基于cPCI 2.16 標準的開放式模塊化的網(wǎng)絡(luò)安全業(yè)務(wù)處理平臺
2005/09/20
概述
面對現(xiàn)今融合通訊的大潮,國際PICMG標準化組織推出的CompactPCI2.16規(guī)范為廣大應(yīng)用提供了一個開放式的模塊化的硬件綜合平臺.巨大地推動了網(wǎng)絡(luò)通訊設(shè)備產(chǎn)業(yè)化大工業(yè)化的發(fā)展.憑借與這種平臺,用戶在獲得高可靠性,高可用度的同時,可快速的推出特有的核心業(yè)務(wù)應(yīng)用.現(xiàn)今,全球核心網(wǎng)絡(luò)設(shè)備提供商們已經(jīng)或逐步地把自己新近開發(fā)或正在開發(fā)的設(shè)備構(gòu)筑在PICMG標準平臺之上�。
網(wǎng)絡(luò)數(shù)據(jù)通訊中,網(wǎng)絡(luò)安全日益成為網(wǎng)絡(luò)中的熱門話題, 隨著網(wǎng)絡(luò)用戶數(shù)目的急劇膨脹,網(wǎng)路流量的迅速增大,應(yīng)運而生的對網(wǎng)絡(luò)安全硬件設(shè)備的需求也日益提高,不僅要保持對不斷提高的高吞吐量數(shù)據(jù)帶寬接入的兼容性,而且要滿足靈活的業(yè)務(wù)配置需求,同時還要提供良好的用戶界面友好性和高可用度和高可靠性.傳統(tǒng)私規(guī)形式的硬件構(gòu)架結(jié)構(gòu),強調(diào)單板單系統(tǒng)應(yīng)用,如ASIC,NP形式的防火墻應(yīng)用.本文介紹的是基于PICMG開放式,模塊化的硬件標準網(wǎng)絡(luò)安全硬件平臺是基于可伸縮的系統(tǒng)級應(yīng)用考慮的�。
PICMG2.16系統(tǒng)數(shù)據(jù)通路
如圖所示,標準的雙星形的CompactPCI2.16平臺在Fabric交換槽位上的實現(xiàn)以太網(wǎng)交換轉(zhuǎn)發(fā)功能的單板常規(guī)有1-2個千兆級聯(lián)口和24個10/100/1000M交換口,其中19個通過背板與Node節(jié)點槽位上的單板進行通訊;其余5個一般通過后I/O口引出�����。標準的雙星形的CompactPCI2.16平臺在Node節(jié)點槽位上一般有兩個10/100/1000M分別與兩個Fabric交換槽位相聯(lián)����。
實現(xiàn)原理
CompactPCI2.16實現(xiàn)了嵌入式以太局域網(wǎng)絡(luò),其先天具有的高可用度、高可靠性和良好的可維護性���、可擴容性成為網(wǎng)絡(luò)數(shù)據(jù)集中平臺的良好架構(gòu)���,加之其特有的單雙星形網(wǎng)絡(luò)拓撲結(jié)構(gòu),為網(wǎng)絡(luò)安全應(yīng)用提供了良好的拓撲承載架構(gòu)。
單星形可實現(xiàn)基本網(wǎng)絡(luò)數(shù)據(jù)報文策略分流過濾,雙星在單星基礎(chǔ)之上可實現(xiàn)網(wǎng)絡(luò)連接通路硬件備份[需要結(jié)合HA實現(xiàn)].
