NFV中高性能可定制的安全网关的设计实现

发布时间：2020-07-22 09:58

【摘要】：网络功能虚拟化(Network Function Virtualization,NFV)使用标准的虚拟化技术,将软件网络功能的实现与底层的硬件解耦,并将软件实现的虚拟网络功能(Virtual Network Function,VNF)整合到通用的服务器,交换机和存储设备中~([1])。NFV使网络功能的部署更加简单,管理更加方便,开发更加迅速。安全网关是网络功能的重要部分,也是最适合应用NFV的网络功能之一。安全网关被广泛用于虚拟私有网络(Virtual Private Network,VPN)和端到端站点的连接。由于安全网关应用了计算密集的加解密算法,软件实现的安全网关往往只有较低的性能,CPU的性能成为限制安全网关的主要因素。使部署在通用硬件上的安全网关实现高性能成为了NFV走向实际应用的障碍。在NFV情景下的,安全网关中所面临的重要挑战是如何高效地将灵活的安全网关部署在与硬件设备相当的服务器中,并且与传统硬件实现的安全网关相比与不带来严重的性能下降。目前使用加速器加速安全网关已经成为使安全网关获得高性能的通用做法,以QAT设备为代表的专用加速以其易用性和高性价比成为加速部署在通用服务器上的安全网关的一个良好的解决方案。但是,到目前为止,并没有一个良好的框架去充分地利用QAT设备等加速器。为此,本文提出了一个名为TurboGW的安全网关框架,该框架利用异构加速器对数据包加解密、验证操作进行加速,同时使用数据面开发工具包(Dataplane Development Kit,DPDK)用于快速数据包处理。TurboGW提供了一种使用配置语言构建复杂网关应用程序的方法,使用户可以使用配置文件定制安全网关应用的功能,拓扑,策略等,实现用户可定制。此外,TurboGW将IPsec网关和常用的防火墙,路由器,流分类器等网络功能高效地整合到商用服务器上,并达到与专用硬件相当的性能。TurboGW将计算密集型的加解密工作负载卸载到异构的加速器上,并使用加速器调度器灵活高效地调度多种加速器设备。通过使用流量整形的优化,使得TurboGW在大多数数据包大小的情况下都保持较高的性能。评估结果表明,TurboGW的IPsec网关处理性能比大部分现有软件实现的安全网关要好,实现了超过130Gbps的吞吐量。对于所有TurboGW网络功能,在大多数数据包大小的场景下,能够实现80Gbps以上的吞吐,达到ESTI网络功能虚拟化白皮书中的要求。我们相信,我们基于软件的TurboGW系统为推动NFV迈向实用化,取代传统基于专有硬件通信设备的网络功能提供了一项重要技术。
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.0
【图文】：

Flow Shaper PortAcceleration Abstraction LayerPacket aggregatorFlow directorenqueuedeque图 3-6 流整形器端口架构Fig. 3-6 Flow shaper port architecture的网络流量根据用户定义的流表进行分SA）和安全策略（SP）。如图 3-7 所示。流表使用用户定义的键（flow key）的，由于散列冲突，可能有多个键被匹配入流的键进行匹配，如果匹配，则返回

速方案与未进行流整形的 QAT 加速方案效果进行了对比实验。接着我们在 网关和路由器相连的实验场景下，将使用加速器调度器的包尺寸分发模式的方案分别与只使用 AES_NI加速器加速的方案和只使用QAT加速器加速的方行对比实验。最后，我们在与之前两个实验相同的实验场景下，对应用 6 个的 VF 轮询模式的加速器调度器加速方案与不是用加速器调度器的 QAT 加速进行了对比实验。4.2 IPsec 协议处理性能IPsec 协议的处理是本文安全网关框架中的核心功能，应当具有较高的性本文首先对 TurboGW 的核心功能 IPsec 网关进行了性能测试。本文使用 AES-和 AES-CTR 加密算法和 SHA1-HMAC 认证算法组合对本文的安全网关进行密过程的测试，测试的数据包包括 64B，256B，512B，1024B 和随机大小的包流。本文同时启用三块双端口的网卡与 3 块 QAT 加速设备，以测试 IPsec所能达到的最高性能本文分别对使用AES_NI软件加速器加速的IPsec网关和硬件 QAT 设备进行加速的安全网关进行了测试，测试结果如图 4-2 所示。

