多核网络流量处理平台产品推广解决方案-恒扬科技.ppt

© 2010 Semptian Technologies Ltd. All Rights Reserved,Make Network Devices Open,,,,,恒扬科技 SempGate® NSA/MCP多核网络流量处理平台,,安全产品方案选型,安全产品“多功能、低性能”,当前安全产品综合功能不断增加，网络报文处理流程更趋复杂，报文的检测强度、检测力度越发加大，但是产品性能也在急剧下降网络底层处理瓶颈,操作系统基于开源的Linux操作系统，复杂的系统架构以及复杂的调度机制导致处理流程繁琐协议栈采用Linux标准网络协议栈设计，很难突破报文转发性能瓶颈安全功能构建在Netfilter架构之上，每报文的检测机制导致即使受信链接的后续报文也都要进行检测，大大降低报文转发性能硬件平台使用X86硬件体系架构，硬件平台没有对网络报文处理进行任何优化，没有支持网络报文高速处理的硬件单元网络接口限制,随着用户网络环境日趋复杂，应用也越来越多，对网络产品硬件接口数量要求也不断递增，传统X86架构硬件平台已近很难满足高密度接口设计用户网络环境中各种网络产品的使用五花八门，根据用户不同网络业务的特点网络设备接口组合也变化多端，对接入用户网络的产品自身网络接口形式也提出可以灵活组合的要求。

整机故障率,X86架构硬件平台的单板设计复杂，外围搭配的各类元器件众多组装测试流程需要非常细致，可能一个简单的产品运输过程就会产生频繁故障X86通用处理器及主要配套的南北桥芯片相对功耗大较大、整机在有负荷的情况下工作热量偏高，需要大功率、高转速风扇进行散热，否则故障频频安全产品方案选型难上加难,残酷的市场价格竞争要求网络设备厂商需要不断的降低产品的销售价格，同时还要保持产品的利润率用户希望减少设备采购投资，要求网络设备厂商能在同一产品内不断的集成进更多功能用户的内网、外网带宽飞速升级，要求的网络产品在满足用户的功能需求下，性能也要不断提升目前普及的硬件平台,硬件平台比较,基于Cavium MIPS64 的多核平台,Cavium公司多核网络处理器,MC1400,MC3600,MC1200,专业一体化硬件设计,灵活的接口定制 MC1200,OCTEONCN 5020,RGMII 0/1,RGMII 2,PHY,Switch,Bypass,8 * RJ-45,,,,,,,,,,,,,,,,,,,,专业一体化硬件设计,灵活的接口定制 MC 1400,OCTEONCN 5230,XAUI,FPGA,PHY,4 *GE RJ-45,,,,,,,PHY,PHY,,,,,,,,,4 *GE RJ-45,4 *GE RJ-45,4 *GE RJ-45,4 *GE RJ-45,4 *GE RJ-45,,,,,,,,,,,,,,,,,,,,,,,,专业模块化硬件设计,灵活的接口定制 MC 3600,OCTEONCN 5860,SPI 4.2,FPGA,PHY,,,SPI 4.2,,8*GE,8*GE,,,背板,出色的性能指标,超强的报文转发性能指标,高度集成化单板,高集成度、无风扇单板设计，整机功耗更小、可靠性更高,MC1200,MC1400,MC3600,准系统=系列化硬件+开放软件平台,MCP 全系列硬件产品MCP开放软件平台,MCP SDK高性能数据平面,MCP SDK控制平面,为性能设计的软件架构,,1,2,1,,已知会话由数据平面处理,,控制平面,,,4,4,2,3,,未知会话由控制平面处理,,,,,2,流转发表,5-tuple,egress i/f,next-hop,nat information,stating,qos,host,mirror,Core n+1..m,开放、完整的软件解决方案,兼容Linux下的各种网络接口之间的报文转发 以太接口、VLAN接口、Bridge桥接口、PPPOE拨号接口。

兼容Linux下路由和NAT功能 全面支持Linux下静态路由，高级路由等，支持一对一、多对一、多对多NAT转换兼容Linux下Netfilter架构 支持Netfilter下各种的匹配和策略模块，支持Netfilter Conntrack状态跟踪机制，支持动态端口协议跟踪对网络流量处理应用提供基础软件支持,提供报文镜像 报文在数据平面的快速路径进行转发的同时，可以根据控制平面预设的策略将报文同时镜像到控制平面进行数据分析工作提供报文统计 数据平面的快速路径进行报文转发时还可以对连接进行统计，记录下通过的报文数量和报文大小保存到会话表项，然后定时将信息同步给控制平面进行流量统计和流量分析工作提供QOS带宽管理支持 支持Linux系统开源QOS工具，在数据平面转发报文同时可以对其进行细粒度的QOS带宽管理控制报文零拷贝技术 通过数据平面统一分配管理报文，在系统的任何位置都可以直接通过物理地址轻松访问数据报文独立的硬件加密、解密单元 提供基于Cavium多核网络处理器的硬件加密、解密引擎API，支持MD5、DES、3DES等常见加密、解密算法对网络流量处理应用提供基础软件支持,,What’s inside the SDK,恒扬科技提供配套多核网络流量处理平台的64位开发工具链。

