帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
虛擬私人網路系統中的網路搜尋引擎
 

【作者: David Chu、Kong Hoei Susanto】   2005年01月01日 星期六

瀏覽人次:【3252】

VPN系統中的分類作業

現今網路的安全性已大不如前,從異地辦公室連結至企業網路也不像以往一樣簡單。連結兩個遠端網路也不容易確保其通訊的安全性。保護在網路間傳遞的資料和保護個人網路免於外來入侵一樣重要。虛擬私人網路(Virtural Private Networks;VPN)便是為了滿足使用者對於安全、可靠遠端連結的需求而建置的。這些網路通常運用各種加密協定來確保資料在公眾網路上傳送時的有效性與正確性。


本文稍後將探討其中一項名為Internet Protocol Security(IPSec)的協定。然而這類安全協定會對受保護的網路造成運算負荷。網路連結的兩端都需要運算大量的封包層級分類作業,以決定封包加密與解密的方式,因此仰賴封包處理解決方案的搜尋子系統來決定。本文將比較軟體型解決方案與TCAM解決方案間的差異,以及這些解決方案在VPN環境中的應用模式。


現今大多數分類作業都是由封包處理器中的搜尋子系統負責。搜尋子系統包括TCAM型態的網路搜尋引擎(NSE)以及記憶體(SRAM、DRAM)中專門儲存封包資料的區域。當封包進入介面卡的封包處理區域時,會透過快速的分類機制來研判要如何處理封包。(圖一)顯示這類架構的區塊圖,我們將以此架構進行討論。



《圖一 封包處理架構區塊圖》
《圖一 封包處理架構區塊圖》

<1. 封包進入處理器後,其表頭會轉送至分類系統,以研判處理規則。第一個步驟通常會執行初步的安全(ACL)分析,研判應採用何種解密/加密規則。


2a. 封包可能需要進行安全處理,因為IPSec的ESP模式會運用3DES(或類似的演算法)加密法對封包資料進行加密。這類應用通常會採用特殊IC建置其功能。


2b. 若不需要進行安全處理,或已由處理器完成處理作業,其他分類將會在封包中進行(轉送、規則、服務品質等)


3a. 一旦確定封包表頭是安全的,便送回封包處理器進行轉送。


4. 封包被轉送至最終目的地,這可能是另一個介面卡或外部網路。>


IPSec分類作業種類與作業難度漸高的原因

在IPSec領域中,搜尋子系統中的兩種表格會管理網路節點間的封包處理規則與連結,即是安全關聯資料庫(Security Association Database;SAD)以及安全協定資料庫(Security Protocol Database;SPD)。要進入安全網路連線(網路入口)的封包,其表頭內容必須與SPD內的資料進行比對,以判別要使用何種安全協定。在輸出端通道中的封包會與SAD資料庫進行比對,研判連線的有效性以及需運用何種安全協定為該封包進行解密。這些搜尋鍵值通常有128至144位元。


在10G的傳輸速度下,這兩種查詢都不會對軟體或硬體型搜尋解決方案造成負擔。然而近來風行將網路轉移至IPv6協定,加上服務供應商的網路閘道器外加VPN功能,查詢作業的複雜度因而大幅攀升。採用IPv6定址技術意謂著用來辨識封包的表頭寬度將會增加(IP位址從32位元增加至128位元)。此外,服務供應商將VPN功能融入網路閘道器,讓上述的兩種查詢會結合其他5至7種查詢,包括標準轉送、ACL、防火牆功能、MPLS標籤、網路資料流辨識(計算流量)、服務品質、以及規則查詢。當服務供應商加入額外功能時,整組查詢作業會增加7至9種查詢。這些趨勢會讓每秒百萬次搜尋(MSPS)速度從30MSPS增加至約莫100 MSPS以上。


軟體分類系統

軟體型演算法一向被應用在封包分類作業中,雖然這些程式間有相當大的差異,絕大部分屬於m-trie或混亂編碼(hashing)演算法。M-trie演算法會橫跨一個trie,這個tire是根據結構中的資料項目隨機建立。Hashing通常透過數學演算方式(如Checksum)來減少封包表頭中需要比對的位元數。這樣的機制讓大量的比對資料能儲存在較少的記憶體中這樣的機制讓大量的項目能儲存在較少的記憶體中。(圖二)顯示trie型搜尋法。


功能精益求精

依據使用的演算法以及建置資料庫記憶體數量的不同,實際的運作效能會有相當大的差異,但由於需要處理多重配對或碰撞的問題,因此終究無法預測最終的效能。這些碰撞在IPSec應用中特別常見,因為在這些應用中的SPD查詢作業會依據使用者設定的組態,在搜尋鍵值中會遇到不同數量的「無須處理」資料,造成許多「命中(hit)」或平行查詢作業,例如圖二中的步驟2。這類問題正是NSE可以解決的。


NSE屬於TCAM類型的裝置,用來將搜尋鍵值與資料庫中所有項目進行比對,藉此將封包分類。這些裝置能提供極高的搜尋處理量(每秒能執行數億次搜尋)、以及可預測的低延遲特性。這些裝置的管線化架構可進行連續(back-to-back)搜尋作業,不必等待搜尋資料出現後才進行下一筆搜尋。這種能力讓系統設計師能更精準的預測封包緩衝的數量,以及系統內整體封包的延遲狀況。


(表一)顯示的範例是NSE針對不同寬度的封包進行6次查詢時的效能。範例中的NSE每秒大約能處理1600萬個封包,約等於10Gbps的傳輸速度。如此高的效能尚未運用現今NSE提供的各種效能提升功能,若使用這些功能後封包處理速度可提高至二倍。


NSE提供一個高效能分類系統,協助使用者以極高的線路速度來分析封包內容。對於同時進行安全、規則、轉送等分類作業的應用而言是相當合適的裝置,而且處理器不需處理複雜的演算法。然而,即使NSE提供極高的搜尋速度,但仍有像是封包轉送這類應用會採用演算法型解決方案,因為演算型解決方案具備壓縮資料項目的優點。NSE並不是絕對的最佳解決方案,但應將它視為一種取代傳統記憶體分類流程的可行替代方案。


《表一 NSE針對不同寬度封包進行6次查詢之效能》
《表一 NSE針對不同寬度封包進行6次查詢之效能》

結語

封包分類的效能必須與現今網路的安全的需求同步並進。為了讓系統維持全線速的運作,任何封包處理系統的搜尋子系統都必須審慎地規劃。視系統與應用的種類,使用者可選擇軟體或演算法型解決方案,或是TCAM型NSE解決方案,提供充足的封包分類效能,協助系統能進行即時的IPSec分類作業。展望未來,這兩類解決方案提供多元化的特性,讓封包分類作業能符合現今與未來的全線速運作水準。


  相關新聞
» 巴斯夫與Fraunhofer研究所共慶 合作研發半導體產業創新方案10年
» 工研院IEK眺望2025:半導體受AI終端驅動產值達6兆元
» ASM攜手清大設計半導體製程模擬實驗 亮相國科會「科普環島列車」
» 嚴苛環境首選 – 強固型MPT-7100V車載電腦
» SEMI提4大方針增台灣再生能源競爭力 加強半導體永續硬實力


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.116.89.8
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw