基于cPCI 2.16 標準的開放式模塊化的網(wǎng)絡安全業(yè)務處理平臺

2005/09/20

概述

  面對現(xiàn)今融合通訊的大潮,國際PICMG標準化組織推出的CompactPCI2.16規(guī)范為廣大應用提供了一個開放式的模塊化的硬件綜合平臺.巨大地推動了網(wǎng)絡通訊設備產業(yè)化大工業(yè)化的發(fā)展.憑借與這種平臺,用戶在獲得高可靠性,高可用度的同時,可快速的推出特有的核心業(yè)務應用.現(xiàn)今,全球核心網(wǎng)絡設備提供商們已經或逐步地把自己新近開發(fā)或正在開發(fā)的設備構筑在PICMG標準平臺之上。

  網(wǎng)絡數(shù)據(jù)通訊中,網(wǎng)絡安全日益成為網(wǎng)絡中的熱門話題, 隨著網(wǎng)絡用戶數(shù)目的急劇膨脹,網(wǎng)路流量的迅速增大,應運而生的對網(wǎng)絡安全硬件設備的需求也日益提高,不僅要保持對不斷提高的高吞吐量數(shù)據(jù)帶寬接入的兼容性,而且要滿足靈活的業(yè)務配置需求,同時還要提供良好的用戶界面友好性和高可用度和高可靠性.傳統(tǒng)私規(guī)形式的硬件構架結構,強調單板單系統(tǒng)應用,如ASIC,NP形式的防火墻應用.本文介紹的是基于PICMG開放式,模塊化的硬件標準網(wǎng)絡安全硬件平臺是基于可伸縮的系統(tǒng)級應用考慮的。

PICMG2.16系統(tǒng)數(shù)據(jù)通路


  如圖所示,標準的雙星形的CompactPCI2.16平臺在Fabric交換槽位上的實現(xiàn)以太網(wǎng)交換轉發(fā)功能的單板常規(guī)有1-2個千兆級聯(lián)口和24個10/100/1000M交換口,其中19個通過背板與Node節(jié)點槽位上的單板進行通訊;其余5個一般通過后I/O口引出。標準的雙星形的CompactPCI2.16平臺在Node節(jié)點槽位上一般有兩個10/100/1000M分別與兩個Fabric交換槽位相聯(lián)。

實現(xiàn)原理
  CompactPCI2.16實現(xiàn)了嵌入式以太局域網(wǎng)絡,其先天具有的高可用度、高可靠性和良好的可維護性、可擴容性成為網(wǎng)絡數(shù)據(jù)集中平臺的良好架構,加之其特有的單雙星形網(wǎng)絡拓撲結構,為網(wǎng)絡安全應用提供了良好的拓撲承載架構。

  單星形可實現(xiàn)基本網(wǎng)絡數(shù)據(jù)報文策略分流過濾,雙星在單星基礎之上可實現(xiàn)網(wǎng)絡連接通路硬件備份[需要結合HA實現(xiàn)].

  單星形拓撲結構實現(xiàn)網(wǎng)絡安全應用如下圖所示:


由上圖所示:

處于Fabric[交換]槽位的單板實現(xiàn)大容量數(shù)據(jù)接入處理:

  基本數(shù)據(jù)交換機業(yè)務
  根據(jù)應用完成初級層面的數(shù)據(jù)流分類
  依據(jù)業(yè)務處理流程和CompactPCI2.16物理拓撲結構完成數(shù)據(jù)轉發(fā)
  …

處于Node[節(jié)點]槽位的單板根據(jù)特定應用要求實現(xiàn)用戶業(yè)務處理,如:

VPN: 加密算法
內容過濾: 高層數(shù)據(jù)報文過濾
Firewall IDS: 數(shù)據(jù)報文規(guī)則匹配
  平臺管理
  Web接入
  IP billing
  高層應用負載均衡

