隨著企業(yè)和運(yùn)營(yíng)商網(wǎng)絡(luò)上網(wǎng)絡(luò)流量的不斷增長(zhǎng),推動(dòng)了對(duì)于帶寬和線路速率需求的增加。基于內(nèi)容的深度包檢測(cè)(DPI)、安全處理等應(yīng)用直接推動(dòng)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的處理能力呈現(xiàn)指數(shù)級(jí)增長(zhǎng)。在短短的時(shí)間內(nèi),以太網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施帶寬從以10Gbit/s的規(guī)模擴(kuò)展到40Gbit/s到100Gbit/s。相應(yīng)的,網(wǎng)絡(luò)通信設(shè)備為了適應(yīng)高速增長(zhǎng)的基于協(xié)議、內(nèi)容、應(yīng)用的可控制和可視性,必須要有相應(yīng)的通信處理機(jī)制,一個(gè)新的多核、異構(gòu)處理器架構(gòu)是必需的。在此架構(gòu)上采用通用多核X86 和網(wǎng)絡(luò)流處理器,支持L2 - L7的業(yè)務(wù)處理。 在此基礎(chǔ)上設(shè)計(jì)的架構(gòu)將允許設(shè)備供應(yīng)商提供高性能的、靈活和現(xiàn)場(chǎng)可編程的系統(tǒng),能使服務(wù)供應(yīng)商在更長(zhǎng)的產(chǎn)品生命周期內(nèi)創(chuàng)造更多的用戶收入。
以下討論了一種新的網(wǎng)絡(luò)流處理架構(gòu)以及在新的異構(gòu)多核處理架構(gòu)上的應(yīng)用。
1深度包檢測(cè)
深度包檢測(cè)就是在L2-L7上分析處理網(wǎng)絡(luò)流量并實(shí)現(xiàn)網(wǎng)絡(luò)安全、服務(wù)保證、服務(wù)質(zhì)量和應(yīng)用限速。相比傳統(tǒng)的L2-L4應(yīng)用處理,DPI在基于流識(shí)別基礎(chǔ)上對(duì)包頭和包內(nèi)容進(jìn)行分析處理。許多協(xié)議都不采用標(biāo)準(zhǔn)的IP,或者采用非標(biāo)準(zhǔn)或者可協(xié)商的TCP/UDP端口來(lái)建立連接,因此傳統(tǒng)的L2-L4包分類機(jī)制不能實(shí)現(xiàn)基于應(yīng)用級(jí)的識(shí)別。多數(shù)應(yīng)用和協(xié)議識(shí)別特征碼都存在單個(gè)報(bào)文中,或者是跨越幾個(gè)報(bào)文,因此僅僅分析單個(gè)報(bào)文頭意義不大。
這種對(duì)內(nèi)容的需求識(shí)別不僅適用于固定LAN/WAN,也涉及到越來(lái)越多的移動(dòng)網(wǎng)絡(luò)。隨著3G和LTE帶寬(高達(dá)100Mbit/s的下載)的增長(zhǎng),同時(shí)融合數(shù)據(jù)、語(yǔ)音和視頻服務(wù),可以預(yù)期,用戶將利用無(wú)線網(wǎng)絡(luò)支持所有固網(wǎng)業(yè)務(wù)的弱點(diǎn)來(lái)攻擊無(wú)線網(wǎng)絡(luò)的漏洞。
2 DPI及其DPI處理平臺(tái)面臨的挑戰(zhàn)
為了滿足DPI的網(wǎng)絡(luò)運(yùn)營(yíng)商的需求,DPI平臺(tái)必須滿足以下幾個(gè)特點(diǎn):
(1)支持傳統(tǒng)的通用的L2–L4,包括源和目標(biāo)IP地址、IP協(xié)議、源和目標(biāo)的TCP/UDP端口號(hào),差分服務(wù)代碼點(diǎn)(DSCP)和入口/接口/ VLAN;
