基于cPCI 2.16 标准的开放式模块化的网络安全业务处理平台_cpci

基于cPCI 2.16 标准的开放式模块化的网络安全业务处理平台

2005/09/20

概述

　　面对现今融合通讯的大潮,国际PICMG标准化组织推出的CompactPCI2.16规范为广大应用提供了一个开放式的模块化的硬件综合平台.巨大地推动了网络通讯设备产业化大工业化的发展.凭借与这种平台,用户在获得高可靠性,高可用度的同时,可快速的推出特有的核心业务应用.现今,全球核心网络设备提供商们已经或逐步地把自己新近开发或正在开发的设备构筑在PICMG标准平台之上。

　　网络数据通讯中,网络安全日益成为网络中的热门话题, 随着网络用户数目的急剧膨胀,网路流量的迅速增大,应运而生的对网络安全硬件设备的需求也日益提高,不仅要保持对不断提高的高吞吐量数据带宽接入的兼容性,而且要满足灵活的业务配置需求,同时还要提供良好的用户界面友好性和高可用度和高可靠性.传统私规形式的硬件构架结构,强调单板单系统应用,如ASIC,NP形式的防火墙应用.本文介绍的是基于PICMG开放式,模块化的硬件标准网络安全硬件平台是基于可伸缩的系统级应用考虑的。

PICMG2.16系统数据通路

　　如图所示，标准的双星形的CompactPCI2.16平台在Fabric交换槽位上的实现以太网交换转发功能的单板常规有1-2个千兆级联口和24个10/100/1000M交换口,其中19个通过背板与Node节点槽位上的单板进行通讯;其余5个一般通过后I/O口引出。标准的双星形的CompactPCI2.16平台在Node节点槽位上一般有两个10/100/1000M分别与两个Fabric交换槽位相联。

实现原理
　　CompactPCI2.16实现了嵌入式以太局域网络,其先天具有的高可用度、高可靠性和良好的可维护性、可扩容性成为网络数据集中平台的良好架构，加之其特有的单双星形网络拓扑结构,为网络安全应用提供了良好的拓扑承载架构。

　　单星形可实现基本网络数据报文策略分流过滤,双星在单星基础之上可实现网络连接通路硬件备份[需要结合HA实现].

　　单星形拓扑结构实现网络安全应用如下图所示:

由上图所示:

处于Fabric[交换]槽位的单板实现大容量数据接入处理:

　　基本数据交换机业务
　　根据应用完成初级层面的数据流分类
　　依据业务处理流程和CompactPCI2.16物理拓扑结构完成数据转发
　　…

处于Node[节点]槽位的单板根据特定应用要求实现用户业务处理,如:

VPN: 加密算法
内容过滤: 高层数据报文过滤
Firewall IDS: 数据报文规则匹配
　　平台管理
　　Web接入
　　IP billing
　　高层应用负载均衡

凌华模块化硬件平台解决方案
　　承载网络安全应用的PICMG2.16标准硬件平台可分为两种架构,一种是小容量的单星形的平台,另一种是大容量的双星形的平台。下面以单星形的cPSB-880阐述系统实现:

cPSB-880符合的CompactPCI的标准：
　　PICMG 2.0 Core CompactPCI Spec Rev. 3.0
　　PICMG 2.1 Hot Swap Spec
　　PICMG 2.9 System Management
　　PICMG 2.10 Keying
　　PICMG 2.11 Power Interface
　　PICMG 2.16 PSB (Packet Switching Backplane)

cPSB-880构架的模块化硬软件体系结构

实现网络安全应用的cPSB-880由两大部分组成:

高可用度的cPSB-880硬件承载平台
　　cPSB-880系统为支持6U板卡的机箱，可直接放置在标准机架上。机箱内除背板和电源板外，可插入两块交换板、五块I/O板、一块系统板（用于PCI主控）、四个电源模块、两颗硬盘、一个软盘以及十个风扇（机箱上下部位各五个风扇）。另外，系统还提供状态指示灯，方便用户监控系统状态。

cPSB-880所容纳的CompactPCI应用单板：
　　交换板,I/O板,系统板

模块化业务组成实现

系统管理模块
　　由硬件平台管理模块、本地系统管理模块和远端管理模块三部分组成

硬件平台管理模块
　　由cPSB-880的机箱管理模块---CMM实现完整硬件平台的监控管理,实现本机硬件的状态在线监测和实时告警

本地系统管理模块
　　由cPSB-880所容纳的1个或多个X86计算刀片实现硬软件结合的本地管理,并提供管理界面和远程接口.软件操作系统根据用户需求选定;
硬件管理是通过网口与机箱管理模块---CMM进行通讯以获得实时硬件状态.
软件管理是通过网口与系统内所有相关刀片上运行的应用程序进行信息交换.

