基于cPCI 2.16 標(biāo)準(zhǔn)的開放式模塊化的網(wǎng)絡(luò)安全業(yè)務(wù)處理平臺(tái)
2005/09/20
概述
面對(duì)現(xiàn)今融合通訊的大潮,國(guó)際PICMG標(biāo)準(zhǔn)化組織推出的CompactPCI2.16規(guī)范為廣大應(yīng)用提供了一個(gè)開放式的模塊化的硬件綜合平臺(tái).巨大地推動(dòng)了網(wǎng)絡(luò)通訊設(shè)備產(chǎn)業(yè)化大工業(yè)化的發(fā)展.憑借與這種平臺(tái),用戶在獲得高可靠性,高可用度的同時(shí),可快速的推出特有的核心業(yè)務(wù)應(yīng)用.現(xiàn)今,全球核心網(wǎng)絡(luò)設(shè)備提供商們已經(jīng)或逐步地把自己新近開發(fā)或正在開發(fā)的設(shè)備構(gòu)筑在PICMG標(biāo)準(zhǔn)平臺(tái)之上�����。
網(wǎng)絡(luò)數(shù)據(jù)通訊中,網(wǎng)絡(luò)安全日益成為網(wǎng)絡(luò)中的熱門話題, 隨著網(wǎng)絡(luò)用戶數(shù)目的急劇膨脹,網(wǎng)路流量的迅速增大,應(yīng)運(yùn)而生的對(duì)網(wǎng)絡(luò)安全硬件設(shè)備的需求也日益提高,不僅要保持對(duì)不斷提高的高吞吐量數(shù)據(jù)帶寬接入的兼容性,而且要滿足靈活的業(yè)務(wù)配置需求,同時(shí)還要提供良好的用戶界面友好性和高可用度和高可靠性.傳統(tǒng)私規(guī)形式的硬件構(gòu)架結(jié)構(gòu),強(qiáng)調(diào)單板單系統(tǒng)應(yīng)用,如ASIC,NP形式的防火墻應(yīng)用.本文介紹的是基于PICMG開放式,模塊化的硬件標(biāo)準(zhǔn)網(wǎng)絡(luò)安全硬件平臺(tái)是基于可伸縮的系統(tǒng)級(jí)應(yīng)用考慮的�����。
PICMG2.16系統(tǒng)數(shù)據(jù)通路
如圖所示�����,標(biāo)準(zhǔn)的雙星形的CompactPCI2.16平臺(tái)在Fabric交換槽位上的實(shí)現(xiàn)以太網(wǎng)交換轉(zhuǎn)發(fā)功能的單板常規(guī)有1-2個(gè)千兆級(jí)聯(lián)口和24個(gè)10/100/1000M交換口,其中19個(gè)通過(guò)背板與Node節(jié)點(diǎn)槽位上的單板進(jìn)行通訊;其余5個(gè)一般通過(guò)后I/O口引出�����。標(biāo)準(zhǔn)的雙星形的CompactPCI2.16平臺(tái)在Node節(jié)點(diǎn)槽位上一般有兩個(gè)10/100/1000M分別與兩個(gè)Fabric交換槽位相聯(lián)�。
實(shí)現(xiàn)原理
CompactPCI2.16實(shí)現(xiàn)了嵌入式以太局域網(wǎng)絡(luò),其先天具有的高可用度���、高可靠性和良好的可維護(hù)性�、可擴(kuò)容性成為網(wǎng)絡(luò)數(shù)據(jù)集中平臺(tái)的良好架構(gòu)�,加之其特有的單雙星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),為網(wǎng)絡(luò)安全應(yīng)用提供了良好的拓?fù)涑休d架構(gòu)。
單星形可實(shí)現(xiàn)基本網(wǎng)絡(luò)數(shù)據(jù)報(bào)文策略分流過(guò)濾,雙星在單星基礎(chǔ)之上可實(shí)現(xiàn)網(wǎng)絡(luò)連接通路硬件備份[需要結(jié)合HA實(shí)現(xiàn)].
