www.av日韩_基于cPCI 2.16 標準的開(kāi)放式模塊化的網(wǎng)絡(luò )安全業(yè)務(wù)處理平臺_cpci

基于cPCI 2.16 標準的開(kāi)放式模塊化的網(wǎng)絡(luò )安全業(yè)務(wù)處理平臺

2005/09/20

概述

　　面對現今融合通訊的大潮,國際PICMG標準化組織推出的CompactPCI2.16規范為廣大應用提供了一個(gè)開(kāi)放式的模塊化的硬件綜合平臺.巨大地推動(dòng)了網(wǎng)絡(luò )通訊設備產(chǎn)業(yè)化大工業(yè)化的發(fā)展.憑借與這種平臺,用戶(hù)在獲得高可靠性,高可用度的同時(shí),可快速的推出特有的核心業(yè)務(wù)應用.現今,全球核心網(wǎng)絡(luò )設備提供商們已經(jīng)或逐步地把自己新近開(kāi)發(fā)或正在開(kāi)發(fā)的設備構筑在PICMG標準平臺之上。

　　網(wǎng)絡(luò )數據通訊中,網(wǎng)絡(luò )安全日益成為網(wǎng)絡(luò )中的熱門(mén)話(huà)題, 隨著(zhù)網(wǎng)絡(luò )用戶(hù)數目的急劇膨脹,網(wǎng)路流量的迅速增大,應運而生的對網(wǎng)絡(luò )安全硬件設備的需求也日益提高,不僅要保持對不斷提高的高吞吐量數據帶寬接入的兼容性,而且要滿(mǎn)足靈活的業(yè)務(wù)配置需求,同時(shí)還要提供良好的用戶(hù)界面友好性和高可用度和高可靠性.傳統私規形式的硬件構架結構,強調單板單系統應用,如ASIC,NP形式的防火墻應用.本文介紹的是基于PICMG開(kāi)放式,模塊化的硬件標準網(wǎng)絡(luò )安全硬件平臺是基于可伸縮的系統級應用考慮的。

PICMG2.16系統數據通路

　　如圖所示，標準的雙星形的CompactPCI2.16平臺在Fabric交換槽位上的實(shí)現以太網(wǎng)交換轉發(fā)功能的單板常規有1-2個(gè)千兆級聯(lián)口和24個(gè)10/100/1000M交換口,其中19個(gè)通過(guò)背板與Node節點(diǎn)槽位上的單板進(jìn)行通訊;其余5個(gè)一般通過(guò)后I/O口引出。標準的雙星形的CompactPCI2.16平臺在Node節點(diǎn)槽位上一般有兩個(gè)10/100/1000M分別與兩個(gè)Fabric交換槽位相聯(lián)。

實(shí)現原理
　　CompactPCI2.16實(shí)現了嵌入式以太局域網(wǎng)絡(luò ),其先天具有的高可用度、高可靠性和良好的可維護性、可擴容性成為網(wǎng)絡(luò )數據集中平臺的良好架構，加之其特有的單雙星形網(wǎng)絡(luò )拓撲結構,為網(wǎng)絡(luò )安全應用提供了良好的拓撲承載架構。

　　單星形可實(shí)現基本網(wǎng)絡(luò )數據報文策略分流過(guò)濾,雙星在單星基礎之上可實(shí)現網(wǎng)絡(luò )連接通路硬件備份[需要結合HA實(shí)現].

　　單星形拓撲結構實(shí)現網(wǎng)絡(luò )安全應用如下圖所示:

由上圖所示:

處于Fabric[交換]槽位的單板實(shí)現大容量數據接入處理:

　　基本數據交換機業(yè)務(wù)
　　根據應用完成初級層面的數據流分類(lèi)
　　依據業(yè)務(wù)處理流程和CompactPCI2.16物理拓撲結構完成數據轉發(fā)
　　…

處于Node[節點(diǎn)]槽位的單板根據特定應用要求實(shí)現用戶(hù)業(yè)務(wù)處理,如:

VPN: 加密算法
內容過(guò)濾: 高層數據報文過(guò)濾
Firewall IDS: 數據報文規則匹配
　　平臺管理
　　Web接入
　　IP billing
　　高層應用負載均衡

