高速包分类协处理器及网络平台研究

摘要

因特网的骨架由路由器(交换机)以及路由器之间的高速物理链路组成。因特网连接成千上万个大小不同的本地网络，每个本地网络通过防火墙或者边缘路由器和因特网互联。因此，路由器和防火墙的性能决定了因特网的容量和灵活性，也是因特网的瓶颈所在。因特网是包交换网络，其传输信息的基本单位是网络包(IP包)。节点之间使用IP协议通信。网络包沿着各自传递路径，从一个节点传输到另一个节点，最终到达目的地。路由器和防火墙均是因特网的网络包传输处理中间节点，网络包从它们的一个端口进入，经过处理后从另一个端口输出或被过滤。因此，网络包的处理速度和灵活性是路由器和防火墙设计要考虑的最重要问题。 包分类是路由器和防火墙中的一类网络包处理技术。随着因特网的蓬勃发展，网络负载迅速增长，超过了路由器容量的增长速度，导致网络拥塞和报文丢失现象。传统路由器对每个网络包都“平等、尽力服务”的形式已经不再使所有网络用户满意，有的用户愿意花费更多的钱来获得更好的网络服务。在这种背景下，网络服务提供商为了最大化利润，对路由器技术提出了差别服务，流量计费等要求，这些要求直接促成了包分类技术的发展和应用。随着多媒体业务，P2P应用的日益普及，以及恶意攻击和扫描，病毒和蠕虫等在因特网上的泛滥，要求防火墙设备能够以很高的速度，在一秒钟之内处理大量的网络连接，并跟踪这些连接状态。所有这些背景和应用都要求路由器和防火墙设备要能对流入接口的网络包进行分类，根据网络包的源地址、目的地址、源端口号、目的端口号等域的内容，与既定的规则集匹配，识别不同的网络包，并对其特殊处理。 目前，随着网络安全需求的不断提高，对防火墙的性能要求也在不断提高。防火墙经过过去基于软件的三个时代的发展，正向第四代硬件防火墙过渡。我国防火墙的市场很大，国产防火墙基本都是低端产品，高端市场基本上被Cisco、Juniper、CheckPoint等公司产品垄断，而高端防火墙主要用于金融、国家安全等重要网络资源的保护，长期使用国外防火墙产品已经引起国家有关部门的关注，冈此开发我们拥有自主知识产权的高端防火墙无论在经济上还是政治上都有重要意义。 第四代防火墙设备基于深度包检测技术，深度包检测技术要求防火墙对网络包的识别能力达到应用层内容，即深度包分类。它不仅可以按照网络第3层(网络层)协议和第4层(传输层)协议对网络包分类，还可以根据应用层的内容对网络包分类。对网络包分类的程度越深，防火墙对包的了解就越清晰，因而对包的控制就越精细。但随着分类深度的加深，每个网络包的处理速度就会急剧下降，这样防火墒设备就可能导致网络的传输瓶颈。因而，设法提高包分类速度，是能否实现高性能防火墒的关键。目前，国际上常用的包分类技术可以分为两大类，一类是基于高效率的包分类算法，改善算法提高分类速度，由于这些算法在通用CPU上运行，到目前为止，单纯的分类速度仍不能满足防火墒的需要；另一类是基于CAM或网络处理器的硬件实现，但由于CAM本身存在着功耗大、集成度较低，以及不能实现范围搜索等缺点，其应用也有一定的限制。多方面研究表明，目前还没有一种简单通用的方法能够提供满足高线速处理要求的深度包分类，包分类技术应该是各种算法和结构的有机结合。根据应用目的的不同，通过合理组合算法、CAM、通刚CPU、网络处理器等来提高性能。 本文充分调研了目前包分类技术的发展状况和应用前景，对比了多种包分类技术的实现原理，并结合我们目前的实际情况(综合考虑成本、功耗和包分类性能)，面向自主研发高性能的硬件防火墙设备，设计实现了一个基于FPGA的高速包分类协处理器，这是本文的第一部分和第二部分内容。协处理器将硬件逻辑实现的包分类引擎和管理调度接口集成到一个FPGA上，兼具较高的包分类性能和灵活性。本文的第三部分内容是基于上述包分类FPGA协处理器，将协处理器和嵌入式处理器相结合，构成高性能防火墙的研究开发平台，在此基础上展开基于我们自主核心技术的高性能防火墙的研发。本文设计和实现了一个嵌入式网络处理平台，一方面，网络处理平台作为包分类技术研究平台，可以对包分类协处理器进行调试和性能测试；另一方面，网络处理平台自身形成一个完整的网络包处理系统，可实现网络业务的实际开发。本文的第四部分内容是针对上述包分类FPGA协处理器和网络处理平台进行测试，测试结果和总结将在本文第五章和第六章描述。下面概要说明本文各章的具体内容。 第一章是序言，介绍包分类技术产生的背景、意义，以及要达到的目标,并描述本文的工作内容、研究方法和研究意义。 第二章是网络包分类技术，指出包分类技术所面临的挑战，总结目前国内外在包分类技术方面已有的工作，对一些有代表性的算法和技术作详细的分析比较。 第三章是基于FPGA的包分类协处理器，描述本文设计的包分类FPGA协处理器的体系结构，它由包分类引擎和控制逻辑组成，介绍包分类引擎的硬件设计，以及协处理器的控制和管理。 第四章是嵌入式包分类网络处理平台，介绍包分类网络处理平台的总体结构、硬件设计和软件设计。包分类网络处理平台主要由一个主控嵌入式处理器和包分类FPGA协处理器组成，嵌入式处理器上运行GNU/Linux操作系统，负责对整个网络处理平台的管理和调度，并提供完备的用户接口。这种设计方式使得：一方面，网络处理平台可以对包分类协处理器进行调试和性能测试：另一方面，网络处理平台自身形成一个完整的网络包处理系统，可实现网络业务的实际开发。 第五章是包分类协处理器和网络处理平台测试，分别对包分类FPGA协处理器和网络处理平台的性能进行测试。通过测试结果，分析它们的特点和适用场合，以及将来的改进方案。 第六章是总结，总结本文的工作和创新点，并探讨包分类协处理器和网络处理平台的改进措施和未来发展方向。

