聚焦40G和智能DPI的分组数据网网关实现
Linley集团近期市场分析预测,在未来5年内连接设备将增长26倍。到2015年,仅智能手机出货量就将达到6.75亿,预计增长2.8倍。
在同样的时间段里,具有无线功能的移动计算设备预计将从32%上升至65%。从应用的角度来看,移动视频推动了对带宽和低延迟的需求,二者都是可预见且一致的。思科的分析表明,所有移动数据流量中66%包含视频内容。随着社会网络化和以“云”为基础的商业模式的发展,我们将看到在未来几年内基于Web和应用的浏览会增加21%。这些新的市场需求和移动设备中对新技术的积极采用带来了多种技术上的垗战,我们在向市场推出新服务时必须考虑到这一点。
由于网络复杂性的增加,带宽匹配和计算性能的挑战也在增加。它现在需要维持庞大的流量和迅速倍增的用户数据量,因为新设备增加了许多倍。安全性也变得更加重要,因为连接到移动网络的更多设备、操作系统和应用暴露了新的威胁。它们除了伤害个人用户和设备外,会潜在地伤害整个网络。运营商在发展自己的网络及寻找提供具有预期安全水平的无处不在的访问方式时,必须考虑到所有这一切。
LTE与演进包核心
3GPP已经为下一代移动基础设备创建了架构,称为LTE(Long Term Evolution,长期演进)。LTE为基于多个设备的网络提供了网络基础设施和无线接口,并迁移到仅基于IP的互联战略。此IP网络将提供与任何设备之间基于数据包的语音、视频和内容转码。支持100Mbps的LTE目前每台设备的延迟小于10ms,将来的版本可能是这个速度的3倍。
LTE的主要功能成分是演进包核心(Evolved Packet Core, EPC),它被构造为一种安全的IP网络,且必须提供多个当前及传统RAN的移动性和互通性的支持。EPC有3个主要子实体。
1. MME(Mobility Management Entity,移动管理实体)提供了用于LTE接入网络的主要控制。它跟踪负责身份验证、移动性,以及与传统接入2G/3G接入网络的互通性的用户设备(UE)。该MME还支持合法的信号拦截。
2.SWG(服务网关)路由和转发用户数据包,同时也作为eNodeB之间互相传递期间用户平面的移动锚,以及作为LTE和其他3GPP技术的移动性的锚。
3.PGW(分组数据网网关)管理用户设备(UE)和外部分组数据网络之间的连接。一个UE可以与访问多个PDN的多个PGW同步连接。PGW执行政策的实施,为每个用户进行数据包过滤、计费支持、合法拦截和数据包筛选。
分组数据网网关是推动对处理器和带宽性能增加需求的关键网络元素。PGW的主要功能是UE IP地址分配、基于每个用户的数据包过滤、深度包检测(DPI)和合法拦截。
下图显示了PGW内具备的广泛功能和所需的软件和协议层,以及SGW和PGW之间的一些公共层。这类功能中有些需要大量处理资源,必须能处理不会反过来影响整体网络性能的吞吐量和连通性。支持这些重要功能的唯一可行方式是利用专用硬件资源。
核心网络的安全性
PGW中推动高带宽和处理性能的功能主要是与核心网络基础设施中的安全要求有关的功能。其中许多(如果不是所有)功能需要10GbE以上的高带宽接口。检测运行中的流量然后根据每个数据包的内容做决定的能力,是PGW安全功能得以实现的技术基础。这项技术称为深度包检测(DPI),由专门的多核处理器驱动,并配以最高可达40GbE的I/O。利用处理器之间的高速互联是维持流量和平衡PGW平台中的处理器利用率的另一个关键推动因素。这种传输机制需要三层处理,利用各个处理器刀片上的40GbE接口。这种刀片处理器有一个可将特定数据包路由到专用socket和/ 或刀片内核的协议结构。
深度包检测
顾名思义,DPI深度关注数据流量,并能够读取每一个字节,直到它可以判断是否需要根据其预先设定的规则之一标记任何特定数据包。DPI是一个专门的硬件和软件组合,能够标识特定协议和应用程序、不恰当的URL、入侵企图和恶意软件。在许多情况下,DPI引擎只是标识和标记“违规”数据包,并报告给一个更高级的应用机构。在某些情况下,比如入侵企图、病毒或恶意软件,系统可以采取预防性行动来完全拒绝或阻止特定的数据包或数据流。
典型DPI系统的功能分为四大类:
»协议分析与应用识别——任何DPI系统的基础都是识别和分离多种不同协议的能力。如今的复杂DPI系统可以识别数百个协议,几乎涵盖了所有应用和服务类型。
»防恶意软件和反病毒防护——互联网发展的副作用是严重的病毒和恶意软件问题。DPI系统通过与包含已识别的恶意URL和病毒签名的广泛数据库作比较,可以识别并消除这些威胁。