凌華模塊化硬件平臺解決方案
　　承載網(wǎng)絡(luò )安全應用的PICMG2.16標準硬件平臺可分為兩種架構,一種是小容量的單星形的平臺,另一種是大容量的雙星形的平臺。下面以單星形的cPSB-880闡述系統實(shí)現:

cPSB-880符合的CompactPCI的標準：
　　PICMG 2.0 Core CompactPCI Spec Rev. 3.0
　　PICMG 2.1 Hot Swap Spec
　　PICMG 2.9 System Management
　　PICMG 2.10 Keying
　　PICMG 2.11 Power Interface
　　PICMG 2.16 PSB (Packet Switching Backplane)

cPSB-880構架的模塊化硬軟件體系結構

實(shí)現網(wǎng)絡(luò )安全應用的cPSB-880由兩大部分組成:

高可用度的cPSB-880硬件承載平臺
　　cPSB-880系統為支持6U板卡的機箱，可直接放置在標準機架上。機箱內除背板和電源板外，可插入兩塊交換板、五塊I/O板、一塊系統板（用于PCI主控）、四個(gè)電源模塊、兩顆硬盤(pán)、一個(gè)軟盤(pán)以及十個(gè)風(fēng)扇（機箱上下部位各五個(gè)風(fēng)扇）。另外，系統還提供狀態(tài)指示燈，方便用戶(hù)監控系統狀態(tài)。

cPSB-880所容納的CompactPCI應用單板：
　　交換板,I/O板,系統板

模塊化業(yè)務(wù)組成實(shí)現

系統管理模塊
　　由硬件平臺管理模塊、本地系統管理模塊和遠端管理模塊三部分組成

硬件平臺管理模塊
　　由cPSB-880的機箱管理模塊---CMM實(shí)現完整硬件平臺的監控管理,實(shí)現本機硬件的狀態(tài)在線(xiàn)監測和實(shí)時(shí)告警

本地系統管理模塊
　　由cPSB-880所容納的1個(gè)或多個(gè)X86計算刀片實(shí)現硬軟件結合的本地管理,并提供管理界面和遠程接口.軟件操作系統根據用戶(hù)需求選定;
硬件管理是通過(guò)網(wǎng)口與機箱管理模塊---CMM進(jìn)行通訊以獲得實(shí)時(shí)硬件狀態(tài).
軟件管理是通過(guò)網(wǎng)口與系統內所有相關(guān)刀片上運行的應用程序進(jìn)行信息交換.

遠程管理
　　遠程管理終端通過(guò)網(wǎng)絡(luò )與本地管理模塊或者和機箱管理模塊---CMM直接發(fā)送信息交互.完成系統的遠程監控

業(yè)務(wù)處理模塊
　　分為數據接入模塊和應用處理模塊

數據接入模塊
　　主要完成2,3層的以太網(wǎng)數據的策略性過(guò)濾和轉發(fā)(少數時(shí)候可實(shí)現4-7層過(guò)濾轉發(fā)). 數據接入模塊主要由NP單板實(shí)現或雙Xeon X86單板實(shí)現.

應用處理模塊
　　主要完成高層數據處理，各種網(wǎng)絡(luò )安全應用,如VPN中的加解密,內容過(guò)濾中的模式匹配等等.

典型業(yè)務(wù)構建
　　下面以電信運營(yíng)級內容過(guò)濾系統和千兆VPN闡述典型業(yè)務(wù)構建電信運營(yíng)級內容過(guò)濾系統。

　　處于Fabric交換槽位的NP單板(綠色) 實(shí)現初級的過(guò)濾掃描和轉發(fā).接口配置:兩個(gè)uplink千兆口完成數據報文的接收轉發(fā),6個(gè)2.16千兆通路實(shí)現和其他功能處理模塊的數據交互。

　　處于Node槽位的X86單板有三種功能類(lèi)型:1)過(guò)濾單板(灰色)-實(shí)現高層過(guò)濾;2)日志單板(棕色)-實(shí)現日志記錄;3)管理單板(藍色)-實(shí)現系統管理和路由管理;其接口統一配置為1個(gè)2.16千兆口和其他系統模塊進(jìn)行數據交互,1個(gè)千兆口直連外網(wǎng)段。

