多通道10G网络安全设备的设计与实现
网络安全与数据治理
王硕1,胡现刚2,杨欢1,黄毅龙1,姬胜凯1
1.中国电子信息产业集团有限公司第六研究所; 2.南部战区海军参谋部
摘要: 针对数据中心服务器间数据安全传输需求,提出一种多通道10G网络安全设备设计方案。此方案以国产高性能FPGA和CPU为核心,通过双向认证协商方式建立VPN通道,基于IPSec VPN技术实现10路10G业务数据保护服务。搭建测试环境对样机进行测试验证,测试结果表明,1 400 B包长下,每个通道可完成不小于9.4 Gb/s吞吐率的IPSec安全传输。
中图分类号:TN918.4;TP309文献标识码:ADOI:10.19358/j.issn.2097-1788.2024.10.002
引用格式:王硕,胡现刚,杨欢,等.多通道10G网络安全设备的设计与实现[J].网络安全与数据治理,2024,43(10):7-13,35.
引用格式:王硕,胡现刚,杨欢,等.多通道10G网络安全设备的设计与实现[J].网络安全与数据治理,2024,43(10):7-13,35.
Design and implementation of multi-channel 10G network security device
Wang Shuo1,Hu Xian′gang2,Yang Huan1,Huang Yilong1,Ji Shengkai1
1.The 6th Research Institute of China Electronics Corporation;2.Naval Staff Department of the Southern Theater Command
Abstract: A design scheme of multi-channel 10G network security device is proposed to meet the demand for secure data transmission between severs in a data center.Using domestic high-performance FPGA and CPU,this solution establishes a VPN channel through bidirectional authentication and negotiation,and implements 10-channel 10G business data protection services based on IPSec VPN technology.A test environment was built to test and verify the prototype. The results show that under a packet length of 1 400 B, each channel can achieve IPSec transmission with a throughput rate of no less than 9.4 Gb/s.
Key words : network security;IPSec; multi-channel;10G
引言
针对数据中心服务器间数据安全传输的需求,亟需研制多通道10G网络安全设备,通过IP加密技术构建VPN来动态构建和划分安全域,为服务器提供网络层数据传输保护服务。
由于软件方式实现的IPSec协议大大增加了网关的负载,成为网络的瓶颈[1],本文提出了一种基于CPU+FPGA的架构方案,采用2U机箱平台加模块结构,模块间松耦合,模块自身功能高度内聚,降低开发调试复杂度,同时提高设备可靠性。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006190
作者信息:
王硕1,胡现刚2,杨欢1,黄毅龙1,姬胜凯1
(1.中国电子信息产业集团有限公司第六研究所,北京100083;
2.南部战区海军参谋部,广东湛江524000)
此内容为AET网站原创,未经授权禁止转载。