基于堆叠结构的10G高性能宽带网络行为实时安全管理系统

摘要

本发明的目的在于提供了一种基于堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统，该系统基于堆叠结构，由10块能处理1G流量的深度包检测(DPI)板卡通过10G交换机堆叠而成。本系统在实现以太数据传输转发的同时，具备数据包有效载荷检测及处理功能，同时系统上增加了端口分发与汇聚功能，系统带宽可达10Gbps，有效解决了对互联网上高速流动的数据进行实时有效的分析和控制的问题，从而保证网络的正常运行和运营商的收益。

说明书

技术领域

本发明涉及网络行为实时分析及管理设备，特别涉及一种基于堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统。在1G单板上基于网络处理器采用硬件的模式匹配引擎利用流水线处理架构，能够实现对2000种业务的实时检测和控制，由多块1G设备堆叠而成的10G方案能够将处理带宽由1G扩展至10G，从而对校园网或企业网的接入提供有效的安全保障。

背景技术

深度包检测(DPI)技术是为了提高当前网络防火墙性能而提出的一项重要的改进技术。因为随着近年来网络应用的高速发展，各种网络危险应运而生，此时防火墙就充当着一个重要的角色，它是防御网络入侵的最有效机制，防火墙的发展阶段包括访问控制列表、应用代理服务、状态检测3个阶段。而深度包检测(DPI)能看作是传统防火墙技术的入侵检测(IDS)和入侵阻止(IPS)的整合，是解决传统防火墙目前遇到难题的一项新技术，是防火墙技术发展的一个重要阶段，将该技术融入宽带网络行为实时安全管理在技术上将实现一次飞跃。

虽然传统的防火墙通过检测包头部分是一种较为经济的方式，但是可以发现越来越多的恶意行为可能隐藏在数据载荷中，顺利穿透防御边界后在安全体系内部产生严重的危害。同时由于数据载荷中可能充斥着垃圾邮件、广告、蠕虫病毒以及很多企业、事业单位不欣赏的P2P传输，各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在网络节点之间交换。所以，在应用形式及其格式以爆炸速度增长的今天，仅仅依照数据包的第三层信息决定其是否准入，实在无法满足安全的要求。

深度包检测(DPI)技术是一种深入检查通过防火墙的每个数据包及其应用载荷的技术。通过在应用层深入到正在进入服务器的数据包的有效载荷所封装的内容部分，搜寻合法或非法的内容以决定是否允许数据包通过，或者查找常见的攻击，并丢弃与之相关的会话。

随着计算机网络与电信网络融合进程的推进，高速的城市网络发展，需要不断提高宽带网络容量，寻求低成本效益的解决方案。10G以太网技术既提供速率优势，又具有灵活性、可升级性及技术简单等特点。10G以太网技术的推出，无疑在向一个目标前进——从接入到骨干网络都采用以太网技术，从而可构架出一个与传统电信网络不同的宽带网络。10G以太网较大的带宽使之可以成为园区骨干网或企业数据中心。同时10G以太网的出现也将加速电子商务的应用及以太网高速接入Internet的实现。如何有效实现10G以太网的深度包检测(DPI)成为当前研究的技术难点。传统的网络处理器处理性能远远达不到10G网络带宽的要求，而能够实现10G以太网深度包处理的芯片尚未得到商用，因而在当前的技术条件下，采用堆叠结构的10G深度包检测(DPI)系统为高带宽网络安全提供了最有效的解决方案。

因此，基于堆叠结构的10G深度包检测(DPI)系统具备以下优点：

(1)高处理带宽、线速处理能力使骨干网的应用得以实现；

(2)相比软件实现所需的巨大处理开销，大大减少对处理器的资源消耗；

(3)构建灵活、配置方便，可以为不同带宽要求提供相应的解决方案；

发明内容

本发明的目的在于提供了一种基于堆叠结构的10G高性能宽带网络行为实时安全管理系统，在实现以太数据传输转发的同时，具备数据包有效载荷检测及处理功能，解决了对互联网上高速流动的数据进行实时有效的分析和控制的问题，从而保证网络的正常运行。