單星形拓?fù)浣Y(jié)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)安全應(yīng)用如下圖所示:
由上圖所示:
處于Fabric[交換]槽位的單板實(shí)現(xiàn)大容量數(shù)據(jù)接入處理:
基本數(shù)據(jù)交換機(jī)業(yè)務(wù)
根據(jù)應(yīng)用完成初級(jí)層面的數(shù)據(jù)流分類
依據(jù)業(yè)務(wù)處理流程和CompactPCI2.16物理拓?fù)浣Y(jié)構(gòu)完成數(shù)據(jù)轉(zhuǎn)發(fā)
…
處于Node[節(jié)點(diǎn)]槽位的單板根據(jù)特定應(yīng)用要求實(shí)現(xiàn)用戶業(yè)務(wù)處理,如:
VPN: 加密算法
內(nèi)容過(guò)濾: 高層數(shù)據(jù)報(bào)文過(guò)濾
Firewall IDS: 數(shù)據(jù)報(bào)文規(guī)則匹配
平臺(tái)管理
Web接入
IP billing
高層應(yīng)用負(fù)載均衡
凌華模塊化硬件平臺(tái)解決方案
承載網(wǎng)絡(luò)安全應(yīng)用的PICMG2.16標(biāo)準(zhǔn)硬件平臺(tái)可分為兩種架構(gòu),一種是小容量的單星形的平臺(tái),另一種是大容量的雙星形的平臺(tái)�����。下面以單星形的cPSB-880闡述系統(tǒng)實(shí)現(xiàn):
cPSB-880符合的CompactPCI的標(biāo)準(zhǔn):
PICMG 2.0 Core CompactPCI Spec Rev. 3.0
PICMG 2.1 Hot Swap Spec
PICMG 2.9 System Management
PICMG 2.10 Keying
PICMG 2.11 Power Interface
PICMG 2.16 PSB (Packet Switching Backplane)
cPSB-880構(gòu)架的模塊化硬軟件體系結(jié)構(gòu)
實(shí)現(xiàn)網(wǎng)絡(luò)安全應(yīng)用的cPSB-880由兩大部分組成:
高可用度的cPSB-880硬件承載平臺(tái)
cPSB-880系統(tǒng)為支持6U板卡的機(jī)箱���,可直接放置在標(biāo)準(zhǔn)機(jī)架上����。機(jī)箱內(nèi)除背板和電源板外�����,可插入兩塊交換板��、五塊I/O板�、一塊系統(tǒng)板(用于PCI主控)、四個(gè)電源模塊�����、兩顆硬盤、一個(gè)軟盤以及十個(gè)風(fēng)扇(機(jī)箱上下部位各五個(gè)風(fēng)扇)����。另外,系統(tǒng)還提供狀態(tài)指示燈�����,方便用戶監(jiān)控系統(tǒng)狀態(tài)�。
cPSB-880所容納的CompactPCI應(yīng)用單板:
交換板,I/O板,系統(tǒng)板
模塊化業(yè)務(wù)組成實(shí)現(xiàn)
系統(tǒng)管理模塊
由硬件平臺(tái)管理模塊、本地系統(tǒng)管理模塊和遠(yuǎn)端管理模塊三部分組成
硬件平臺(tái)管理模塊
由cPSB-880的機(jī)箱管理模塊---CMM實(shí)現(xiàn)完整硬件平臺(tái)的監(jiān)控管理,實(shí)現(xiàn)本機(jī)硬件的狀態(tài)在線監(jiān)測(cè)和實(shí)時(shí)告警
本地系統(tǒng)管理模塊
由cPSB-880所容納的1個(gè)或多個(gè)X86計(jì)算刀片實(shí)現(xiàn)硬軟件結(jié)合的本地管理,并提供管理界面和遠(yuǎn)程接口.軟件操作系統(tǒng)根據(jù)用戶需求選定;
硬件管理是通過(guò)網(wǎng)口與機(jī)箱管理模塊---CMM進(jìn)行通訊以獲得實(shí)時(shí)硬件狀態(tài).