远程管理
　　远程管理终端通过网络与本地管理模块或者和机箱管理模块---CMM直接发送信息交互.完成系统的远程监控

业务处理模块
　　分为数据接入模块和应用处理模块

数据接入模块
　　主要完成2,3层的以太网数据的策略性过滤和转发(少数时候可实现4-7层过滤转发). 数据接入模块主要由NP单板实现或双Xeon X86单板实现.

应用处理模块
　　主要完成高层数据处理，各种网络安全应用,如VPN中的加解密,内容过滤中的模式匹配等等.

典型业务构建
　　下面以电信运营级内容过滤系统和千兆VPN阐述典型业务构建电信运营级内容过滤系统。

　　处于Fabric交换槽位的NP单板(绿色) 实现初级的过滤扫描和转发.接口配置:两个uplink千兆口完成数据报文的接收转发,6个2.16千兆通路实现和其他功能处理模块的数据交互。

　　处于Node槽位的X86单板有三种功能类型:1)过滤单板(灰色)-实现高层过滤;2)日志单板(棕色)-实现日志记录;3)管理单板(蓝色)-实现系统管理和路由管理;其接口统一配置为1个2.16千兆口和其他系统模块进行数据交互,1个千兆口直连外网段。

拓扑图如下：

槽位号	功能模块	cPCI承载单板	连接通路(10/100M/1000M)
1	低层规则过滤和转发	NP1200/2400单板	1: 连接外网 3*2.16: 连接高层过滤模块
2	未用	---	---
3	高层规则过滤	X86 PIII/PIV 单板	1*2.16: 连接转发模块 1: 连接外网段
4	高层规则过滤	X86 PIII/PIV 单板	1*2.16: 连接转发模块 1: 连接外网段
5	高层规则过滤	X86 PIII/PIV 单板	1*2.16: 连接转发模块 1: 连接外网段
6	主日志服务器	X86 双xeon单板	1*2.16: 连接转发模块 1: 连接外网段
7	备份日志服务器	X86 双xeon单板	1*2.16: 连接转发模块 1: 连接外网段
8	路由管理系统管理	X86 PIII/PIV 单板	1*2.16: 连接转发模块 1: 连接外网段

千兆VPN

　　处于Fabric槽位的NP单板(绿色) 实现初级的过滤扫描和转发.接口配置:两个uplink千兆口完成数据报文的接收转发,3个2.16千兆通路实现和其他功能处理模块的数据交互。

处于Node槽位的X86单板有两种:
　　1) 加解密单板(灰色)-实现明文和密文之间的转换；
　　2)管理单板(棕色)-实现系统管理和密匙周期，更新其接口统一配置为1个2.16千兆口和其转发模块进行数据交互；

　　承载在Node槽位X86单板上的PMC加密模块(蓝色)通过PMC和承载板协同工作共同完成加解密工作。

拓扑图如下:

槽位号	功能模块	cPCI承载单板	连接通路(10/100M/1000M)
1	低层规则过滤和转发	NP1200/2400单板	1: 连接外网 32.16: 连接加解密模块 22.16: 连接管理模块
2	未用	---	---
3	加解密高层规则过滤	X86 PIII/PIV 单板	1*2.16: 连接转发模块
4	加解密高层规则过滤	X86 PIII/PIV 单板	1*2.16: 连接转发模块
5	加解密高层规则过滤	X86 PIII/PIV 单板	1*2.16: 连接转发模块
6	密匙更新、系统管理	X86 PIII/PIV 单板	1*2.16: 连接转发模块
7	密匙更新、系统管理	X86 PIII/PIV 单板	1*2.16: 连接转发模块
8	未用	---	---

前景展望

　　PICMG2.16标准化平台架构网络安全应用,在业界已经在VPN,IDS,IP-Billing,内容过滤等领域得到实际应用,随着基于PICMG2.16架构的网络处理器单板不断涌现,对数据接入和处理更加游刃有余,基于标准化模块化构架的网络安全平台必定会在日后的网安领域大显身手。

　　为了解决更大容量的数据流量处理,PICMG标准化组织业已推出了针对高端电信网络应用的硬件体系标准PICMG3.0系列标准,也就是业界俗称的aTCA.此种构架在背板上可承载2T以上的数据带宽,极大地解决了高端电信网络应用的数据瓶颈问题.这也为日后的中高端网络安全设备奠定了产业化的平台体系。

凌华科技公司供稿 CTI论坛编辑