目录

中国科学技术大学学位学位论文相关声明

摘要

致谢

第一章序言

1.1包分类技术的应用背景

1.2包分类技术与路由器

1.3包分类技术与防火墙

1.4包分类技术的实现与FPGA协处理器

1.5嵌入式包分类网络平台

1.6包分类技术的衡量指标和设计目标

1.7论文的内容概要

第二章网络包分类技术

2.1包分类技术所面临的挑战

2.2查表法

2.3线性搜索算法

2.4分层树搜索算法

2.5扩展树搜索算法

2.6并行BV算法

2.7 RFC算法

2.8 ABV算法

2.9 P2C算法

2.10 Tuple空间搜索算法

2.11 Hicuts算法

2.12基于TCAM的包分类技术

2.13包分类技术总结

第三章基于FPGA的包分类协处理器

3.1协处理器结构

3.1.1 FPGA/CPLD技术与应用

3.1.2 Cyclone-Ⅱ EP2C35F672 FPGA器件概述

3.2 FPGA包分类引擎

3.2.1包分类引擎体系结构

3.2.2 Hicuts算法的硬件设计

3.2.3 IP包头传递过程

3.2.4 Hicuts树搜索过程

3.2.5 Hicuts线性搜索过程

3.2.6包分类过程的多级流水线设计

3.3协处理器控制和存储空间管理

3.3.1协处理器控制

3.3.2存储空间管理

3.4包分类协处理器总结

第四章嵌入式包分类网络处理平台

4.1包分类网络处理平台概述

4.2 MPC8260嵌入式处理器

4.2.1 PowerPC 603e处理器核

4.2.2 PowerQUICC-Ⅱ通信处理器模块

4.3网络处理平台电路设计

4.3.1 MPC8260处理器核

4.3.2 MPC8260通信处理器模块

4.3.3网络处理平台的电源系统

4.3.4主系统内存SDRAM

4.3.5启动Flash和EEPROM

4.3.6 FPGA包分类协处理器

4.3.7电路设计的其他问题

4.4网络处理平台软件设计

4.4.1 U-boot

4.4.2 GNU/Linux操作系统

4.4.3 GNU/Linux的网络包处理过程

4.4.4协处理器Linux内核模块-pso_coprocessor

4.4.5网络处理平台用户工具-psoutils

4.5包分类网络处理平台总结

第五章包分类协处理器和网络处理平台测试

5.1协处理器性能测试

5.1.1 Hicuts树深度与规则数目

5.1.2 Hicuts树深度与Leaf_ max

5.1.3树叶子节点在Hicuts树各层的分布特性

5.1.4 Hicuts预处理时间与规则数目

5.1.5协处理器存储空间需求

5.1.6协处理器包分类速度

5.1.7协处理器性能测试总结

5.2网络处理平台性能测试

5.2.1测试结果

5.2.2包分类网络处理平台测试总结

第六章结论

附录

参考文献