軟件管理是通過(guò)網(wǎng)口與系統(tǒng)內(nèi)所有相關(guān)刀片上運(yùn)行的應(yīng)用程序進(jìn)行信息交換.
遠(yuǎn)程管理
遠(yuǎn)程管理終端通過(guò)網(wǎng)絡(luò)與本地管理模塊或者和機(jī)箱管理模塊---CMM直接發(fā)送信息交互.完成系統(tǒng)的遠(yuǎn)程監(jiān)控
業(yè)務(wù)處理模塊
分為數(shù)據(jù)接入模塊和應(yīng)用處理模塊
數(shù)據(jù)接入模塊
主要完成2,3層的以太網(wǎng)數(shù)據(jù)的策略性過(guò)濾和轉(zhuǎn)發(fā)(少數(shù)時(shí)候可實(shí)現(xiàn)4-7層過(guò)濾轉(zhuǎn)發(fā)). 數(shù)據(jù)接入模塊主要由NP單板實(shí)現(xiàn)或雙Xeon X86單板實(shí)現(xiàn).
應(yīng)用處理模塊
主要完成高層數(shù)據(jù)處理����,各種網(wǎng)絡(luò)安全應(yīng)用,如VPN中的加解密,內(nèi)容過(guò)濾中的模式匹配等等.
典型業(yè)務(wù)構(gòu)建
下面以電信運(yùn)營(yíng)級(jí)內(nèi)容過(guò)濾系統(tǒng)和千兆VPN闡述典型業(yè)務(wù)構(gòu)建電信運(yùn)營(yíng)級(jí)內(nèi)容過(guò)濾系統(tǒng)。
處于Fabric交換槽位的NP單板(綠色) 實(shí)現(xiàn)初級(jí)的過(guò)濾掃描和轉(zhuǎn)發(fā).接口配置:兩個(gè)uplink千兆口完成數(shù)據(jù)報(bào)文的接收轉(zhuǎn)發(fā),6個(gè)2.16千兆通路實(shí)現(xiàn)和其他功能處理模塊的數(shù)據(jù)交互����。
處于Node槽位的X86單板有三種功能類型:1)過(guò)濾單板(灰色)-實(shí)現(xiàn)高層過(guò)濾;2)日志單板(棕色)-實(shí)現(xiàn)日志記錄;3)管理單板(藍(lán)色)-實(shí)現(xiàn)系統(tǒng)管理和路由管理;其接口統(tǒng)一配置為1個(gè)2.16千兆口和其他系統(tǒng)模塊進(jìn)行數(shù)據(jù)交互,1個(gè)千兆口直連外網(wǎng)段。
拓?fù)鋱D如下:
|
槽位號(hào) |
功能模塊 |
cPCI承載單板 |
連接通路(10/100M/1000M) |
|
1 |
低層規(guī)則過(guò)濾和轉(zhuǎn)發(fā) |
NP1200/2400單板 |
1: 連接外網(wǎng)
3*2.16: 連接高層過(guò)濾模塊 |
|
2 |
未用 |
--- |
--- |
|
3 |
高層規(guī)則過(guò)濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
4 |
高層規(guī)則過(guò)濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
5 |
高層規(guī)則過(guò)濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
6 |
主日志服務(wù)器 |
X86 雙xeon單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
7 |
備份日志服務(wù)器 |
X86 雙xeon單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
8 |
路由管理
系統(tǒng)管理 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
千兆VPN
處于Fabric槽位的NP單板(綠色) 實(shí)現(xiàn)初級(jí)的過(guò)濾掃描和轉(zhuǎn)發(fā).接口配置:兩個(gè)uplink千兆口完成數(shù)據(jù)報(bào)文的接收轉(zhuǎn)發(fā),3個(gè)2.16千兆通路實(shí)現(xiàn)和其他功能處理模塊的數(shù)據(jù)交互�。
