基于cPCI216标准的开放式模块化的网络安全业务处理平台新日
概述
面对现今融合通讯的大潮,国际PICMG标准化组织推出的CompactPCI2.16规范为广大应用提供了一个开放式的模块化的硬件综合平台.巨大地推动了网络通讯设备产业化大工业化的发展.凭借与这种平台,用户在获得高可靠性,高可用度的同时,可快速的推出特有的核心业务应用.现今,全球核心网络设备提供商们已经或逐步地把自己新近开发或正在开发的设备构筑在PICMG标准平台之上。
网络数据通讯中,网络安全日益成为网络中的热门话题,随着网络用户数目的急剧膨胀,网路流量的迅速增大,应运而生的对网络安全硬件设备的需求也日益提高,不仅要保持对不断提高的高吞吐量数据带宽接入的兼容性,而且要满足灵活的业务配置需求,同时还要提供良好的用户界面友好性和高可用度和高可靠性.传统私规形式的硬件构架结构,强调单板单系统应用,如ASIC,NP形式的防火墙应用.本文介绍的是基于PICMG开放式,模块化的硬件标准网络安全硬件平台是基于可伸缩的系统级应用考虑的。
如图所示,标准的双星形的CompactPCI2.16平台在Fabric交换槽位上的实现以太网交换转发功能的单板常规有1-2个千兆级联口和24个10/100/1000M交换口,其中19个通过背板与Node节点槽位上的单板进行通讯;其余5个一般通过后I/O口引出。标准的双星形的CompactPCI2.16平台在Node节点槽位上一般有两个10/100/1000M分别与两个Fabric交换槽位相联。
实现原理
CompactPCI2.16实现了嵌入式以太局域网络,其先天具有的高可用度、高可靠性和良好的可维护性、可扩容性成为网络数据集中平台的良好架构,加之其特有的单双星形网络拓扑结构,为网络安全应用提供了良好的拓扑承载架构。
单星形可实现基本网络数据报文策略分流过滤,双星在单星基础之上可实现网络连接通路硬件备份[需要结合HA实现].
单星形拓扑结构实现网络安全应用如下图所示:
图1-2单星形拓扑结构实现网络安全应用
由上图所示:
处于Fabric[交换]槽位的单板实现大容量数据接入处理:
基本数据交换机业务
根据应用完成初级层面的数据流分类
依据业务处理流程和CompactPCI2.16物理拓扑结构完成数据转发
…
处于Node[节点]槽位的单板根据特定应用要求实现用户业务处理,如:
VPN:加密算法
内容过滤:高层数据报文过滤
FirewallIDS:数据报文规则匹配
平台管理
Web接入
IPbilling
高层应用负载均衡
凌华模块化硬件平台解决方案
承载网络安全应用的PICMG2.16标准硬件平台可分为两种架构,一种是小容量的单星形的平台,另一种是大容量的双星形的平台。下面以单星形的cPSB-880阐述系统实现:
cPSB-880符合的CompactPCI的标准:
PICMG2.0CoreCompactPCISpecRev.3.0
PICMG2.1HotSwapSpec
PICMG2.9SystemManagement
PICMG2.10Keying
PICMG2.11PowerInterface
PICMG2.16PSB(PacketSwitchingBackplane)
cPSB-880构架的模块化硬软件体系结构
实现网络安全应用的cPSB-880由两大部分组成:
高可用度的cPSB-880硬件承载平台
cPSB-880系统为支持6U板卡的机箱,可直接放置在标准机架上。机箱内除背板和电源板外,可插入两块交换板、五块I/O板、一块系统板(用于PCI主控)、四个电源模块、两颗硬盘、一个软盘以及十个风扇(机箱上下部位各五个风扇)。另外,系统还提供状态指示灯,方便用户监控系统状态。
cPSB-880所容纳的CompactPCI应用单板:
交换板,I/O板,系统板
模块化业务组成实现
系统管理模块
由硬件平台管理模块、本地系统管理模块和远端管理模块三部分组成
硬件平台管理模块
由cPSB-880的机箱管理模块---CMM实现完整硬件平台的监控管理,实现本机硬件的状态在线监测和实时告警
本地系统管理模块
由cPSB-880所容纳的1个或多个X86计算刀片实现硬软件结合的本地管理,并提供管理界面和远程接口.软件操作系统根据用户需求选定;
硬件管理是通过网口与机箱管理模块---CMM进行通讯以获得实时硬件状态.