拓撲圖如下：

槽位號	功能模塊	cPCI承載單板	連接通路(10/100M/1000M)
1	低層規則過(guò)濾和轉發(fā)	NP1200/2400單板	1: 連接外網(wǎng) 3*2.16: 連接高層過(guò)濾模塊
2	未用	---	---
3	高層規則過(guò)濾	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊 1: 連接外網(wǎng)段
4	高層規則過(guò)濾	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊 1: 連接外網(wǎng)段
5	高層規則過(guò)濾	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊 1: 連接外網(wǎng)段
6	主日志服務(wù)器	X86 雙xeon單板	1*2.16: 連接轉發(fā)模塊 1: 連接外網(wǎng)段
7	備份日志服務(wù)器	X86 雙xeon單板	1*2.16: 連接轉發(fā)模塊 1: 連接外網(wǎng)段
8	路由管理系統管理	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊 1: 連接外網(wǎng)段

千兆VPN

　　處于Fabric槽位的NP單板(綠色) 實(shí)現初級的過(guò)濾掃描和轉發(fā).接口配置:兩個(gè)uplink千兆口完成數據報文的接收轉發(fā),3個(gè)2.16千兆通路實(shí)現和其他功能處理模塊的數據交互。

處于Node槽位的X86單板有兩種:
　　1) 加解密單板(灰色)-實(shí)現明文和密文之間的轉換；
　　2)管理單板(棕色)-實(shí)現系統管理和密匙周期，更新其接口統一配置為1個(gè)2.16千兆口和其轉發(fā)模塊進(jìn)行數據交互；

　　承載在Node槽位X86單板上的PMC加密模塊(藍色)通過(guò)PMC和承載板協(xié)同工作共同完成加解密工作。

拓撲圖如下:

槽位號	功能模塊	cPCI承載單板	連接通路(10/100M/1000M)
1	低層規則過(guò)濾和轉發(fā)	NP1200/2400單板	1: 連接外網(wǎng) 32.16: 連接加解密模塊 22.16: 連接管理模塊
2	未用	---	---
3	加解密高層規則過(guò)濾	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊
4	加解密高層規則過(guò)濾	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊
5	加解密高層規則過(guò)濾	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊
6	密匙更新、系統管理	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊
7	密匙更新、系統管理	X86 PIII/PIV 單板	1*2.16: 連接轉發(fā)模塊
8	未用	---	---

前景展望

　　PICMG2.16標準化平臺架構網(wǎng)絡(luò )安全應用,在業(yè)界已經(jīng)在VPN,IDS,IP-Billing,內容過(guò)濾等領(lǐng)域得到實(shí)際應用,隨著(zhù)基于PICMG2.16架構的網(wǎng)絡(luò )處理器單板不斷涌現,對數據接入和處理更加游刃有余,基于標準化模塊化構架的網(wǎng)絡(luò )安全平臺必定會(huì )在日后的網(wǎng)安領(lǐng)域大顯身手。

　　為了解決更大容量的數據流量處理,PICMG標準化組織業(yè)已推出了針對高端電信網(wǎng)絡(luò )應用的硬件體系標準PICMG3.0系列標準,也就是業(yè)界俗稱(chēng)的aTCA.此種構架在背板上可承載2T以上的數據帶寬,極大地解決了高端電信網(wǎng)絡(luò )應用的數據瓶頸問(wèn)題.這也為日后的中高端網(wǎng)絡(luò )安全設備奠定了產(chǎn)業(yè)化的平臺體系。

凌華科技公司供稿 CTI論壇編輯

凌華科技推出6U CompactPCI單板電腦 2009-08-11

凌華發(fā)布PICMG 1.3 SHB規格工業(yè)電腦NuPRO-E320 2009-06-09

凌華科技最新ETX嵌入式模塊計算機ETX-AT 2009-04-22

凌華科技發(fā)布3U與6U CompactPCI單板計算機 2009-04-20