處于Node槽位的X86單板有兩種:
1) 加解密單板(灰色)-實(shí)現(xiàn)明文和密文之間的轉(zhuǎn)換;
2)管理單板(棕色)-實(shí)現(xiàn)系統(tǒng)管理和密匙周期���,更新其接口統(tǒng)一配置為1個(gè)2.16千兆口和其轉(zhuǎn)發(fā)模塊進(jìn)行數(shù)據(jù)交互����;
承載在Node槽位X86單板上的PMC加密模塊(藍(lán)色)通過(guò)PMC和承載板協(xié)同工作共同完成加解密工作。
拓?fù)鋱D如下:
|
槽位號(hào) |
功能模塊 |
cPCI承載單板 |
連接通路(10/100M/1000M) |
|
1 |
低層規(guī)則過(guò)濾和轉(zhuǎn)發(fā) |
NP1200/2400單板 |
1: 連接外網(wǎng)
3*2.16: 連接加解密模塊
2*2.16: 連接管理模塊 |
|
2 |
未用 |
--- |
--- |
|
3 |
加解密高層規(guī)則過(guò)濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
4 |
加解密高層規(guī)則過(guò)濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
5 |
加解密高層規(guī)則過(guò)濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
6 |
密匙更新�、系統(tǒng)管理 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
7 |
密匙更新、系統(tǒng)管理 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
8 |
未用 |
--- |
--- |
前景展望
PICMG2.16標(biāo)準(zhǔn)化平臺(tái)架構(gòu)網(wǎng)絡(luò)安全應(yīng)用,在業(yè)界已經(jīng)在VPN,IDS,IP-Billing,內(nèi)容過(guò)濾等領(lǐng)域得到實(shí)際應(yīng)用,隨著基于PICMG2.16架構(gòu)的網(wǎng)絡(luò)處理器單板不斷涌現(xiàn),對(duì)數(shù)據(jù)接入和處理更加游刃有余,基于標(biāo)準(zhǔn)化模塊化構(gòu)架的網(wǎng)絡(luò)安全平臺(tái)必定會(huì)在日后的網(wǎng)安領(lǐng)域大顯身手��。
為了解決更大容量的數(shù)據(jù)流量處理,PICMG標(biāo)準(zhǔn)化組織業(yè)已推出了針對(duì)高端電信網(wǎng)絡(luò)應(yīng)用的硬件體系標(biāo)準(zhǔn)PICMG3.0系列標(biāo)準(zhǔn),也就是業(yè)界俗稱的aTCA.此種構(gòu)架在背板上可承載2T以上的數(shù)據(jù)帶寬,極大地解決了高端電信網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)瓶頸問(wèn)題.這也為日后的中高端網(wǎng)絡(luò)安全設(shè)備奠定了產(chǎn)業(yè)化的平臺(tái)體系����。
凌華科技公司供稿 CTI論壇編輯
相關(guān)鏈接:
伊宁市|
泌阳县|
方山县|
普宁市|
三都|
胶州市|
汝南县|
灵山县|
常德市|
鲁甸县|
改则县|
麻栗坡县|
泗阳县|
临泉县|
盈江县|
丹棱县|
松阳县|
万山特区|
临邑县|
湖州市|
丰顺县|
二手房|
永嘉县|
曲麻莱县|
肃南|
宜川县|
碌曲县|
修武县|
麟游县|
孟州市|
永顺县|
平武县|
鹤庆县|
库尔勒市|
昭苏县|
句容市|
岳普湖县|
桐庐县|
乌拉特后旗|
茶陵县|
三明市|