软件管理是通过网口与系统内所有相关刀片上运行的应用程序进行信息交换.
远程管理
远程管理终端通过网络与本地管理模块或者和机箱管理模块---CMM直接发送信息交互.完成系统 的远程监控
业务处理模块
分为数据接入模块和应用处理模块
数据接入模块
主要完成2,3层的以太网数据的策略性过滤和转发(少数时候可实现4—7层过滤转发).数据接入模块主要由NP单板实现或双XeonX86单板实现.
应用处理模块
主要完成高层数据处理,各种网络安全应用,如VPN中的加解密,内容过滤中的模式匹配等等.
典型业务构建
下面以电信运营级内容过滤系统和千兆VPN阐述典型业务构建电信运营级内容过滤系统。
处于Fabric交换槽位的NP单板(绿色)实现初级的过滤扫描和转发.接口配置:两个uplink千兆口完成数据报文的接收转发,6个2.16千兆通路实现和其他功能处理模块的数据交互。
处于Node槽位的X86单板有三种功能类型:1)过滤单板(灰色)—实现高层过滤;2)日志单板(棕色)—实现日志记录;3)管理单板(蓝色)—实现系统管理和路由管理;其接口统一配置为1个2.16千兆口和其他系统模块进行数据交互,1个千兆口直连外网段。
千兆VPN
处于Fabric槽位的NP单板(绿色)实现初级的过滤扫描和转发.接口配置:两个uplink千兆口完成数据报文的接收转发,3个2.16千兆通路实现和其他功能处理模块的数据交互。
处于Node槽位的X86单板有两种:
1)加解密单板(灰色)—实现明文和密文之间的转换;
2)管理单板(棕色)—实现系统管理和密匙周期,更新其接口统一配置为1个2.16千兆口和其转发模块进行数据交互;
承载在Node槽位X86单板上的PMC加密模块(蓝色)通过PMC和承载板协同工作共同完成加解密工作。
拓扑图如下:
前景展望
PICMG2.16标准化平台架构网络安全应用,在业界已经在VPN,IDS,IP-Billing,内容过滤等领域得到实际应用,随着基于PICMG2.16架构的网络处理器单板不断涌现,对数据接入和处理更加游刃有余,基于标准化模块化构架的网络安全平台必定会在日后的网安领域大显身手。
为了解决更大容量的数据流量处理,PICMG标准化组织业已推出了针对高端电信网络应用的硬件体系标准PICMG3.0系列标准,也就是业界俗称的aTCA.此种构架在背板上可承载2T以上的数据带宽,极大地解决了高端电信网络应用的数据瓶颈问题.这也为日后的中高端网络安全设备奠定了产业化的平台体系。
- 河南减煤1000万吨原则上不新增非电耗煤焊接手套柴油泵浴缸经纬仪钛钢Frc
- 广西玉柴集团搭建育人平台提升制造水平0南康温室大棚焊料螺纹规鸡养殖Frc
- 统计局2011年2月我国纱线产量1889裹胸平面玻璃和田玉器药品涂料装配线Frc
- 利用变频器来控制供水泵工艺礼品临清振动机净油机摄像机Frc
- 我国凹印市场从无到有从小到大盘锦灌封机锯子手表IC洗碗机Frc
- 新加坡注塑商称对未来审慎乐观机床垫铁手套机保险座端子机同步电机Frc
- 南昌氯碱PVC产销动态0欧式家具笔架海底电缆夹紧气缸集成块Frc
- 湖北巴东长江公路大桥完工种植机免烧砖机九分裤色标电平表Frc
- 湖州市太湖水利工程开发管理局乌海专业话筒蛋制品布娃娃开关阀Frc
- ERP项目的选型过程及效益研究压缩弹簧陶瓷元件热轧型钢冰粥机园艺石Frc