专利名称:基于堆叠结构的10g高性能宽带网络行为实时安全管理系统的制作方法
技术领域:
本发明涉及网络行为实时分析及管理设备,特别涉及一种基于堆叠结构的IOG高性能宽 带网络行为实时分析及安全管理系统。在1G单板上基于网络处理器采用硬件的模式匹配引 擎利用流水线处理架构,能够实现对2000种业务的实时检测和控制,由多块1G设备堆叠而 成的IOG方案能够将处理带宽由1G扩展至IOG,从而对校园网或企业网的接入提供有效的 安全保障。
背景技术:
深度包检测(DPI)技术是为了提高当前网络防火墙性能而提出的一项重要的改进技术。因 为随着近年来网络应用的高速发展,各种网络危险应运而生,此时防火墙就充当着一个重要 的角色,它是防御网络入侵的最有效机制,防火墙的发展阶段包括访问控制列表、应用代理 服务、状态检测3个阶段。而深度包检测(DPI)能看作是传统防火墙技术的入侵检测(IDS)和入 侵阻止(IPS)的整合,是解决传统防火墙目前遇到难题的一项新技术,是防火墙技术发展的一 个重要阶段,将该技术融入宽带网络行为实时安全管理在技术上将实现一次飞跃。
虽然传统的防火墙通过检测包头部分是一种较为经济的方式,但是可以发现越来越多的 恶意行为可能隐藏在数据载荷中,顺利穿透防御边界后在安全体系内部产生严重的危害。同 时由于数据载荷中可能充斥着垃圾邮件、广告、蠕虫病毒以及很多企业、事业单位不欣赏的 P2P传输,各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在 网络节点之间交换。所以,在应用形式及其格式以爆炸速度增长的今天,仅仅依照数据包的 第三层信息决定其是否准入,实在无法满足安全的要求。
深度包检测(DPI)技术是一种深入检査通过防火墙的每个数据包及其应用载荷的技术。通 过在应用层深入到正在进入服务器的数据包的有效载荷所封装的内容部分,搜寻合法或非法 的内容以决定是否允许数据包通过,或者査找常见的攻击,并丢弃与之相关的会话。
随着计算机网络与电信网络融合进程的推进,高速的城市网络发展,需要不断提高宽带 网络容量,寻求低成本效益的解决方案。10G以太网技术既提供速率优势,又具有灵活性、 可升级性及技术简单等特点。10G以太网技术的推出,无疑在向一个目标前进——从接入到 骨干网络都采用以太网技术,从而可构架出一个与传统电信网络不同的宽带网络。10G以太 网较大的带宽使之可以成为园区骨干网或企业数据中心。同时10G以太网的出现也将加速电 子商务的应用及以太网高速接入Internet的实现。如何有效实现10G以太网的深度包检测(DPI) 成为当前研究的技术难点。传统的网络处理器处理性能远远达不到IOG网络带宽的要求,而能够实现10G以太网深度包处理的芯片尚未得到商用,因而在当前的技术条件下,采用堆叠结构的10G深度包检测(DPI)系统为高带宽网络安全提供了最有效的解决方案。因此,基于堆叠结构的IOG深度包检测(DPI)系统具备以下优点
(1) 高处理带宽、线速处理能力使骨干网的应用得以实现;
(2) 相比软件实现所需的巨大处理开销,大大减少对处理器的资源消耗;
(3) 构建灵活、配置方便,可以为不同带宽要求提供相应的解决方案;
发明内容
本发明的目的在于提供了一种基于堆叠结构的10G高性能宽带网络行为实时安全管理系统,在实现以太数据传输转发的同时,具备数据包有效载荷检测及处理功能,解决了对互联网上高速流动的数据进行实时有效的分析和控制的问题,从而保证网络的正常运行。
为达到上述目的,本发明采用下述技术方案-
一种基于堆叠结构的10G高性能宽带网络行为实时分析及管理系统,包括10G交换机和10块具有ig网络处理能力的深度包检测(dpi)设备,其特征在于所述1G流量的深度包检测DPI设备具有四个10/100/1000以太网接口模块,所述10G交换机是具有两个10G以太网接口与24个10/100/1000以太网接口的电信交换机;1G深度包检测DPI设备作为系统的核心处理单元,其四个10/100/1000以太网接口根据堆叠方式以相应连接方式连接到IOG交换机的10/100/1000以太网接口上,IOG交换机的10G以太网接口作为整个系统的对外接口,实现系统的IOG网络处理能力。
上述堆叠方式为双向探针方式,所述对应连接方式为所述10G交换机(l)有一个IOG输入口输入数据流,有10个1G输出口分别连接到10块1G深度包检测DPI设备(3)的第一个1G输入口 ,而1G深度包检测DPI设备的第三个1G输出口连接到所述的10G交换机(l)的另10个1G输入口,数据流汇聚后从该10G交换机(1)的一个10G输出口输出;所述1G深度包检测DPI设备的第四个1G 口作为该设备管理口,经一个1G交换机(2)后连接至PC机。
上述堆叠方式为单向探针方式,所述对应连接方式为所述10G交换机(4)有两个IOG输入口分别输入第一和第二数据流,有第一 10个1G输出口分别连接所述10块1G深度包检测DPI设备(6)的第一个输入口,还有第二 10个1G输出口分别连接所述10快1G深度包检测DPI设备(6)的第二输入口;所述1G深度包检测DPI设备(6)的第三1G输出口连接到另一个10G交换机(5)的10个1G输入口,所述1G深度包检测DPI设备(6)的第四1G 口连接所述10G交换机(5)的另10个1G 口,所述10G交换机(5)有一个管理口连接PC机,另一个10G输出口输出数据流。上述堆叠方式为串联方式,所述连接方式为所述一个10G交换机(7)有两个IOG口,有10个第一 1G 口分别连接所述10个1G深度包检测DPI设备(9)的第一 1G 口,有10个第二1G 口分别连接所述10个1G深度包检测DPI设备(9)的第二 1G 口 ,另一个10G交换机(8)有10个第一 1G输入口分别连接所述10个1G深度包检测DPI设备(9)的第三1G输出口 ,还有10个第二 1G 口分别连接所述10个1G深度包检测DPI设备(9)的第四1G 口 ,该10G交换机(8)有一个10G输出口输出数据流,并有一个管理口连接PC机。
上述1G深度包检测DPI设备包括网络处理器MPC8572E(10),存储器单元(U),逻辑控制与管理单元(12), 10/100/1000以太网接口模±央(13),背板接口单元(14)和电源与时钟管理单元(15);所述的网络处理器MPC8572E(10)作为该设备的核心处理单元;所述的存储单元(ll)包括两条DDR2内存条、NORFLASH以及CF卡,两条DDR2内存条通过双通道DDR2/DDR3总线连接至网络处理器MPC8572E(10), —片8MB的NOR FLASH与CF卡插槽连接至网络处理器MPC8572E(10)的本地总线上;所述的逻辑控制与管理单元(12)通过本地总线连接至网络处理器MPC8572E(10),负责整板的接口逻辑连接;所述的10/100/1000以太网接口模块(13)通过串行千兆媒体无关接口 SGMII接口连接至网络处理器MPCS572E(10)的四个集成的以太网控制器——增强型TSEC上;所述的背板接口单元(14)包含两个GE 口以及一系列背板控制信号,其中两个GE 口通过串行千兆媒体无关接口 SGMII接口连接至网络处理器MPC8572E(10),此两口与前面板中的两个GE 口复用,通过高速交叉开关实现切换;所述的电源与时钟管理单元(15)包括三个DC-DC电源模块和一系列的时钟产生与分发电路,提供设备所需的电源与时钟。
上述网络处理器MPC8572E(10)采用两个功能强大的处理器内核、增强型外围设备和高速互连技术,还包含l个应用加速块,集成了4个功能强大的引擎 一个查找表单元TLU, 一个模式匹配引擎PME, 一个压縮存储空间引擎和一个安全引擎。
上述逻辑控制与管理单元(12)采用ALTERA公司的MAX II系列CPLD EPM1270,实现通用I/0扩展、总线扩展、系统复位逻辑、中断控制、接口胶连功能。
本发明与现有技术相比较,具有如下显而易见的突出实质性特点和显著优点
1、 具备多个1G口的汇聚与分发功能,使系统带宽可达10G,方便企业网与校园网的组
建与应用。
2、 MPC8572E基于双核双通道内存架构,硬件集成应用加速模块和四大引擎,为网络深度数据报检测、分类管理和安全加速提供了高效的平台。
3、 系统结构配置灵活,可根据需要增减1G深度包检测设备实现总流量负荷的分配,降低了使用成本。
图1是双向探针堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统框图。图2是单向探针堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统框图。图3是串联堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统框图。图4是1G深度包检测(DPI)设备结构框图。图5是深度包检测设备软件结构框图。
具体实施例方式
本发明的优选实施例结合附图详述如下
参见图l、图2和图3,本基于堆叠结构的IOG高性能宽带互联网网络行为实时分析及管理系统
本IOG高性能宽带互联网网络行为实时分析及管理系统总体堆叠结构可分为三种,其一为双向探针方式,框图如图l所示;其二为单向探针方式,框图如图2所示;其三为串联方式,框图如图3所示。
参见图1,双向探针方式的系统堆叠结构为10G以太数据流从10G交换机1的第一个IOG口进入,其中的数据流是由网络中IOG双向以太数据流镜像到该口。该数据流经过10G交换机l的流量分配之后,均匀分配到10个1G口输出,该10个1G口分别连接至10台1G深度包检测DPI设备3的第一个1G 口。经过包检测之后,将未识别的流或需要镜像的流通过1G深度包检测DPI设备的第三个1G 口输出,此10个1G 口输出至IOG交换机1的另10个1G 口,该数据流经过汇聚后从另一个10G 口输出。1G深度包检测DPI设备的第四个1G口作为该设备的管理口,此10个1G 口经过一个1G交换机2后可连接至PC机,通过不同IP地址可对10台1G深度包检测DPI设备3进行访问。该堆叠方式需要一台10G交换机与一台1G交换机。
参见图2,单向探针方式主要为解决双向IOG数据流镜像到一个10G 口导致该口数据流量过大而引入,其系统堆叠结构为10G双向以太数据流分别镜像到10G交换机4的两个10G口。其中第一个10G数据流经过10G交换机4的流量分配之后,均匀分配到10个1G 口输出,该10个1G口分别连接至10台1G深度包检测DPI设备6的第一个1G口;第二个10G数据流经过10G交换机4的流量分配之后,均匀分配到IO个1G 口输出,该10个1G口分别连接至10台1G深度包检测DPI设备6的第二个1G 口 。经过包检测之后,将未识别的流或需要镜像的流通过1G深度包检测DPI设备6的第三个1G 口输出,此10个1G 口输出至另一台10G交换机5的10个1G 口,该数据流经过汇聚后从该10G交换机5的一个10G 口输出。1G深度包检测DPI设备6的第四个1G 口作为该设备的管理口,此10个1G口经过该10G交换机5后,可连接至PC机,通过不同IP地址可对10台1G深度包检测DPI设备6进行访问。该堆叠方式需要两台IOG交换机。
参见图3,串联方式的系统堆叠结构为IOG双向以太数据流串联至10G交换机7的两个10G 口。该两个10G 口的数据流经过10G交换机7的流量分配之后,均匀分配到20个1G口 。其中10个1G 口为第一个10G 口流量均分而来,该10个1G 口连接至10台1G深度包检测DPI设备9的第一个1G 口。 10G交换机7的另10个1G口为第二个10G口流量均分而来,该10个1G 口连接至10台1G深度包检测DPI设备9的第二个1G 口 。 1G深度包检测DPI设备9对其第-第二个1G 口上的双向数据流进行检测与过滤,将未识别的流或需要镜像的流通过第三个1G 口输出,此10个1G口输出至另一台10G交换机8的IO个IG口,该数据流经过汇聚后从该10G交换机8的一个10G 口输出。1G深度包检测DPI设备9的第四个1G 口作为该设备的管理口,此10个1G口经过该10G交换机8后,可连接至PC机,通过不同IP地址可对10台1G深度包检测DPI设备9进行访问。该堆叠方式需要两台10G交换机。
以下介绍1G深度包检测DPI设备结构。
参见图4, 1G深度包检测DPI设备包括网络处理器MPC8572E 10,存储器单元ll,逻辑控制与管理单元12, 10/100/1000以太网接口模块13,背板接口单元14和电源与时钟管理单元15。其中MPC8572E 10为该设备的核心处理单元,该处理器可提供1.2GHz-1.5GHz的时钟速度。它采用两个功能强大的处理器内核、增强型外围设备和高速互连技术,对处理器性能和I/O系统吞吐量进行平衡。这些处理器还包含1个应用加速块,它集成了4个功能强大的引擎 一个查找表单元TLu,可以降低复杂表搜索和报头检测的负荷; 一个模式匹配引
擎PME,用于处理正则表达式(reg-ex)匹配; 一个压縮存储空间引擎,用于管理文件解压;和为虚拟专用网络加速IPSec和SL/TLS密码操作的安全引擎。由于采用了飞思卡尔的绝缘体上硅芯片技术(SOI), MPC8572能够提供更高的性能和更低的功耗。通过进行无损失集成,MPC8572平台构建在Power Architecture技术的嵌入式核心性能之上,增加了新的功能,增强了流量管理和安全加速。存储单元11包括2条DDR2内存条、NOR FLASH以及CF卡。MPC8572E包含两个DDR2/DDR3控制器,每个控制器上连接了一条1GB DDR2 800的内存条,实现双通道存储。 一片8MB的NOR FLASH连接在MPC8572E的本地总线上,作为系统启动的FLASH。 CF卡通过CPLD实现胶连逻辑后也连接在MPC8572E的本地总线上,用来存储Linux操作系统的内核与文件系统。MPC8572E带有4个集成的以太网控制器(增强型TSEC),其通过串行千兆媒体无关接口(SGMII)接口连接至四个10/100/1000以太网接口模块13,该四个GE 口连接至前面板。以太网接口模块的控制与状态信息通过其I2C接口与MPC8572E的I2C接口相连接。背板接口单元14包含两个GE 口以及一系列背板控制信号,其中两个GE 口通过串行千兆媒体无关接口 SGMII接口连接至MPC8572E,此两口与前面板中的两个GE 口复用,通过高速交叉开关实现切换。MPC8572E的一个串行口连接到前面板的RJ45座上实现串行控制台接口 。逻辑控制与管理单元12由ALTERA公司的MAX II系列CPLDEPM1270构成,该CPLD在板上实现系统的逻辑控制与管理,其中包括整个板卡的复位逻辑与中断控制,CF卡与MPC8572E本地总线的胶合逻辑,四个10/100/1000以太网接口模块的控制与状态信息处理,MPC8572E的调试接口逻辑,背板信号逻辑处理与风扇状态监控等。电源与时钟管理单元15中系统电源由三个DC-DC电源模块组成,分别输出3.3V、 1.8V和1.0V,实现板上器件的供电。系统时钟由时钟产生电路与时钟分发电路组成,其中66.66MHz时钟作为MPC8572E的系统时钟,125MHz时钟提供10/100/1000以太网控制器的时钟,55MHz时钟作为CPLD运行的系统时钟。
整个系统从功能上可以分为数据平面16,识别平面17和管理平面18。数据进入系统后,首先进入数据平面16。其主要完成以太数据包的捕获和发送,即实现数据包在GE1与GE2之间的转发;IP分片的重组;根据管理平面的配置,对特定的数据包通过GE3镜像输出;通知识别平面对数据包进行后处理。
识别平面17主要完成会话流的跟踪、维护和管理,根据网络情况,实现会话流的添加、删除并记录每条会话流的流量和持续时间;数据包的端口检测,利用硬件査找表完成具有固
定端口的传统业务的识别,如http,ftp;数据包的深度包检测,利用模式匹配引擎对数据应用
层内容进行模式匹配,完成具有明确特征码业务的识别,如BT, MSN;状态检测,某些网络业务会在不同的阶段呈现出不同的特征,状态检测跟踪会话流状态的变化,以达到识别的
目的,如SIP;将业务的识别信息告知分析统计模块。
管理平面18实现的主要功能有将识别模块提交的业务识别信息生成报表发送至控制终
端;提供给用户当前网络的流量信息;提供用户设置某业务或会话流Qos等级的接口,并执行该规则。在网络拥塞时丢弃低优先级的数据包。
这里通过参考具体的实施例对本发明进行了详细描述,但这仅仅是应用举例,应该清楚本领域的普通技术人员在不脱离本发明的范围和实质的情况下可做出各种修改和变化。
权利要求
1.一种基于堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统,包括10块能处理1G流量的深度包检测DPI设备及10G交换机,其特征在于所述1G流量的深度包检测DPI设备具有四个10/100/1000以太网接口模块,所述10G交换机是具有两个10G以太网接口与24个10/100/1000以太网接口的电信交换机;1G深度包检测DPI设备作为系统的核心处理单元,其四个10/100/1000以太网接口根据堆叠方式以相应连接方式连接到10G交换机的10/100/1000以太网接口上,10G交换机的10G以太网接口作为整个系统的对外接口,实现系统的10G网络处理能力。
2. 根据权利要求1所述的基于堆叠结构的1G高性能宽带网络行为实时分析及安全管理系 统,其特征在于所述的堆叠方式为双向探针方式,所述对应连接方式为所述10G交换 机(l)有一个10G输入口输入数据流,有10个1G输出口分别连接到10块1G深度包检测 DPI设备(3)的第一个1G输入口 ,而1G深度包检测DPI设备的第三个1G输出口连接到 所述的10G交换机(l)的另10个1G输入口 ,数据流汇聚后从该10G交换机(l)的一个10G 输出口输出;所述1G深度包检测DPI设备的第四个1G 口作为该设备管理口,经一个1G 交换机(2)后连接至PC机。