为达到上述目的，本发明采用下述技术方案：

一种基于堆叠结构的10G高性能宽带网络行为实时分析及管理系统，包括10G交换机和10块具有1G网络处理能力的深度包检测(DPI)设备，其特征在于：所述1G流量的深度包检测DPI设备具有四个10/100/1000以太网接口模块，所述10G交换机是具有两个10G以太网接口与24个10/100/1000以太网接口的电信交换机；1G深度包检测DPI设备作为系统的核心处理单元，其四个10/100/1000以太网接口根据堆叠方式以相应连接方式连接到10G交换机的10/100/1000以太网接口上，10G交换机的10G以太网接口作为整个系统的对外接口，实现系统的10G网络处理能力。

上述堆叠方式为双向探针方式，所述对应连接方式为：所述10G交换机(1)有一个10G输入口输入数据流，有10个1G输出口分别连接到10块1G深度包检测DPI设备(3)的第一个1G输入口，而1G深度包检测DPI设备的第三个1G输出口连接到所述的10G交换机(1)的另10个1G输入口，数据流汇聚后从该10G交换机(1)的一个10G输出口输出；所述1G深度包检测DPI设备的第四个1G口作为该设备管理口，经一个1G交换机(2)后连接至PC机。

上述堆叠方式为单向探针方式，所述对应连接方式为：所述10G交换机(4)有两个10G输入口分别输入第一和第二数据流，有第一10个1G输出口分别连接所述10块1G深度包检测DPI设备(6)的第一个输入口，还有第二10个1G输出口分别连接所述10快1G深度包检测DPI设备(6)的第二输入口；所述1G深度包检测DPI设备(6)的第三1G输出口连接到另一个10G交换机(5)的10个1G输入口，所述1G深度包检测DPI设备(6)的第四1G口连接所述10G交换机(5)的另10个1G口，所述10G交换机(5)有一个管理口连接PC机，另一个10G输出口输出数据流。

上述堆叠方式为串联方式，所述连接方式为：所述一个10G交换机(7)有两个10G口，有10个第一1G口分别连接所述10个1G深度包检测DPI设备(9)的第一1G口，有10个第二1G口分别连接所述10个1G深度包检测DPI设备(9)的第二1G口，另一个10G交换机(8)有10个第一1G输入口分别连接所述10个1G深度包检测DPI设备(9)的第三1G输出口，还有10个第二1G口分别连接所述10个1G深度包检测DPI设备(9)的第四1G口，该10G交换机(8)有一个10G输出口输出数据流，并有一个管理口连接PC机。

上述1G深度包检测DPI设备包括网络处理器MPC8572E(10)，存储器单元(11)，逻辑控制与管理单元(12)，10/100/1000以太网接口模块(13)，背板接口单元(14)和电源与时钟管理单元(15)；所述的网络处理器MPC8572E(10)作为该设备的核心处理单元；所述的存储单元(11)包括两条DDR2内存条、NOR FLASH以及CF卡，两条DDR2内存条通过双通道DDR2/DDR3总线连接至网络处理器MPC8572E(10)，一片8MB的NOR FLASH与CF卡插槽连接至网络处理器MPC8572E(10)的本地总线上；所述的逻辑控制与管理单元(12)通过本地总线连接至网络处理器MPC8572E(10)，负责整板的接口逻辑连接；所述的10/100/1000以太网接口模块(13)通过串行千兆媒体无关接口SGMII接口连接至网络处理器MPC8572E(10)的四个集成的以太网控制器——增强型TSEC上；所述的背板接口单元(14)包含两个GE口以及一系列背板控制信号，其中两个GE口通过串行千兆媒体无关接口SGMII接口连接至网络处理器MPC8572E(10)，此两口与前面板中的两个GE口复用，通过高速交叉开关实现切换；所述的电源与时钟管理单元(15)包括三个DC-DC电源模块和一系列的时钟产生与分发电路，提供设备所需的电源与时钟。

上述网络处理器MPC8572E(10)采用两个功能强大的处理器内核、增强型外围设备和高速互连技术，还包含1个应用加速块，集成了4个功能强大的引擎：一个查找表单元TLU，一个模式匹配引擎PME，一个压缩存储空间引擎和一个安全引擎。

上述逻辑控制与管理单元(12)采用ALTERA公司的MAX II系列CPLD EPM1270，实现通用I/O扩展、总线扩展、系统复位逻辑、中断控制、接口胶连功能。

本发明与现有技术相比较，具有如下显而易见的突出实质性特点和显著优点：

1、具备多个1G口的汇聚与分发功能，使系统带宽可达10G，方便企业网与校园网的组建与应用。

2、MPC8572E基于双核双通道内存架构，硬件集成应用加速模块和四大引擎，为网络深度数据报检测、分类管理和安全加速提供了高效的平台。

3、系统结构配置灵活，可根据需要增减1G深度包检测设备实现总流量负荷的分配，降低了使用成本。

附图说明

图1是双向探针堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统框图。

图2是单向探针堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统框图。

图3是串联堆叠结构的10G高性能宽带网络行为实时分析及安全管理系统框图。

图4是1G深度包检测(DPI)设备结构框图。

图5是深度包检测设备软件结构框图。

具体实施方式

本发明的优选实施例结合附图详述如下：

参见图1、图2和图3，本基于堆叠结构的10G高性能宽带互联网网络行为实时分析及管理系统

本10G高性能宽带互联网网络行为实时分析及管理系统总体堆叠结构可分为三种，其一为双向探针方式，框图如图1所示；其二为单向探针方式，框图如图2所示；其三为串联方式，框图如图3所示。

参见图1，双向探针方式的系统堆叠结构为：10G以太数据流从10G交换机1的第一个10G口进入，其中的数据流是由网络中10G双向以太数据流镜像到该口。该数据流经过10G交换机1的流量分配之后，均匀分配到10个1G口输出，该10个1G口分别连接至10台1G深度包检测DPI设备3的第一个1G口。经过包检测之后，将未识别的流或需要镜像的流通过1G深度包检测DPI设备的第三个1G口输出，此10个1G口输出至10G交换机1的另10个1G口，该数据流经过汇聚后从另一个10G口输出。1G深度包检测DPI设备的第四个1G口作为该设备的管理口，此10个1G口经过一个1G交换机2后可连接至PC机，通过不同IP地址可对10台1G深度包检测DPI设备3进行访问。该堆叠方式需要一台10G交换机与一台1G交换机。

参见图2，单向探针方式主要为解决双向10G数据流镜像到一个10G口导致该口数据流量过大而引入，其系统堆叠结构为：10G双向以太数据流分别镜像到10G交换机4的两个10G口。其中第一个10G数据流经过10G交换机4的流量分配之后，均匀分配到10个1G口输出，该10个1G口分别连接至10台1G深度包检测DPI设备6的第一个1G口；第二个10G数据流经过10G交换机4的流量分配之后，均匀分配到10个1G口输出，该10个1G口分别连接至10台1G深度包检测DPI设备6的第二个1G口。经过包检测之后，将未识别的流或需要镜像的流通过1G深度包检测DPI设备6的第三个1G口输出，此10个1G口输出至另一台10G交换机5的10个1G口，该数据流经过汇聚后从该10G交换机5的一个10G口输出。1G深度包检测DPI设备6的第四个1G口作为该设备的管理口，此10个1G口经过该10G交换机5后，可连接至PC机，通过不同IP地址可对10台1G深度包检测DPI设备6进行访问。该堆叠方式需要两台10G交换机。

参见图3，串联方式的系统堆叠结构为：10G双向以太数据流串联至10G交换机7的两个10G口。该两个10G口的数据流经过10G交换机7的流量分配之后，均匀分配到20个1G口。其中10个1G口为第一个10G口流量均分而来，该10个1G口连接至10台1G深度包检测DPI设备9的第一个1G口。10G交换机7的另10个1G口为第二个10G口流量均分而来，该10个1G口连接至10台1G深度包检测DPI设备9的第二个1G口。1G深度包检测DPI设备9对其第一第二个1G口上的双向数据流进行检测与过滤，将未识别的流或需要镜像的流通过第三个1G口输出，此10个1G口输出至另一台10G交换机8的10个1G口，该数据流经过汇聚后从该10G交换机8的一个10G口输出。1G深度包检测DPI设备9的第四个1G口作为该设备的管理口，此10个1G口经过该10G交换机8后，可连接至PC机，通过不同IP地址可对10台1G深度包检测DPI设备9进行访问。该堆叠方式需要两台10G交换机。

以下介绍1G深度包检测DPI设备结构。

参见图4，1G深度包检测DPI设备包括网络处理器MPC8572E 10，存储器单元11，逻辑控制与管理单元12，10/100/1000以太网接口模块13，背板接口单元14和电源与时钟管理单元15。其中MPC8572E 10为该设备的核心处理单元，该处理器可提供1.2GHz-1.5GHz的时钟速度。它采用两个功能强大的处理器内核、增强型外围设备和高速互连技术，对处理器性能和I/O系统吞吐量进行平衡。这些处理器还包含1个应用加速块，它集成了4个功能强大的引擎：一个查找表单元TLU，可以降低复杂表搜索和报头检测的负荷；一个模式匹配引擎PME，用于处理正则表达式(reg-ex)匹配；一个压缩存储空间引擎，用于管理文件解压；和为虚拟专用网络加速IPSec和SL/TLS密码操作的安全引擎。由于采用了飞思卡尔的绝缘体上硅芯片技术(SOI)，MPC8572能够提供更高的性能和更低的功耗。通过进行无损失集成，MPC8572平台构建在Power Architecture技术的嵌入式核心性能之上，增加了新的功能，增强了流量管理和安全加速。存储单元11包括2条DDR2内存条、NOR FLASH以及CF卡。MPC8572E包含两个DDR2/DDR3控制器，每个控制器上连接了一条1GB DDR2800的内存条，实现双通道存储。一片8MB的NOR FLASH连接在MPC8572E的本地总线上，作为系统启动的FLASH。CF卡通过CPLD实现胶连逻辑后也连接在MPC8572E的本地总线上，用来存储Linux操作系统的内核与文件系统。MPC8572E带有4个集成的以太网控制器(增强型TSEC)，其通过串行千兆媒体无关接口(SGMII)接口连接至四个10/100/1000以太网接口模块13，该四个GE口连接至前面板。以太网接口模块的控制与状态信息通过其I2C接口与MPC8572E的I2C接口相连接。背板接口单元14包含两个GE口以及一系列背板控制信号，其中两个GE口通过串行千兆媒体无关接口SGMII接口连接至MPC8572E，此两口与前面板中的两个GE口复用，通过高速交叉开关实现切换。MPC8572E的一个串行口连接到前面板的RJ45座上实现串行控制台接口。逻辑控制与管理单元12由ALTERA公司的MAX II系列CPLD EPM1270构成，该CPLD在板上实现系统的逻辑控制与管理，其中包括整个板卡的复位逻辑与中断控制，CF卡与MPC8572E本地总线的胶合逻辑，四个10/100/1000以太网接口模块的控制与状态信息处理，MPC8572E的调试接口逻辑，背板信号逻辑处理与风扇状态监控等。电源与时钟管理单元15中系统电源由三个DC-DC电源模块组成，分别输出3.3V、1.8V和1.0V，实现板上器件的供电。系统时钟由时钟产生电路与时钟分发电路组成，其中66.66MHz时钟作为MPC8572E的系统时钟，125MHz时钟提供10/100/1000以太网控制器的时钟，55MHz时钟作为CPLD运行的系统时钟。

整个系统从功能上可以分为数据平面16，识别平面17和管理平面18。

数据进入系统后，首先进入数据平面16。其主要完成：以太数据包的捕获和发送，即实现数据包在GE1与GE2之间的转发；IP分片的重组；根据管理平面的配置，对特定的数据包通过GE3镜像输出；通知识别平面对数据包进行后处理。

识别平面17主要完成：会话流的跟踪、维护和管理，根据网络情况，实现会话流的添加、删除并记录每条会话流的流量和持续时间；数据包的端口检测，利用硬件查找表完成具有固定端口的传统业务的识别，如http，ftp；数据包的深度包检测，利用模式匹配引擎对数据应用层内容进行模式匹配，完成具有明确特征码业务的识别，如BT，MSN；状态检测，某些网络业务会在不同的阶段呈现出不同的特征，状态检测跟踪会话流状态的变化，以达到识别的目的，如SIP；将业务的识别信息告知分析统计模块。

管理平面18实现的主要功能有：将识别模块提交的业务识别信息生成报表发送至控制终端；提供给用户当前网络的流量信息；提供用户设置某业务或会话流Qos等级的接口，并执行该规则。在网络拥塞时丢弃低优先级的数据包。

这里通过参考具体的实施例对本发明进行了详细描述，但这仅仅是应用举例，应该清楚本领域的普通技术人员在不脱离本发明的范围和实质的情况下可做出各种修改和变化。