NSA网络安全加速卡成功应用在某电信级流量分析控制系统
发表时间:2008-08-26
返回列表【恒扬科技,北京,2008年08月26号】日前,拥有多项高性能网络通讯及安全产品自主知识产权的国内领先网络通信硬件平台供应商恒扬科技宣布,旗下产品NSA网络安全加速卡成功应用在某电信级流量分析控制系统。
随着P2P等应用的大量冲击,传统电信业集中服务的模式已经很难有效支持宽带应用的快速发展及用户日益扩大的需求,如何通过合理有效的盈利模式,提升自身的服务质量和差异化增值服务能力,是当前运营商迫切关注的焦点。如果P2P业务是运营商从传统形式向综合信息服务商转型的加速器,那么流量管理设备则是实现这一转型的助推剂,那些能够提供可运营、可管理的P2P流量管理设备正在受到运营商越来越多的关注和青睐。
对流量管理设备厂商的挑战
运营商对于P2P的转变给网络流量管理设备制造商带来机遇的同时,也给他们提出了不小挑战。主要面临的困难有三方面:
• 流量设备的性能瓶颈 对运营商来说网络流量管理设备最好部署在省际网络的出口,次之也要在城域网出口,这样能够节省硬件设备的投入数量。但是对于一级运营商来说,省际网络出口的流量是非常巨大的,流量管理设备一般都是串入网络,不是旁路或镜像的,要想在几百兆甚至几个G流量的情况下实时做到七层分析,对硬件设备的性能要求非常之高。目前很少有流量管理设备能够达到,最多也就是做到Gbps档次。
• 流量设备的接入方式 通常流量管理设备被要求以串入骨干链路的方式接入,并且必须能够确保即使在流量管理设备的分析性能不足的情况下,也不会影响网络流量的正常在线转发。目前,具有这种inline方式的流量管理产品很多,但是大多只适合小流量,并且对业务中断不敏感的企业市场,能应用在运营商高可靠环境的设备屈指可数。
• 流量设备的价格制约因素 根据测算,为具备业务区分能力,在骨干网上每10G带宽的管理成本要增加上百万元左右;而在接入端部署业务区分能力的设备成本则更高,分摊到每个用户的带宽成本也会相应增大。另外,运营商在部署IPTV等P2P业务后,也刺激了流量管理设备在汇聚点的急剧增加,这样运营商对设备成本的压力将直接转嫁给流量管理设备,使之设备单价必须压缩到极限。
NSA对应流量管理设备的解决方案
针对以上流量管理设备厂商遇到的问题,恒扬科技NSA卡提出了相应的解决方案。NSA是恒扬科技推出的一款基于FPGA技术的全线速多功能网关加速平台,它可以通过把绝大部分网络流量处理从CPU上卸载下来的方式,出色地解决流量管理设备性能上的瓶颈。
1.采用收敛的方式为CPU减负。 NSA卡可以通过三种方式收敛报文。
依靠带有通配符的五元组来收敛特定网段、特定方向、特定端口的报文,例如从任意地址到特定目的端口、从特定地址范围到特点端口等。基于TCAM的通配五元组匹配的报文过滤,既可以过滤掉CPU应用不需要的报文,例如配置来自特定源IP地址网段的报文不必交给CPU处理或配置到特定目的端口(例如 >10000)的报文不必交给CPU处理等等;也可以只保留CPU应用程序需要的报文,这时NSA卡可以配置成根据通配符五元组信息,仅仅是命中的流量上交CPU处理,其余流量都丢弃或者镜像转发。
依靠字符串匹配来收敛具有特定特征的报文。对位于特定报文偏移位置的特征内容(字符串,非正则表达式)进行识别,只有符合特定特征的报文才上交CPU处理。
靠精确五元组匹配来收敛软件已经明确知道会话五元组的流量,例如根据HTTP的正向流量推断出HTTP的反向流量,反向流量不必上交CPU。在NSA解决方案中,NSA在卡内对进入到系统的报文进行精确五元组匹配,并根据匹配结果中的动作信息进行处理,而不需要CPU参与;CPU可以通过下发这样的五元组匹配表项到NSA卡上,由NSA根据这个信息直接过滤或BYPASS一些不需要CPU处理的流量,从而减小CPU的负担。
2. 通过SSN的处理,进行流量统计和Qos管理。除了进行精确五元组匹配的流量收敛外,SSN表还提供另外两个功能:为基于五元组会话的流量进行统计和对会话进行QoS流量管理。