» IDS和/或IPS——入侵检测系统(IDS)和入侵防御系统(IPS)在许多方面是相似的,在一个关键方面不同。两者都检测未经授权者(比如黑客)入侵企图,但IDS仅仅记录和报告,而IPS检测到入侵时会自动采取行动。
» URL过滤——一个相对简单和直接的功能,将URL与已知威胁数据库作比较,过滤并删除潜在的威胁。难点在于要能够以“线速”为数以百万计的URL做这一切。
鉴于PGW平台的吞吐量需要,任何DPI引擎都必须具备检查庞大数量的数据流和数据包的能力。这种软件引擎本质上是一个不断重复的任务集,它在高度并行环境下工作,使多核架构成为性能和可扩展性方面的理想解决方案。这些技术的领先供应商之一是Cavium Networks公司,它们提供的多核OCTEON II处理器具有内置包检测引擎。
Cavium Networks公司的OCTEON II
OCTEON II多核处理器系列面向高性能、高吞吐量、服务丰富的应用。该系列的一个主要特征是它具备从1-2个内核扩展到32个内核的能力,采用一个共同的软件架构。CN68XX处理器系列为苛刻的4G/LTE基础设施应用提供了最高的计算性能。配备20个可配置第二代SERDES、4个DDR3控制器、一个4MB的二级缓存,以及整套应用加速解决方案,包括数据包处理、加密/解密、深度包检测、压缩/解压,CN68XX提供了计算和网络吞吐量处理和服务的理想组合。
OCTEON II等专业高性能芯片,是位于GPW解决方案的核心DPI引擎的理想动力来源。软件是下一个步骤,Cavium Networks公司为不希望一切都从头开始写的开发商创建了TurboDPITM。这是一款基于网络的多功能软件平台,旨在利用OCTEIO II处理器及其内置的包检测引擎。TurboDPI系统为四个关键DPI功能都提供了内置支持:协议检测与应用识别、防恶意软件和防病毒、IDS/IPS 和URL过滤。凭借对现成的或自定义配置文件和威胁数据库的支持,该系统可以方便地进行更新,既可手动更新也可使用自动分析服务(比如卡巴斯基)完成。然后,标记为阳性(positive),并传送到相应的应用程序(比如防恶意软件)进行进一步处理。
它设计为可以方便地在多个标准规格的TurboDPI上实现,以便轻松地扩展平台体系结构,可用于跨AMC(AdvancedMC)模块和 ATCA(AdvancedTCA)刀片系统设计支持。在高端产品上,性能是一个关键设计标准,而OCTEON II和TurboDPI的组合能够以高达40Gbps的数据速率处理数据包。
Cavium Networks的解决方案的功能和性能特点与PGW实现所要求的整体能力和吞吐量,使得ATCA成为构建这种应用程序的理想硬件平台。ATCA标准早已在许多不同基础设施应用领域建立起来,它不断发展扩大规范以满足不断扩张的网络日益增长的需求。目前10Gbps能力的平台现在已经根据IEEE以太网修订版802.3ba和对PICMG3.1规范的相关更新进行了扩展。这些新的标准使ATCA平台一马当先,可以支持40Gbps的背板和能够充分利用这些吞吐量水平的相关处理器卡。
AdvancedTCA平台解决方案
控创集团是嵌入式计算和通信技术的领先制造商之一,将所有这些元素结合在一起,产生了一个与EPC分组数据网网关的要求相匹配的平台解决方案。 AT8242是第三代控创包处理器产品,它搭载了Cavium Networks公司的两个CN6880 OCTEON II MIPS64数据包处理器,总共达到64个内核。利用OCTEON II的多核优势,AT8242能够实现卓越的能耗比以及整体功耗优化,同时传播到TurboDPI提供的所有DPI功能上。网络连通性和吞吐量要求与每台支持2个20Gbps和2个10Gbps总共达60Gbps的以太网多层交换机的处理器的要求不相上下,带宽容量最高可达320Gbps,并连接到可配置的40/10GbE连接的光纤接口。
为了丰富全面的PGW应用就绪解决方案或其他4G LTE应用,控创提供了兼容的40G和10G ATCA平台。OM9141-40G和OM9141-10G是控创开放式模块化核心平台系列的一部分。每个ATCA 14槽集成核心平台配备了冗余电源输入模块、带热插拔冗余风扇的冷却基础设施,以及40/10GbE交换能力和管理软件及平台同步接口。
对网络容量不断增加的需求所产生的机会是令人兴奋的。我们要迎接与这些机会一起到来的挑战(比如增加的安全性)。产生的分组数据网网关等新的网络基础设施和元素,来迎接帮助它们实现目标技术的挑战和发展。高性能和吞吐量网络处理和DPI解决方案对于众多新型网络应用和专门处理器(比如连接 40Gbps电路板的OCTEON II)将至关重要,控创等公司提供的系统平台是领军者。