凌華模塊化硬件平臺解決方案
  承載網(wǎng)絡安全應用的PICMG2.16標準硬件平臺可分為兩種架構,一種是小容量的單星形的平臺,另一種是大容量的雙星形的平臺。下面以單星形的cPSB-880闡述系統(tǒng)實現(xiàn):

cPSB-880符合的CompactPCI的標準:
  PICMG 2.0 Core CompactPCI Spec Rev. 3.0
  PICMG 2.1 Hot Swap Spec
  PICMG 2.9 System Management
  PICMG 2.10 Keying
  PICMG 2.11 Power Interface
  PICMG 2.16 PSB (Packet Switching Backplane)

cPSB-880構架的模塊化硬軟件體系結構


實現(xiàn)網(wǎng)絡安全應用的cPSB-880由兩大部分組成:

高可用度的cPSB-880硬件承載平臺
  cPSB-880系統(tǒng)為支持6U板卡的機箱,可直接放置在標準機架上。機箱內除背板和電源板外,可插入兩塊交換板、五塊I/O板、一塊系統(tǒng)板(用于PCI主控)、四個電源模塊、兩顆硬盤、一個軟盤以及十個風扇(機箱上下部位各五個風扇)。另外,系統(tǒng)還提供狀態(tài)指示燈,方便用戶監(jiān)控系統(tǒng)狀態(tài)。

cPSB-880所容納的CompactPCI應用單板:
  交換板,I/O板,系統(tǒng)板

模塊化業(yè)務組成實現(xiàn)

系統(tǒng)管理模塊
  由硬件平臺管理模塊、本地系統(tǒng)管理模塊和遠端管理模塊三部分組成

硬件平臺管理模塊
  由cPSB-880的機箱管理模塊---CMM實現(xiàn)完整硬件平臺的監(jiān)控管理,實現(xiàn)本機硬件的狀態(tài)在線監(jiān)測和實時告警

本地系統(tǒng)管理模塊
  由cPSB-880所容納的1個或多個X86計算刀片實現(xiàn)硬軟件結合的本地管理,并提供管理界面和遠程接口.軟件操作系統(tǒng)根據(jù)用戶需求選定;
硬件管理是通過網(wǎng)口與機箱管理模塊---CMM進行通訊以獲得實時硬件狀態(tài).
軟件管理是通過網(wǎng)口與系統(tǒng)內所有相關刀片上運行的應用程序進行信息交換.

遠程管理
  遠程管理終端通過網(wǎng)絡與本地管理模塊或者和機箱管理模塊---CMM直接發(fā)送信息交互.完成系統(tǒng)的遠程監(jiān)控

業(yè)務處理模塊
  分為數(shù)據(jù)接入模塊和應用處理模塊

數(shù)據(jù)接入模塊
  主要完成2,3層的以太網(wǎng)數(shù)據(jù)的策略性過濾和轉發(fā)(少數(shù)時候可實現(xiàn)4-7層過濾轉發(fā)). 數(shù)據(jù)接入模塊主要由NP單板實現(xiàn)或雙Xeon X86單板實現(xiàn).

應用處理模塊
  主要完成高層數(shù)據(jù)處理,各種網(wǎng)絡安全應用,如VPN中的加解密,內容過濾中的模式匹配等等.

典型業(yè)務構建
  下面以電信運營級內容過濾系統(tǒng)和千兆VPN闡述典型業(yè)務構建電信運營級內容過濾系統(tǒng)。

  處于Fabric交換槽位的NP單板(綠色) 實現(xiàn)初級的過濾掃描和轉發(fā).接口配置:兩個uplink千兆口完成數(shù)據(jù)報文的接收轉發(fā),6個2.16千兆通路實現(xiàn)和其他功能處理模塊的數(shù)據(jù)交互。

  處于Node槽位的X86單板有三種功能類型:1)過濾單板(灰色)-實現(xiàn)高層過濾;2)日志單板(棕色)-實現(xiàn)日志記錄;3)管理單板(藍色)-實現(xiàn)系統(tǒng)管理和路由管理;其接口統(tǒng)一配置為1個2.16千兆口和其他系統(tǒng)模塊進行數(shù)據(jù)交互,1個千兆口直連外網(wǎng)段。

拓撲圖如下:


槽位號

功能模塊

cPCI承載單板

連接通路(10/100M/1000M)

1

低層規(guī)則過濾和轉發(fā)

NP1200/2400單板

1: 連接外網(wǎng)