單星形拓撲結(jié)構(gòu)實現(xiàn)網(wǎng)絡(luò)安全應(yīng)用如下圖所示:
由上圖所示:
處于Fabric[交換]槽位的單板實現(xiàn)大容量數(shù)據(jù)接入處理:
基本數(shù)據(jù)交換機業(yè)務(wù)
根據(jù)應(yīng)用完成初級層面的數(shù)據(jù)流分類
依據(jù)業(yè)務(wù)處理流程和CompactPCI2.16物理拓撲結(jié)構(gòu)完成數(shù)據(jù)轉(zhuǎn)發(fā)
…
處于Node[節(jié)點]槽位的單板根據(jù)特定應(yīng)用要求實現(xiàn)用戶業(yè)務(wù)處理,如:
VPN: 加密算法
內(nèi)容過濾: 高層數(shù)據(jù)報文過濾
Firewall IDS: 數(shù)據(jù)報文規(guī)則匹配
平臺管理
Web接入
IP billing
高層應(yīng)用負載均衡
凌華模塊化硬件平臺解決方案
承載網(wǎng)絡(luò)安全應(yīng)用的PICMG2.16標準硬件平臺可分為兩種架構(gòu),一種是小容量的單星形的平臺,另一種是大容量的雙星形的平臺���。下面以單星形的cPSB-880闡述系統(tǒng)實現(xiàn):
cPSB-880符合的CompactPCI的標準:
PICMG 2.0 Core CompactPCI Spec Rev. 3.0
PICMG 2.1 Hot Swap Spec
PICMG 2.9 System Management
PICMG 2.10 Keying
PICMG 2.11 Power Interface
PICMG 2.16 PSB (Packet Switching Backplane)
cPSB-880構(gòu)架的模塊化硬軟件體系結(jié)構(gòu)
實現(xiàn)網(wǎng)絡(luò)安全應(yīng)用的cPSB-880由兩大部分組成:
高可用度的cPSB-880硬件承載平臺
cPSB-880系統(tǒng)為支持6U板卡的機箱��,可直接放置在標準機架上�。機箱內(nèi)除背板和電源板外,可插入兩塊交換板����、五塊I/O板、一塊系統(tǒng)板(用于PCI主控)���、四個電源模塊�、兩顆硬盤�����、一個軟盤以及十個風(fēng)扇(機箱上下部位各五個風(fēng)扇)�。另外,系統(tǒng)還提供狀態(tài)指示燈�����,方便用戶監(jiān)控系統(tǒng)狀態(tài)�。
cPSB-880所容納的CompactPCI應(yīng)用單板:
交換板,I/O板,系統(tǒng)板
模塊化業(yè)務(wù)組成實現(xiàn)
系統(tǒng)管理模塊
由硬件平臺管理模塊、本地系統(tǒng)管理模塊和遠端管理模塊三部分組成
硬件平臺管理模塊
由cPSB-880的機箱管理模塊---CMM實現(xiàn)完整硬件平臺的監(jiān)控管理,實現(xiàn)本機硬件的狀態(tài)在線監(jiān)測和實時告警
本地系統(tǒng)管理模塊
由cPSB-880所容納的1個或多個X86計算刀片實現(xiàn)硬軟件結(jié)合的本地管理,并提供管理界面和遠程接口.軟件操作系統(tǒng)根據(jù)用戶需求選定;
硬件管理是通過網(wǎng)口與機箱管理模塊---CMM進行通訊以獲得實時硬件狀態(tài).
軟件管理是通過網(wǎng)口與系統(tǒng)內(nèi)所有相關(guān)刀片上運行的應(yīng)用程序進行信息交換.
遠程管理
遠程管理終端通過網(wǎng)絡(luò)與本地管理模塊或者和機箱管理模塊---CMM直接發(fā)送信息交互.完成系統(tǒng)的遠程監(jiān)控
業(yè)務(wù)處理模塊
分為數(shù)據(jù)接入模塊和應(yīng)用處理模塊
數(shù)據(jù)接入模塊
主要完成2,3層的以太網(wǎng)數(shù)據(jù)的策略性過濾和轉(zhuǎn)發(fā)(少數(shù)時候可實現(xiàn)4-7層過濾轉(zhuǎn)發(fā)). 數(shù)據(jù)接入模塊主要由NP單板實現(xiàn)或雙Xeon X86單板實現(xiàn).
應(yīng)用處理模塊
主要完成高層數(shù)據(jù)處理�,各種網(wǎng)絡(luò)安全應(yīng)用,如VPN中的加解密,內(nèi)容過濾中的模式匹配等等.