上海交通大学硕士学位论文验来验证当我们将同一台服务器中部署的多种网络功能串联执行时，性能是突然下降。我们采用了3.2.2小节所述的配置文件文法配置了网络中十分常见的IP路（RT），防火墙（FW），流分类器（FC）与二层交换机（L2fwd），并由 DPD成网络应用运行在服务器中。首先测试了这些网络功能单独运行时的性能，个网络功能创建两个 pipeline 实例，将它们配置运行在同一 NUMA 节点的不CPU 核上，每个实例处理该 CPU 节点双端口网卡的一个端口，然后将这 4 个功能的八个实例（在 8 个 CPU 核上）串联成 2 串服务链（FW-FC-RT-L2fwd个服务链负责处理该节点双端口网卡的一个端口。本节使用从 64B 到 1024B增长的数据包与随机数据包流对应用进行了测试，测试结果如图 4-3 所示。

【相似文献】

相关期刊论文 前10条

1 周剑;;赣州广播电视台全台媒体文件安全网关系统解析[J];计算机产品与流通;2019年12期

2 邱月;;基于多核的校园安全网关技术研究[J];福建电脑;2011年02期

3 ;趋势科技IWSA 1500/3000/10000 Web安全网关[J];微电脑世界;2010年02期

4 边锋;;安全服务器“软硬兼施”[J];中国计算机用户;2010年Z2期

5 崔云鹏;;浅析下一代安全网关[J];网络安全技术与应用;2008年12期

6 崔云鹏;周道明;;探寻下一代安全网关[J];网络安全技术与应用;2008年08期

7 吴文刚;;浅谈集成安全网关的发展与应用[J];科技情报开发与经济;2008年23期

8 ;消除P2P安全威胁——D-Link推出DFL-M510信息安全网关[J];每周电脑报;2006年11期

9 炎焱;;CP内容安全网关进军中国[J];每周电脑报;2006年30期

10 炎焱;;安全网关之争[J];每周电脑报;2006年34期

相关会议论文 前7条

1 ;安全网关节能技术[A];电子信息节能技术与产品推广应用专集[C];2009年

2 罗昌行;欧阳晋;章卫国;;PKI发展现状及其建设模式分析[A];’2004计算机应用技术交流会议论文集[C];2004年

3 蔡智文;辛阳;;应用安全网关中SSL/TLS加密数据解析模块的设计与实现[A];2011年通信与信息技术新进展——第八届中国通信学会学术年会论文集[C];2011年

4 张增军;肖军模;;一种数据库安全网关系统的研究与设计[A];第二十一届中国数据库学术会议论文集（技术报告篇）[C];2004年

5 曲波;胡n\;;Linux安全网关接口SGI的设计与实现[A];第二十次全国计算机安全学术交流会论文集[C];2005年

6 王则林;罗永平;陆建德;;基于MPC8245的嵌入式Linux VPN系统的研究与开发[A];普适计算及其软件新技术——第三届长三角计算机科技论坛文集[C];2006年

7 张建宇;吴开宇;韦韬;邹维;;基于网关的蠕虫病毒检测与防御关键技术研究[A];全国网络与信息安全技术研讨会'2005论文集（上册）[C];2005年

相关重要报纸文章 前10条

1 《网络世界》记者 林洪技;ASG：从VPN到应用安全网关的华丽转身[N];网络世界;2011年

2 合文;无需客户端的VPN安全网关[N];中国计算机报;2008年

3 本报记者 那罡;新应用考验万兆安全网关[N];中国计算机报;2009年

4 刘宏伟;Servgate 做高性能安全网关[N];中国计算机报;2003年

5 本报记者 王军;安全网关替代防火墙将成趋势[N];通信产业报;2010年

6 本报记者 胡英;安全网关进入百G时代[N];计算机世界;2010年

7 崔云鹏 绿盟科技产品市场部产品市场经理;下一代安全网关的三大特征[N];网络世界;2009年

8 Anchiva公司技术副总经理 郑国权;采购Web安全网关要点[N];网络世界;2009年

9 朱峰;万兆安全网关随需而变[N];网络世界;2009年

10 ;领信灵巧安全网关[N];中国电脑教育报;2003年

相关博士学位论文 前1条

1 玄世昌;WEB安全网关性能评价与优化技术研究[D];哈尔滨工程大学;2017年

相关硕士学位论文 前10条

1 王冬冬;高速网络数据包捕获技术及配电安全网关的研究与实现[D];华北电力大学(北京);2019年

2 李宗W

本文编号：2765663