高速包分類協(xié)處理器及網(wǎng)絡(luò)平臺(tái)研究.pdf

1、因特網(wǎng)的骨架由路由器(交換機(jī))以及路由器之間的高速物理鏈路組成。因特網(wǎng)連接成千上萬(wàn)個(gè)大小不同的本地網(wǎng)絡(luò)，每個(gè)本地網(wǎng)絡(luò)通過(guò)防火墻或者邊緣路由器和因特網(wǎng)互聯(lián)。因此，路由器和防火墻的性能決定了因特網(wǎng)的容量和靈活性，也是因特網(wǎng)的瓶頸所在。因特網(wǎng)是包交換網(wǎng)絡(luò)，其傳輸信息的基本單位是網(wǎng)絡(luò)包(IP包)。節(jié)點(diǎn)之間使用IP協(xié)議通信。網(wǎng)絡(luò)包沿著各自傳遞路徑，從一個(gè)節(jié)點(diǎn)傳輸?shù)搅硪粋€(gè)節(jié)點(diǎn)，最終到達(dá)目的地。路由器和防火墻均是因特網(wǎng)的網(wǎng)絡(luò)包傳輸處理中間節(jié)點(diǎn)，網(wǎng)絡(luò)包

2、從它們的一個(gè)端口進(jìn)入，經(jīng)過(guò)處理后從另一個(gè)端口輸出或被過(guò)濾。因此，網(wǎng)絡(luò)包的處理速度和靈活性是路由器和防火墻設(shè)計(jì)要考慮的最重要問(wèn)題。 包分類是路由器和防火墻中的一類網(wǎng)絡(luò)包處理技術(shù)。隨著因特網(wǎng)的蓬勃發(fā)展，網(wǎng)絡(luò)負(fù)載迅速增長(zhǎng)，超過(guò)了路由器容量的增長(zhǎng)速度，導(dǎo)致網(wǎng)絡(luò)擁塞和報(bào)文丟失現(xiàn)象。傳統(tǒng)路由器對(duì)每個(gè)網(wǎng)絡(luò)包都“平等、盡力服務(wù)”的形式已經(jīng)不再使所有網(wǎng)絡(luò)用戶滿意，有的用戶愿意花費(fèi)更多的錢(qián)來(lái)獲得更好的網(wǎng)絡(luò)服務(wù)。在這種背景下，網(wǎng)絡(luò)服務(wù)提供商為了最大化

3、利潤(rùn)，對(duì)路由器技術(shù)提出了差別服務(wù)，流量計(jì)費(fèi)等要求，這些要求直接促成了包分類技術(shù)的發(fā)展和應(yīng)用。隨著多媒體業(yè)務(wù)，P2P應(yīng)用的日益普及，以及惡意攻擊和掃描，病毒和蠕蟲(chóng)等在因特網(wǎng)上的泛濫，要求防火墻設(shè)備能夠以很高的速度，在一秒鐘之內(nèi)處理大量的網(wǎng)絡(luò)連接，并跟蹤這些連接狀態(tài)。所有這些背景和應(yīng)用都要求路由器和防火墻設(shè)備要能對(duì)流入接口的網(wǎng)絡(luò)包進(jìn)行分類，根據(jù)網(wǎng)絡(luò)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)等域的內(nèi)容，與既定的規(guī)則集匹配，識(shí)別不同的網(wǎng)絡(luò)包，并

4、對(duì)其特殊處理。 目前，隨著網(wǎng)絡(luò)安全需求的不斷提高，對(duì)防火墻的性能要求也在不斷提高。防火墻經(jīng)過(guò)過(guò)去基于軟件的三個(gè)時(shí)代的發(fā)展，正向第四代硬件防火墻過(guò)渡。我國(guó)防火墻的市場(chǎng)很大，國(guó)產(chǎn)防火墻基本都是低端產(chǎn)品，高端市場(chǎng)基本上被Cisco、Juniper、CheckPoint等公司產(chǎn)品壟斷，而高端防火墻主要用于金融、國(guó)家安全等重要網(wǎng)絡(luò)資源的保護(hù)，長(zhǎng)期使用國(guó)外防火墻產(chǎn)品已經(jīng)引起國(guó)家有關(guān)部門(mén)的關(guān)注，岡此開(kāi)發(fā)我們擁有自主知識(shí)產(chǎn)權(quán)的高端防火墻無(wú)論在經(jīng)

5、濟(jì)上還是政治上都有重要意義。 第四代防火墻設(shè)備基于深度包檢測(cè)技術(shù)，深度包檢測(cè)技術(shù)要求防火墻對(duì)網(wǎng)絡(luò)包的識(shí)別能力達(dá)到應(yīng)用層內(nèi)容，即深度包分類。它不僅可以按照網(wǎng)絡(luò)第3層(網(wǎng)絡(luò)層)協(xié)議和第4層(傳輸層)協(xié)議對(duì)網(wǎng)絡(luò)包分類，還可以根據(jù)應(yīng)用層的內(nèi)容對(duì)網(wǎng)絡(luò)包分類。對(duì)網(wǎng)絡(luò)包分類的程度越深，防火墻對(duì)包的了解就越清晰，因而對(duì)包的控制就越精細(xì)。但隨著分類深度的加深，每個(gè)網(wǎng)絡(luò)包的處理速度就會(huì)急劇下降，這樣防火墑設(shè)備就可能導(dǎo)致網(wǎng)絡(luò)的傳輸瓶頸。因而，設(shè)法提高

