location) rule 20 deny geoip US

3、精細化服務質(zhì)量（QoS）控制

在加密通道內(nèi)區(qū)分不同應用流量，并實施差異化帶寬保障。例如，限制 YouTube 等視頻流媒體帶寬，同時保障視頻會議流暢，實現(xiàn)業(yè)務體驗與資源利用的平衡。

偽代碼示例：

#Define the throttle policy

traffic behavior LIMIT_STREAMING

car sr-tcm cir 100 cbs 6400

#Create Stateful ACL

access-list REFLECT_L3 APP_QOS_POLICY

rule 10 geosite YOUTUBE traffic-behavior LIMIT_STREAMING

從軟件到硬件的完整交付

AsterNOS-VPP 目前搭載于星融元 ET 系列開放智能業(yè)務處理平臺，涵蓋從邊緣到核心的多種設備型號。例如：

• ET2500：適用于分支與邊緣接入場景，支持多速率以太網(wǎng)接口及 PoE++ 供電，滿負載功耗僅 60W（不含 PoE）。

• ET3600：面向匯聚與高性能邊緣節(jié)點，提供 100G 高速接口，支持電源與風扇冗余，滿足高可用部署需求。