流量统计 无论正向会话流量,还是反向会话流量,都可以在会话结束时,由NSA卡上报(或者CPU主动读取)字节数和报文数统计信息,而不需要CPU对逐包进行统计。
Qos流量管理 任何报文进入到NSA中,首先查找SSN会话表,按照SSN表规定的动作,镜像上交CPU,并同时对流量进行转发,转发流量可以实现最大带宽限制等QoS功能;没有命中SSN会话表的流量会继续做TCAM ACL通配五元组匹配,如果通配五元组匹配命中,可以根据条件镜像给CPU处理;CPU可以根据处理的信息,下发SSN表,以进一步收敛镜像流量,或者对转发流量作QoS处理。
3. Crosslink表支持在线方式下的流量监控。如果一些流量既没有命中SSN表,也没有命中ACL表,会按照预先配置的CrossLink表转发路径进行桥接Bypass转发。这样,无论CPU是否处理得过来(如软件死机或者软件来不及处理流量),流量总可以安全、无损的实现在线网关转发,并同时由CPU进行流量分析和控制。
4.出色的性价比让流量管理设备厂商以最低开发成本和采购成本获得高性能的产品。面对动辄就要上百万的流量管理设备,运营商的采购成本压力是可想而知的。采用SempGate NSA加速卡的硬件平台成本仅仅是国外产品的几分之一。而在性能上,NSA端口之间具备双向全双工转发能力:64-byte 小包 5G吞吐量,1518-byte大包6.2G吞吐量。NSA端口之间TCP/UDP转发时延为6us,CPU和NSA之间通信带宽1Gbps,完全可以满足电信级流量管理设备对性能的需求。
产品特性
采用自主研发的SempSec芯片进行报文操作处理,从而大幅度提升网络性能。SempSec芯片和Host CPU及其软件结合,可以有效帮助Host上的软件系统从CPU卸载诸多网络流量处理的工作,从而有效规避X86系统中网络处理的各个瓶颈,实现了提升Host系统上软件应用性能的目的。SempSec芯片内可以完成报文路由收发, 流量分类, 状态跟踪, 地址转换, 流量统计,报文转发和QoS处理等工作,其基本规格为:8 GE接口 (10/100/1000自适应电口或SFP光口);单颗芯片具备小包(64-byte)5G, 大包(1518-byte)6.2G的处理能力;200万TCP/UDP精确五元组流表项(正反双向会话为一条流);64K 包含五元组统配匹配的流分类策略(可选项);SempSec 通过PCI-E总线和 host CPU相连, CPU负责根据首包信息, 安全策略和路由信息为芯片下发流处理表项;SempSec芯片则根据流处理表, 完成上述报文转发工作;SempSec可以通过增加外围配合芯片, 完成高性能内容匹配处理等工作。
应用FPGA芯片技术,用户可随时在线升级。SempSec芯片采用可升级的FPGA芯片技术,FPGA的特点是既可以实现如ASIC一样的高效能网络处理性能,也能保持如网络处理器一样灵活的在线业务升级能力。网络安全业务使用环境复杂,用户需求灵活多变,从芯片层次及时相应用户需求可以极大地增强产品的竞争力,NSA上采用的SempSec芯片为这种及时响应提供了可能性。
高度集成的SempSec芯片、外围器件和多个以太网接口的标准PCI-E插卡。NSA卡通过PCI-E总线和 host CPU通信, CPU负责根据首包信息、安全策略和路由信息为芯片下发流处理表项,芯片根据流处理表,完成报文转发、镜像、丢弃、内容过滤、QOS等工作。由于其CPU和芯片交互动作极大减小,因此非常适合有x86 PCI-E 总线架构的设备上使用。
提供帮助用户实现完整产品快速集成和软件迁移的应用开发包:硬件参考设计、API支持库和软件参考设计。NSA卡的设计目标紧密围绕帮助用户以快速、高性、简洁的方式实现从纯软件到专用芯片的快速迁移而展开,NSA在不需要用户改动既有软件架构,也不需要用户大量改动成熟代码的前提下,为流量管理应用开发者提供了一个既可以快速起步也可以规模量产的整体芯片+硬件+软件的平台。SempGate NSA加速卡通过和通用的X86平台紧密结合,配合以完整的硬件平台参考解决方案和软件快速迁移解决方案,把安全芯片、硬件工程和系统软件设计三者结合起来,为流量管理设备厂商提供了一个快速开发应用的方案。