(2)支持所有網(wǎng)絡(luò)協(xié)議層和完整的數(shù)據(jù)包有效載荷;
(3)支持靜態(tài)、動(dòng)態(tài)和協(xié)商協(xié)議端口號(hào)的應(yīng)用識(shí)別;
(4)能夠處理多個(gè)會(huì)話連接報(bào)文,擴(kuò)展標(biāo)準(zhǔn)的TCP握手(SYN、SYN-ACK、SYN);
(5)支持一個(gè)能夠識(shí)別通用協(xié)議的特征碼庫(kù);
(6)能夠靈活可編程以支持網(wǎng)絡(luò)協(xié)議變化、演進(jìn)和應(yīng)用變化;
(7)支持線速的全業(yè)務(wù)分析;
(8)支持主動(dòng)和被動(dòng)的工作模式;
(9)基于報(bào)文和流分析,能裝支持以下處理結(jié)果的組合:
a. 主動(dòng)和被動(dòng)的包丟棄;
b. 流量標(biāo)識(shí);
c. 內(nèi)容植入;
d. 排隊(duì)、策略、流量整形、流速率控制;
e. 報(bào)文重定向;
f.負(fù)載均衡;
g. 報(bào)文和流的計(jì)數(shù)、測(cè)量、統(tǒng)計(jì)分析。
傳統(tǒng)的網(wǎng)絡(luò)和通信處理器不足以應(yīng)付高速率的L2-L7數(shù)據(jù)報(bào)文分析。其他處理器如多核MIPS架構(gòu),雖然有能力執(zhí)行DPI,但是以性能下降為代價(jià)。這些架構(gòu)要求所有的包處理發(fā)生在通用處理器中,但是缺乏集成安全模塊和高速數(shù)據(jù)平面的帶寬,同時(shí)缺少協(xié)處理包處理硬件。隨著網(wǎng)絡(luò)速度的增加,多核MIPS方案能在每一條流中的每一個(gè)報(bào)文實(shí)現(xiàn)DPI的同時(shí)還能實(shí)現(xiàn)性能的線性增長(zhǎng)。另外的處理解決方案還有就是采用固定功能的網(wǎng)絡(luò)處理器,可以運(yùn)行在高速數(shù)據(jù)的處理,但這些網(wǎng)絡(luò)處理器往往缺乏靈活可編程性,無(wú)法處理超越L2-L4層的業(yè)務(wù)。
3基于x86/IA+NFP網(wǎng)絡(luò)流處理器的異構(gòu)平臺(tái)
為了達(dá)到真正實(shí)現(xiàn)DPI的要求,隨著對(duì)網(wǎng)絡(luò)I/O虛擬化,高性能流處理架構(gòu)是必要的。為了使該系統(tǒng)具有可擴(kuò)展性,一個(gè)很好的做法是使應(yīng)用處理分開的L2 - L7數(shù)據(jù)平面處理。一般來(lái)說(shuō),多核處理器的重點(diǎn)放在應(yīng)用層業(yè)務(wù)處理,而報(bào)文處理器的重點(diǎn)是數(shù)據(jù)平面處理。一個(gè)高級(jí)別規(guī)劃模型的異構(gòu)多處理架構(gòu)是必要的。這需要利用在高級(jí)別語(yǔ)言和使用開放源代碼的規(guī)劃工具,同時(shí)允許系統(tǒng)設(shè)計(jì)師定制的PPE最佳功率/性能比。這里介紹的異構(gòu)處理架構(gòu)是基于支持虛擬I / O的網(wǎng)絡(luò)流處理器和通用多核x86 CPU來(lái)實(shí)現(xiàn)的,其架構(gòu)如圖1所示。其中圖1的左半部分描述多核心通用CPU和專用功能芯片架構(gòu),在異構(gòu)模型中,解決方案是使用NFP網(wǎng)絡(luò)流處理器和通用多核CPU,NFP集成多個(gè)可編程報(bào)文處理器,安全處理器和優(yōu)化的I/O和內(nèi)存接口。