恒扬科技维护一套兼容Openwrt的Linux发行版本，直接支持MCP系列硬件平台64位的内核，64位的用户空间应用程序成熟的防火墙、路由操作系统简单易用的应用开发环境，方便集成新的应用程序丰富的开源生态环境，集成了丰富的开源应用软件厂商应用软件移植简单快捷 无需针对多核处理器对应用程序针对多核处理器特性进行代码重构和优化，开发多核产品就像开发X86一样简单，只需要简单集成工作就可以享受多核带来无与伦比的性能What’s inside the SDK,MCP Platform,Linux Kernel & Driver,WAN/LAN 接口,Ethernet,xDSL,SFP,路由,静态路由,策略路由,均衡路由,防火墙,状态检测,NAT/PAT,链接跟踪,开源生态环境,DHCP,QOS,DDNS,内容过滤,入侵检测,蠕虫防护,IPSEC,PPTP,L2TP,. . . . . .,MCP SDK数据平面 Core 1..n,Toolchain,MCP SDK控制平面,Core n+1..m,安全网关类产品解决方案,Hard Platform,Linux Kernel & Driver,WAN/LAN 接口,Ethernet,xDSL,SFP,路由,静态路由,策略路由,均衡路由,防火墙,状态检测,NAT/PAT,链接跟踪,网络服务,VPN,DHCP,QOS,DDNS,内容过滤,入侵检测,蠕虫防护,IPSEC,PPTP,L2TP,SSL VPN,SDK数据平面 Core 1..n,安全厂商应用软件,MCP SDK控制平面,Core n+1..m,旁路审计产品部署必须要求核 心交换机支持端口镜像功能无法对业务数据进行实时控 制,安全审计类产品解决方案,旁路审计产品,业务流量,,核心交换机,,接入网关设备,,安全审计设备,安全审计类产品解决方案,串接审计产品要求分析软件和安全网关功能软件性能、可靠性高。

业务流量,,安全审计产品,,互联网,审计功能,安全网关功能,串接审计产品,安全审计类产品解决方案,数据流量,,安全审计产品,,互联网,MCP SDK数据平面Core n+1..m,MCP SDK控制平面Core 1..n,镜像,控制,使用MCP串接业务流量，并将流量镜像到控制平面进行分析分析软件的性能和功能完全不影响流量串接分析软件可以根据分析结果，实时给数据平面下发会话管理指令，通过会话表对特定流量进行控制分析软件演进到控制软件的工作量和可靠性都完全可控,分析软件,安全审计类产品解决方案,MCP Platform,Linux Kernel & Driver,WAN/LAN 接口,Ethernet,xDSL,SFP,路由,静态路由,策略路由,均衡路由,防火墙,状态检测,NAT/PAT,链接跟踪,SDK数据平面 Core 1..n,安全厂商应用软件,MCP SDK控制平面,Core n+1..m,数据库软件,分析软件,控制软件,流量控制解决方案,MCP作为流量串接设备，缺省的所有流量从MCP接口进，并从另外一个MCP接口出根据特征匹配策略，将控制平面关注的流量镜像上交控制平面控制平面对流量进行分析，找到需要限制和保障的流量，为这些流量创建会话表项，并关联QoS ID。

可以为每个会话表配置2级QoS ID第1级QoS 限制每个用户占用的带宽第0级QoS限制或者保证针对对应用或者重要用户的带宽分配例如：接口带宽2MA类用户带宽限制在1M视频通话应用保证带宽在1M所有用户Http下载带宽限制在1M,,,,A 用户发起的会话,视频通话类会话,SSN A1-V: Qos (20,10),SSN A3 Qos (0,10),SSN V1:QoS(20,0),SSN V2:QoS(20,0),SSN A4 Qos (0,10),,SSN A2-H(30,10),,总带宽限制在1M,保障在1M,限制在1M,先按用户限制，再按应用保障,先按用户限制，再按应用限制,流量控制解决方案,Hard Platform,Linux Kernel & Driver,WAN/LAN 接口,Ethernet,xDSL,SFP,路由,静态路由,策略路由,均衡路由,防火墙,状态检测,NAT/PAT,链接跟踪,网络服务,流分类,QOS,流量统计,SDK数据平面 Core 1..n,安全厂商应用软件,MCP SDK控制平面,Core n+1..m,最终产品形成模式,MCP系列Hard Platform,标准数据平面,Cavium公司软件包,厂商自主软件系统,兼容Openwrt开源系统,最终产品,厂商自主应用软件,,,定制数据平面,,,,,,,,,,,© 2010 Semptian Technologies Ltd. All Rights Reserved,Make Network Devices Open,Thank you!,,,,,。