典型業(yè)務(wù)構(gòu)建
下面以電信運營級內(nèi)容過濾系統(tǒng)和千兆VPN闡述典型業(yè)務(wù)構(gòu)建電信運營級內(nèi)容過濾系統(tǒng)。
處于Fabric交換槽位的NP單板(綠色) 實現(xiàn)初級的過濾掃描和轉(zhuǎn)發(fā).接口配置:兩個uplink千兆口完成數(shù)據(jù)報文的接收轉(zhuǎn)發(fā),6個2.16千兆通路實現(xiàn)和其他功能處理模塊的數(shù)據(jù)交互�。
處于Node槽位的X86單板有三種功能類型:1)過濾單板(灰色)-實現(xiàn)高層過濾;2)日志單板(棕色)-實現(xiàn)日志記錄;3)管理單板(藍色)-實現(xiàn)系統(tǒng)管理和路由管理;其接口統(tǒng)一配置為1個2.16千兆口和其他系統(tǒng)模塊進行數(shù)據(jù)交互,1個千兆口直連外網(wǎng)段。
拓撲圖如下:
|
槽位號 |
功能模塊 |
cPCI承載單板 |
連接通路(10/100M/1000M) |
|
1 |
低層規(guī)則過濾和轉(zhuǎn)發(fā) |
NP1200/2400單板 |
1: 連接外網(wǎng)
3*2.16: 連接高層過濾模塊 |
|
2 |
未用 |
--- |
--- |
|
3 |
高層規(guī)則過濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
4 |
高層規(guī)則過濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
5 |
高層規(guī)則過濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
6 |
主日志服務(wù)器 |
X86 雙xeon單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
7 |
備份日志服務(wù)器 |
X86 雙xeon單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
|
8 |
路由管理
系統(tǒng)管理 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊
1: 連接外網(wǎng)段 |
千兆VPN
處于Fabric槽位的NP單板(綠色) 實現(xiàn)初級的過濾掃描和轉(zhuǎn)發(fā).接口配置:兩個uplink千兆口完成數(shù)據(jù)報文的接收轉(zhuǎn)發(fā),3個2.16千兆通路實現(xiàn)和其他功能處理模塊的數(shù)據(jù)交互����。
處于Node槽位的X86單板有兩種:
1) 加解密單板(灰色)-實現(xiàn)明文和密文之間的轉(zhuǎn)換����;
2)管理單板(棕色)-實現(xiàn)系統(tǒng)管理和密匙周期����,更新其接口統(tǒng)一配置為1個2.16千兆口和其轉(zhuǎn)發(fā)模塊進行數(shù)據(jù)交互��;
承載在Node槽位X86單板上的PMC加密模塊(藍色)通過PMC和承載板協(xié)同工作共同完成加解密工作���。
拓撲圖如下:
|
槽位號 |
功能模塊 |
cPCI承載單板 |
連接通路(10/100M/1000M) |
|
1 |
低層規(guī)則過濾和轉(zhuǎn)發(fā) |
NP1200/2400單板 |
1: 連接外網(wǎng)
3*2.16: 連接加解密模塊
2*2.16: 連接管理模塊 |
|
2 |
未用 |
--- |
--- |
|
3 |
加解密高層規(guī)則過濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
4 |
加解密高層規(guī)則過濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
5 |
加解密高層規(guī)則過濾 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
6 |
密匙更新、系統(tǒng)管理 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
7 |
密匙更新、系統(tǒng)管理 |
X86 PIII/PIV 單板 |
1*2.16: 連接轉(zhuǎn)發(fā)模塊 |
|
8 |
未用 |
--- |
--- |
前景展望
PICMG2.16標準化平臺架構(gòu)網(wǎng)絡(luò)安全應(yīng)用,在業(yè)界已經(jīng)在VPN,IDS,IP-Billing,內(nèi)容過濾等領(lǐng)域得到實際應(yīng)用,隨著基于PICMG2.16架構(gòu)的網(wǎng)絡(luò)處理器單板不斷涌現(xiàn),對數(shù)據(jù)接入和處理更加游刃有余,基于標準化模塊化構(gòu)架的網(wǎng)絡(luò)安全平臺必定會在日后的網(wǎng)安領(lǐng)域大顯身手��。
為了解決更大容量的數(shù)據(jù)流量處理,PICMG標準化組織業(yè)已推出了針對高端電信網(wǎng)絡(luò)應(yīng)用的硬件體系標準PICMG3.0系列標準,也就是業(yè)界俗稱的aTCA.此種構(gòu)架在背板上可承載2T以上的數(shù)據(jù)帶寬,極大地解決了高端電信網(wǎng)絡(luò)應(yīng)用的數(shù)據(jù)瓶頸問題.這也為日后的中高端網(wǎng)絡(luò)安全設(shè)備奠定了產(chǎn)業(yè)化的平臺體系���。
凌華科技公司供稿 CTI論壇編輯
相關(guān)鏈接: