發(fā)布時(shí)間：2020-07-22 09:58

【摘要】：網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)使用標(biāo)準(zhǔn)的虛擬化技術(shù),將軟件網(wǎng)絡(luò)功能的實(shí)現(xiàn)與底層的硬件解耦,并將軟件實(shí)現(xiàn)的虛擬網(wǎng)絡(luò)功能(Virtual Network Function,VNF)整合到通用的服務(wù)器,交換機(jī)和存儲(chǔ)設(shè)備中~([1])。NFV使網(wǎng)絡(luò)功能的部署更加簡(jiǎn)單,管理更加方便,開發(fā)更加迅速。安全網(wǎng)關(guān)是網(wǎng)絡(luò)功能的重要部分,也是最適合應(yīng)用NFV的網(wǎng)絡(luò)功能之一。安全網(wǎng)關(guān)被廣泛用于虛擬私有網(wǎng)絡(luò)(Virtual Private Network,VPN)和端到端站點(diǎn)的連接。由于安全網(wǎng)關(guān)應(yīng)用了計(jì)算密集的加解密算法,軟件實(shí)現(xiàn)的安全網(wǎng)關(guān)往往只有較低的性能,CPU的性能成為限制安全網(wǎng)關(guān)的主要因素。使部署在通用硬件上的安全網(wǎng)關(guān)實(shí)現(xiàn)高性能成為了NFV走向?qū)嶋H應(yīng)用的障礙。在NFV情景下的,安全網(wǎng)關(guān)中所面臨的重要挑戰(zhàn)是如何高效地將靈活的安全網(wǎng)關(guān)部署在與硬件設(shè)備相當(dāng)?shù)姆⻊?wù)器中,并且與傳統(tǒng)硬件實(shí)現(xiàn)的安全網(wǎng)關(guān)相比與不帶來嚴(yán)重的性能下降。目前使用加速器加速安全網(wǎng)關(guān)已經(jīng)成為使安全網(wǎng)關(guān)獲得高性能的通用做法,以QAT設(shè)備為代表的專用加速以其易用性和高性價(jià)比成為加速部署在通用服務(wù)器上的安全網(wǎng)關(guān)的一個(gè)良好的解決方案。但是,到目前為止,并沒有一個(gè)良好的框架去充分地利用QAT設(shè)備等加速器。為此,本文提出了一個(gè)名為TurboGW的安全網(wǎng)關(guān)框架,該框架利用異構(gòu)加速器對(duì)數(shù)據(jù)包加解密、驗(yàn)證操作進(jìn)行加速,同時(shí)使用數(shù)據(jù)面開發(fā)工具包(Dataplane Development Kit,DPDK)用于快速數(shù)據(jù)包處理。TurboGW提供了一種使用配置語言構(gòu)建復(fù)雜網(wǎng)關(guān)應(yīng)用程序的方法,使用戶可以使用配置文件定制安全網(wǎng)關(guān)應(yīng)用的功能,拓?fù)?策略等,實(shí)現(xiàn)用戶可定制。此外,TurboGW將IPsec網(wǎng)關(guān)和常用的防火墻,路由器,流分類器等網(wǎng)絡(luò)功能高效地整合到商用服務(wù)器上,并達(dá)到與專用硬件相當(dāng)?shù)男阅堋urboGW將計(jì)算密集型的加解密工作負(fù)載卸載到異構(gòu)的加速器上,并使用加速器調(diào)度器靈活高效地調(diào)度多種加速器設(shè)備。通過使用流量整形的優(yōu)化,使得TurboGW在大多數(shù)數(shù)據(jù)包大小的情況下都保持較高的性能。評(píng)估結(jié)果表明,TurboGW的IPsec網(wǎng)關(guān)處理性能比大部分現(xiàn)有軟件實(shí)現(xiàn)的安全網(wǎng)關(guān)要好,實(shí)現(xiàn)了超過130Gbps的吞吐量。對(duì)于所有TurboGW網(wǎng)絡(luò)功能,在大多數(shù)數(shù)據(jù)包大小的場(chǎng)景下,能夠?qū)崿F(xiàn)80Gbps以上的吞吐,達(dá)到ESTI網(wǎng)絡(luò)功能虛擬化白皮書中的要求。我們相信,我們基于軟件的TurboGW系統(tǒng)為推動(dòng)NFV邁向?qū)嵱没?取代傳統(tǒng)基于專有硬件通信設(shè)備的網(wǎng)絡(luò)功能提供了一項(xiàng)重要技術(shù)。
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.0
【圖文】：

Flow Shaper PortAcceleration Abstraction LayerPacket aggregatorFlow directorenqueuedeque圖 3-6 流整形器端口架構(gòu)Fig. 3-6 Flow shaper port architecture的網(wǎng)絡(luò)流量根據(jù)用戶定義的流表進(jìn)行分SA）和安全策略（SP）。如圖 3-7 所示。流表使用用戶定義的鍵（flow key）的，由于散列沖突，可能有多個(gè)鍵被匹配入流的鍵進(jìn)行匹配，如果匹配，則返回

速方案與未進(jìn)行流整形的 QAT 加速方案效果進(jìn)行了對(duì)比實(shí)驗(yàn)。接著我們?cè)?網(wǎng)關(guān)和路由器相連的實(shí)驗(yàn)場(chǎng)景下，將使用加速器調(diào)度器的包尺寸分發(fā)模式的方案分別與只使用 AES_NI加速器加速的方案和只使用QAT加速器加速的方行對(duì)比實(shí)驗(yàn)。最后，我們?cè)谂c之前兩個(gè)實(shí)驗(yàn)相同的實(shí)驗(yàn)場(chǎng)景下，對(duì)應(yīng)用 6 個(gè)的 VF 輪詢模式的加速器調(diào)度器加速方案與不是用加速器調(diào)度器的 QAT 加速進(jìn)行了對(duì)比實(shí)驗(yàn)。4.2 IPsec 協(xié)議處理性能IPsec 協(xié)議的處理是本文安全網(wǎng)關(guān)框架中的核心功能，應(yīng)當(dāng)具有較高的性本文首先對(duì) TurboGW 的核心功能 IPsec 網(wǎng)關(guān)進(jìn)行了性能測(cè)試。本文使用 AES-和 AES-CTR 加密算法和 SHA1-HMAC 認(rèn)證算法組合對(duì)本文的安全網(wǎng)關(guān)進(jìn)行密過程的測(cè)試，測(cè)試的數(shù)據(jù)包包括 64B，256B，512B，1024B 和隨機(jī)大小的包流。本文同時(shí)啟用三塊雙端口的網(wǎng)卡與 3 塊 QAT 加速設(shè)備，以測(cè)試 IPsec所能達(dá)到的最高性能本文分別對(duì)使用AES_NI軟件加速器加速的IPsec網(wǎng)關(guān)和硬件 QAT 設(shè)備進(jìn)行加速的安全網(wǎng)關(guān)進(jìn)行了測(cè)試，測(cè)試結(jié)果如圖 4-2 所示。

上海交通大學(xué)碩士學(xué)位論文驗(yàn)來驗(yàn)證當(dāng)我們將同一臺(tái)服務(wù)器中部署的多種網(wǎng)絡(luò)功能串聯(lián)執(zhí)行時(shí)，性能是突然下降。我們采用了3.2.2小節(jié)所述的配置文件文法配置了網(wǎng)絡(luò)中十分常見的IP路（RT），防火墻（FW），流分類器（FC）與二層交換機(jī)（L2fwd），并由 DPD成網(wǎng)絡(luò)應(yīng)用運(yùn)行在服務(wù)器中。首先測(cè)試了這些網(wǎng)絡(luò)功能單獨(dú)運(yùn)行時(shí)的性能，個(gè)網(wǎng)絡(luò)功能創(chuàng)建兩個(gè) pipeline 實(shí)例，將它們配置運(yùn)行在同一 NUMA 節(jié)點(diǎn)的不CPU 核上，每個(gè)實(shí)例處理該 CPU 節(jié)點(diǎn)雙端口網(wǎng)卡的一個(gè)端口，然后將這 4 個(gè)功能的八個(gè)實(shí)例（在 8 個(gè) CPU 核上）串聯(lián)成 2 串服務(wù)鏈（FW-FC-RT-L2fwd個(gè)服務(wù)鏈負(fù)責(zé)處理該節(jié)點(diǎn)雙端口網(wǎng)卡的一個(gè)端口。本節(jié)使用從 64B 到 1024B增長(zhǎng)的數(shù)據(jù)包與隨機(jī)數(shù)據(jù)包流對(duì)應(yīng)用進(jìn)行了測(cè)試，測(cè)試結(jié)果如圖 4-3 所示。

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 周劍;;贛州廣播電視臺(tái)全臺(tái)媒體文件安全網(wǎng)關(guān)系統(tǒng)解析[J];計(jì)算機(jī)產(chǎn)品與流通;2019年12期

2 邱月;;基于多核的校園安全網(wǎng)關(guān)技術(shù)研究[J];福建電腦;2011年02期

3 ;趨勢(shì)科技IWSA 1500/3000/10000 Web安全網(wǎng)關(guān)[J];微電腦世界;2010年02期

4 邊鋒;;安全服務(wù)器“軟硬兼施”[J];中國(guó)計(jì)算機(jī)用戶;2010年Z2期

5 崔云鵬;;淺析下一代安全網(wǎng)關(guān)[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2008年12期

6 崔云鵬;周道明;;探尋下一代安全網(wǎng)關(guān)[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2008年08期

7 吳文剛;;淺談集成安全網(wǎng)關(guān)的發(fā)展與應(yīng)用[J];科技情報(bào)開發(fā)與經(jīng)濟(jì);2008年23期

8 ;消除P2P安全威脅——D-Link推出DFL-M510信息安全網(wǎng)關(guān)[J];每周電腦報(bào);2006年11期

9 炎焱;;CP內(nèi)容安全網(wǎng)關(guān)進(jìn)軍中國(guó)[J];每周電腦報(bào);2006年30期

10 炎焱;;安全網(wǎng)關(guān)之爭(zhēng)[J];每周電腦報(bào);2006年34期

相關(guān)會(huì)議論文 前7條

1 ;安全網(wǎng)關(guān)節(jié)能技術(shù)[A];電子信息節(jié)能技術(shù)與產(chǎn)品推廣應(yīng)用專集[C];2009年

2 羅昌行;歐陽晉;章衛(wèi)國(guó);;PKI發(fā)展現(xiàn)狀及其建設(shè)模式分析[A];’2004計(jì)算機(jī)應(yīng)用技術(shù)交流會(huì)議論文集[C];2004年

3 蔡智文;辛陽;;應(yīng)用安全網(wǎng)關(guān)中SSL/TLS加密數(shù)據(jù)解析模塊的設(shè)計(jì)與實(shí)現(xiàn)[A];2011年通信與信息技術(shù)新進(jìn)展——第八屆中國(guó)通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2011年

4 張?jiān)鲕?肖軍模;;一種數(shù)據(jù)庫安全網(wǎng)關(guān)系統(tǒng)的研究與設(shè)計(jì)[A];第二十一屆中國(guó)數(shù)據(jù)庫學(xué)術(shù)會(huì)議論文集（技術(shù)報(bào)告篇）[C];2004年

5 曲波;胡n\;;Linux安全網(wǎng)關(guān)接口SGI的設(shè)計(jì)與實(shí)現(xiàn)[A];第二十次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2005年

6 王則林;羅永平;陸建德;;基于MPC8245的嵌入式Linux VPN系統(tǒng)的研究與開發(fā)[A];普適計(jì)算及其軟件新技術(shù)——第三屆長(zhǎng)三角計(jì)算機(jī)科技論壇文集[C];2006年

7 張建宇;吳開宇;韋韜;鄒維;;基于網(wǎng)關(guān)的蠕蟲病毒檢測(cè)與防御關(guān)鍵技術(shù)研究[A];全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（上冊(cè)）[C];2005年

相關(guān)重要報(bào)紙文章 前10條

1 《網(wǎng)絡(luò)世界》記者 林洪技;ASG：從VPN到應(yīng)用安全網(wǎng)關(guān)的華麗轉(zhuǎn)身[N];網(wǎng)絡(luò)世界;2011年

2 合文;無需客戶端的VPN安全網(wǎng)關(guān)[N];中國(guó)計(jì)算機(jī)報(bào);2008年

3 本報(bào)記者 那罡;新應(yīng)用考驗(yàn)萬兆安全網(wǎng)關(guān)[N];中國(guó)計(jì)算機(jī)報(bào);2009年

4 劉宏偉;Servgate 做高性能安全網(wǎng)關(guān)[N];中國(guó)計(jì)算機(jī)報(bào);2003年

5 本報(bào)記者 王軍;安全網(wǎng)關(guān)替代防火墻將成趨勢(shì)[N];通信產(chǎn)業(yè)報(bào);2010年

6 本報(bào)記者 胡英;安全網(wǎng)關(guān)進(jìn)入百G時(shí)代[N];計(jì)算機(jī)世界;2010年

7 崔云鵬 綠盟科技產(chǎn)品市場(chǎng)部產(chǎn)品市場(chǎng)經(jīng)理;下一代安全網(wǎng)關(guān)的三大特征[N];網(wǎng)絡(luò)世界;2009年

8 Anchiva公司技術(shù)副總經(jīng)理 鄭國(guó)權(quán);采購Web安全網(wǎng)關(guān)要點(diǎn)[N];網(wǎng)絡(luò)世界;2009年

9 朱峰;萬兆安全網(wǎng)關(guān)隨需而變[N];網(wǎng)絡(luò)世界;2009年

10 ;領(lǐng)信靈巧安全網(wǎng)關(guān)[N];中國(guó)電腦教育報(bào);2003年

相關(guān)博士學(xué)位論文 前1條

1 玄世昌;WEB安全網(wǎng)關(guān)性能評(píng)價(jià)與優(yōu)化技術(shù)研究[D];哈爾濱工程大學(xué);2017年

相關(guān)碩士學(xué)位論文 前10條

1 王冬冬;高速網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)及配電安全網(wǎng)關(guān)的研究與實(shí)現(xiàn)[D];華北電力大學(xué)(北京);2019年

2 李宗W

本文編號(hào)：2765663