3*2.16: 連接高層過濾模塊

2

未用

---

---

3

高層規(guī)則過濾

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

1: 連接外網(wǎng)段

4

高層規(guī)則過濾

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

1: 連接外網(wǎng)段

5

高層規(guī)則過濾

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

1: 連接外網(wǎng)段

6

主日志服務器

X86 xeon單板

1*2.16: 連接轉發(fā)模塊

1: 連接外網(wǎng)段

7

備份日志服務器

X86 xeon單板

1*2.16: 連接轉發(fā)模塊

1: 連接外網(wǎng)段

8

路由管理

系統(tǒng)管理

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

1: 連接外網(wǎng)段

千兆VPN

  處于Fabric槽位的NP單板(綠色) 實現(xiàn)初級的過濾掃描和轉發(fā).接口配置:兩個uplink千兆口完成數(shù)據(jù)報文的接收轉發(fā),3個2.16千兆通路實現(xiàn)和其他功能處理模塊的數(shù)據(jù)交互。

處于Node槽位的X86單板有兩種:
  1) 加解密單板(灰色)-實現(xiàn)明文和密文之間的轉換;
  2)管理單板(棕色)-實現(xiàn)系統(tǒng)管理和密匙周期,更新其接口統(tǒng)一配置為1個2.16千兆口和其轉發(fā)模塊進行數(shù)據(jù)交互;

  承載在Node槽位X86單板上的PMC加密模塊(藍色)通過PMC和承載板協(xié)同工作共同完成加解密工作。

拓撲圖如下:


槽位號

功能模塊

cPCI承載單板

連接通路(10/100M/1000M)

1

低層規(guī)則過濾和轉發(fā)

NP1200/2400單板

1: 連接外網(wǎng)

3*2.16: 連接加解密模塊

2*2.16: 連接管理模塊

2

未用

---

---

3

加解密高層規(guī)則過濾

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

4

加解密高層規(guī)則過濾

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

5

加解密高層規(guī)則過濾

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

6

密匙更新、系統(tǒng)管理

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

7

密匙更新、系統(tǒng)管理

X86 PIII/PIV 單板

1*2.16: 連接轉發(fā)模塊

8

未用

---

---

前景展望

  PICMG2.16標準化平臺架構網(wǎng)絡安全應用,在業(yè)界已經在VPN,IDS,IP-Billing,內容過濾等領域得到實際應用,隨著基于PICMG2.16架構的網(wǎng)絡處理器單板不斷涌現(xiàn),對數(shù)據(jù)接入和處理更加游刃有余,基于標準化模塊化構架的網(wǎng)絡安全平臺必定會在日后的網(wǎng)安領域大顯身手。

  為了解決更大容量的數(shù)據(jù)流量處理,PICMG標準化組織業(yè)已推出了針對高端電信網(wǎng)絡應用的硬件體系標準PICMG3.0系列標準,也就是業(yè)界俗稱的aTCA.此種構架在背板上可承載2T以上的數(shù)據(jù)帶寬,極大地解決了高端電信網(wǎng)絡應用的數(shù)據(jù)瓶頸問題.這也為日后的中高端網(wǎng)絡安全設備奠定了產業(yè)化的平臺體系。

凌華科技公司供稿 CTI論壇編輯



相關鏈接:
凌華科技發(fā)布PICMG 1.0寬溫計算機NuPRO-730 2009-08-18
凌華科技推出6U CompactPCI單板電腦 2009-08-11
凌華發(fā)布PICMG 1.3 SHB規(guī)格工業(yè)電腦NuPRO-E320 2009-06-09
凌華科技最新ETX嵌入式模塊計算機ETX-AT 2009-04-22
凌華科技發(fā)布3U與6U CompactPCI單板計算機 2009-04-20

相關頻道:           文摘   技術_cpci_文摘
上犹县| 当涂县| 安乡县| 江城| 特克斯县| 会东县| 韩城市| 长葛市| 嘉峪关市| 甘孜县| 易门县| 犍为县| 上虞市| 清镇市| 甘孜县| 临澧县| 丰镇市| 台东市| 申扎县| 日喀则市| 志丹县| 五寨县| 海林市| 西城区| 济南市| 连平县| 正宁县| 建昌县| 南靖县| 扎赉特旗| 安远县| 玉林市| 资源县| 崇州市| 志丹县| 定襄县| 古交市| 宜君县| 海门市| 文昌市| 古田县|