6、包分類速度，是能否實(shí)現(xiàn)高性能防火墑的關(guān)鍵。目前，國(guó)際上常用的包分類技術(shù)可以分為兩大類，一類是基于高效率的包分類算法，改善算法提高分類速度，由于這些算法在通用CPU上運(yùn)行，到目前為止，單純的分類速度仍不能滿足防火墑的需要；另一類是基于CAM或網(wǎng)絡(luò)處理器的硬件實(shí)現(xiàn)，但由于CAM本身存在著功耗大、集成度較低，以及不能實(shí)現(xiàn)范圍搜索等缺點(diǎn)，其應(yīng)用也有一定的限制。多方面研究表明，目前還沒(méi)有一種簡(jiǎn)單通用的方法能夠提供滿足高線速處理要求的深度包分類，包

7、分類技術(shù)應(yīng)該是各種算法和結(jié)構(gòu)的有機(jī)結(jié)合。根據(jù)應(yīng)用目的的不同，通過(guò)合理組合算法、CAM、通剛CPU、網(wǎng)絡(luò)處理器等來(lái)提高性能。 本文充分調(diào)研了目前包分類技術(shù)的發(fā)展?fàn)顩r和應(yīng)用前景，對(duì)比了多種包分類技術(shù)的實(shí)現(xiàn)原理，并結(jié)合我們目前的實(shí)際情況(綜合考慮成本、功耗和包分類性能)，面向自主研發(fā)高性能的硬件防火墻設(shè)備，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于FPGA的高速包分類協(xié)處理器，這是本文的第一部分和第二部分內(nèi)容。協(xié)處理器將硬件邏輯實(shí)現(xiàn)的包分類引擎和管理調(diào)度接口

8、集成到一個(gè)FPGA上，兼具較高的包分類性能和靈活性。本文的第三部分內(nèi)容是基于上述包分類FPGA協(xié)處理器，將協(xié)處理器和嵌入式處理器相結(jié)合，構(gòu)成高性能防火墻的研究開(kāi)發(fā)平臺(tái)，在此基礎(chǔ)上展開(kāi)基于我們自主核心技術(shù)的高性能防火墻的研發(fā)。本文設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)嵌入式網(wǎng)絡(luò)處理平臺(tái)，一方面，網(wǎng)絡(luò)處理平臺(tái)作為包分類技術(shù)研究平臺(tái)，可以對(duì)包分類協(xié)處理器進(jìn)行調(diào)試和性能測(cè)試；另一方面，網(wǎng)絡(luò)處理平臺(tái)自身形成一個(gè)完整的網(wǎng)絡(luò)包處理系統(tǒng)，可實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的實(shí)際開(kāi)發(fā)。本文的第四

9、部分內(nèi)容是針對(duì)上述包分類FPGA協(xié)處理器和網(wǎng)絡(luò)處理平臺(tái)進(jìn)行測(cè)試，測(cè)試結(jié)果和總結(jié)將在本文第五章和第六章描述。下面概要說(shuō)明本文各章的具體內(nèi)容。 第一章是序言，介紹包分類技術(shù)產(chǎn)生的背景、意義，以及要達(dá)到的目標(biāo),并描述本文的工作內(nèi)容、研究方法和研究意義。 第二章是網(wǎng)絡(luò)包分類技術(shù)，指出包分類技術(shù)所面臨的挑戰(zhàn)，總結(jié)目前國(guó)內(nèi)外在包分類技術(shù)方面已有的工作，對(duì)一些有代表性的算法和技術(shù)作詳細(xì)的分析比較。 第三章是基于FPGA的包分類

10、協(xié)處理器，描述本文設(shè)計(jì)的包分類FPGA協(xié)處理器的體系結(jié)構(gòu)，它由包分類引擎和控制邏輯組成，介紹包分類引擎的硬件設(shè)計(jì)，以及協(xié)處理器的控制和管理。 第四章是嵌入式包分類網(wǎng)絡(luò)處理平臺(tái)，介紹包分類網(wǎng)絡(luò)處理平臺(tái)的總體結(jié)構(gòu)、硬件設(shè)計(jì)和軟件設(shè)計(jì)。包分類網(wǎng)絡(luò)處理平臺(tái)主要由一個(gè)主控嵌入式處理器和包分類FPGA協(xié)處理器組成，嵌入式處理器上運(yùn)行GNU/Linux操作系統(tǒng)，負(fù)責(zé)對(duì)整個(gè)網(wǎng)絡(luò)處理平臺(tái)的管理和調(diào)度，并提供完備的用戶接口。這種設(shè)計(jì)方式使得：一方面