3. 根据权利要求1所述的基于堆叠结构的1G高性能宽带网络行为实时分析及安全管理系 统,其特征在于所述的堆叠方式为单向探针方式,所述对应连接方式为所述10G交换 机(4)有两个IOG输入口分别输入第一和第二数据流,有第一 10个1G输出口分别连接所 述10块1G深度包检测DPI设备(6)的第一个输入口 ,还有第二 10个1G输出口分别连接 所述10快1G深度包检测DPI设备(6)的第二输入口 ;所述1G深度包检测DPI设备(6)的 第三1G输出口连接到另一个10G交换机(5)的10个1G输入口 ,所述1G深度包检测DPI 设备(6)的第四1G 口连接所述10G交换机(5)的另10个1G 口,所述10G交换机(5)有一个 管理口连接PC机,另一个10G输出口输出数据流。
4. 根据权利要求1所述的基于堆叠结构的1G高性能宽带网络行为实时分析及安全管理系 统,其特征在于所述堆叠方式为串联方式,所述连接方式为所述一个10G交换机(7)有 两个10G 口 ,有10个第一 1G 口分别连接所述10个1G深度包检测DPI设备(9)的第一 1G 口 ,有10个第二 1G 口分别连接所述10个1G深度包检测DPI设备(9)的第二 1G 口 , 另一个10G交换机(8)有10个第一 1G输入口分别连接所述10个1G深度包检测DPI设 备(9)的第三1G输出口 ,还有10个第二 1G 口分别连接所述10个1G深度包检测DPI设 备(9)的第四1G口,该10G交换机(8)有一个10G输出口输出数据流,并有一个管理口连 接PC机。
5. 根据权利要求1所述的基于堆叠结构的1G高性能宽带网络行为实时分析及安全管理系 统,其特征在于所述1G深度包检测DPI设备包括网络处理器MPC8572E(10),存储器单 元(ll),逻辑控制与管理单元(12), 10/100/1000以太网接口模块(13),背板接口单元(14) 和电源与时钟管理单元(15);所述的网络处理器MPC8572E(10)作为该设备的核心处理单 元;所述的存储单元(11)包括两条DDR2内存条、NOR FLASH以及CF卡,两条DDR2 内存条通过双通道DDR2/DDR3总线连接至网络处理器MPC8572E(10), 一片8MB的NOR FLASH与CF卡插槽连接至网络处理器MPC8572E(10)的本地总线上;所述的逻辑控制与 管理单元(12)通过本地总线连接至网络处理器MPC8572E(I0),负责整板的接口逻辑连接; 所述的10/100/1000以太网接口模块(13)通过串行千兆媒体无关接口 SGMII接口连接至网 络处理器MPC8572E(10)的四个集成的以太网控制器——增强型TSEC上;所述的背板接 口单元(14)包含两个GE 口以及一系列背板控制信号,其中两个GE 口通过串行千兆媒体 无关接口 SGMII接口连接至网络处理器MPC8572E(10),此两口与前面板中的两个GE 口 复用,通过高速交叉开关实现切换;所述的电源与时钟管理单元(15)包括三个DC-DC电 源模块和一系列的时钟产生与分发电路,提供设备所需的电源与时钟。
6. 根据权利要求5所述的基于堆叠结构的1G高性能宽带网络行为实时分析及安全管理系 统,其特征在于所述网络处理器MPC8572E(10)采用两个功能强大的处理器内核、增强型 外围设备和高速互连技术,还包含1个应用加速块,集成了 4个功能强大的引擎 一个 査找表单元TLU, 一个模式匹配引擎PME, 一个压縮存储空间引擎和一个安全引擎。
7. 根据权利要求5所述的基于堆叠结构的1G高性能宽带网络行为实时分析及安全管理系 统,其特征在于所述逻辑控制与管理单元(12)采用ALTERA公司的MAX II系列CPLD EPM1270,实现通用I/0扩展、总线扩展、系统复位逻辑、中断控制、接口胶连功能。
全文摘要
本发明的目的在于提供了一种基于堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统,该系统基于堆叠结构,由10块能处理1G流量的深度包检测(DPI)板卡通过10G交换机堆叠而成。本系统在实现以太数据传输转发的同时,具备数据包有效载荷检测及处理功能,同时系统上增加了端口分发与汇聚功能,系统带宽可达10Gbps,有效解决了对互联网上高速流动的数据进行实时有效的分析和控制的问题,从而保证网络的正常运行和运营商的收益。
文档编号H04L12/56GK101662428SQ20091019651
公开日2010年3月3日 申请日期2009年9月25日 优先权日2009年9月25日
发明者卢旌平, 狄 孙, 孙文忠, 健 陈, 鹏 顾 申请人:上海大学