（电路与系统专业论文）10g深度包检测系统设计与实现.pdf

型堕塑丝：垡堕一一一一y 1 7 4 11 f 1 l r ii ii i ii i i i l 3 i1 1 u 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发 表或撰写过的研究成果。参与同一工作的其他同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学 校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名渔：叠笠导师签名：卫壑鱼 日期：凼_ d 、 上海大学工学硕士学位论文 1 0 g 深度包检测系统设计与实现 姓名：孙狄 导师：陈健副研究员 学科专业：电路与系统 上海大学通信与信息工程学院 2 0 0 9 年1 2 月 上海大学硕上学位论文 ad i s s e r t a t i o ns u b m i t t e dt os h a n g h a iu n i v e r s i t yf o rt h e d e g r e eo fm a s t e ri ne n g i n e e r i n g d e s i g no f 10 g d e e p p a c k e t i npa c t i o ns y s t c l n s o a c t i o n 怠i y s t e m m d c a n d i d a t e - s u nd i s u p e r v i s o r ：c h e nj i a n m a j o r ：c i r c u i ta n ds y s t e m s c h o o lo fc o m m u n i c a t i o na n di n f o r m a t i o ne n g i n e e r i n g ， s h a n g h a iu n i v e r s i t y d e c ，2 0 0 9 i v 上海人学硕士学位论文 摘要 伴随互联网的迅速发展，黑客攻击、病毒泛滥、网络拥塞等诸多问题相继 出现，如何加强对互联网的流量和内容的实时管理，并提高互联网使用效率成 了运营商的难题。本文结合深度包检测的原理，分析了现有检测技术存在的缺 点和问题，研究了基于网络处理器的深度包检测硬件系统设计及实现技术。 本文首先提出并分析了基于网络处理器m p c 8 5 7 2 e 的深度包检测系统方 案，该方案依靠多核处理能力和专用的硬体模式匹配引擎，能有效地实现深度 包检测硬件加速，同时兼具更低的系统资源消耗和更灵活的配置能力，以及更 快的处理速度，可以实现1 g 流量的实时网络协议分析和处理。为了实现1 0 g 带宽下的深度包检测，本文分析了两种1 0 g 组合系统：基于机框结构与基于堆 叠结构的1 0 g 深度包检测系统架构平台，比较了两种方案各自的优势，并对两 者的工作方式作了相应的介绍。 其次，本文对1 g 深度包检测板卡的各个功能单元作了详细的设计分析，包 括d d r 2 存储器、i o 接口、以太网接口、电源、胶连逻辑、背板接口与电磁兼 容等方面内容，保证了1 g 深度包检测板卡的运行稳定性与高效性。 接着，本文对深度包检测系统吞吐能力进行了分析，描述了双核系统下基 于a m p 模式的1 g 深度包检测系统的管理通道与数据通道的工作流程；提出了 1 0 g 深度包检测系统在双星拓扑结构下包括链路聚合与动态端口影射等负载均 衡的方法。 文章最后还对此系统实现进行了总结与展望，提出了进一步的改进设想。 关键词：1 0 g ，深度包检测，多核处理器 上海大学硕十学位论文 a bs t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t ，m a n yp r o b l e m sc o m ea l o n g ，s u c ha sh a c k e r s 、 w o r m sa n dv i r u s e s 、n e t w o r kc o n g e s t i o n i th a sb e c o m eat o u g hd i l e m m a t oe n h a n c et h er e a l - t i m e m a n a g e m e n to ft h ef l o wa n dc o n t e n tt h u si m p r o v ee f f i c i e n c yi nt h eu s eo ft h ei n t e r n e t t h e s h o r t c o m i n g sa n dp r o b l e m so ft h et r a d i t i o n a lp a c k e ti n s p e c t i o na r ea n a l y z e db yp r i n c i p l e s ，a m u l t i c o r en e t w o r kp r o c e s s o r - b a s e dd e e pp a c k e ti n s p e c t i o ns y s t e mi sp r o p o s e d ，s o m et e c h n i c a l p r o b l e m so ft h ei m p l e m e n t a t i o na r er e s e a r c h e di nt h i sp a p e r t h i sp a p e rp r o p o s e da n da n a l y z e db a s e do nn e t w o r kp r o c e s s o rm p c 8 5 7 2 ed e e pp a c k e t i n s p e c t i o ns y s t e mp r o g r a m ，w h i c hr e l yo nm u l t i - c o r ep r o c e s s i n gp o w e ra n dd e d i c a t e dh a r d w a r e , p a t t e r n m a t c h i n ge n g i n et h a t c a ne f f e c t i v e l ya c h i e v ed e e p p a c k e ti n s p e c t i o n h a r d w a r e a c c e l e r a t i o n ，w h i l eb o t l lt h el o w e rs y s t e mc o n s u m p t i o no fr e s o u r c e sa n dm o r ef l e x i b l e c o n f i g u r a t i o no fc a p a c i t y , a n df a s t e rp r o c e s s i n gs p e e d ，r e a l - t i m et r a f f i c c a l lb ea c h i e v e d1g n e t w o r kp r o t o c o la n a l y s i sa n dp r o c e s s i n g 10 gb a n d w i d t hi no r d e rt oa c h i e v ed e 印p a c k e t i n s p e c t i o n ，t h i sp a p e ra n a l y z e st h ec o m b i n a t i o no ft w ok i n d so f1 0 gs y s t e m s ：b a s e do nt h e m a c h i n ef r a m es t r u c t u r ea n ds t a c k e ds t r u c t u r e sb a s e do nd e e pp a c k e ti n s p e c t i o na r c h i t e c t u r e10 g p l a t f o r mt oc o m p a r et w ok i n d so fp r o g r a m st h e i ro w na d v a n t a g e s ，a n db o t hm e t h o d so fw o r k a c c o r d i n g l yi n t r o d u c t i o n s e c o n d l y , t h ep a p e ra n a l y z e sv a r i o u sf u n c t i o n a lu n i t so ft h e1 gd e e pp a c k e ti n s p e c t i o n b o a r d ，i n c l u d i n gd d r 2m e m o r y , i oi n t e r f a c e s ，e t h e r n e ti n t e r f a c e s ，p o w e rs u p p l i e s ，g l u el o g i c ， b a c k p l a n ei n t e r f a c ea n de l e c t r o m a g n e t i cc o m p a t i b i l i t ya n do t h e ra s p e c t st oe n s u r et h a td e e p p a c k e ti n s p e c t i o no ft h e1g c a r do p e r a t i o ns t a b i l i t ya n de f f i c i e n c y t h e n ，h a n d l i n gc a p a c i t yo fd e e pp a c k e ti n s p e c t i o ns y s t e ma r ea n a l y z e d ，d e s c r i b i n gt h e d u a l - c o r es y s t e m sb a s e do nt h ea m pm o d e l ，u n d e r1gd e e pp a c k e ti n s p e c t i o ns y s t e m m a n a g e m e n tc h a n n e la n dd a t ac h a n n e lw o r k f l o w ；m a d e1 0 gd e e pp a c k e ti n s p e c t i o ns y s t e mi n t h ed o u b l es t a rt o p o l o g ys t r u c t u r ei n c l u d i n gp o r tl i n ka g g r e g a t i o na n dd y n a m i cl o a db a l a n c i n g m e t h o do fi n n u e n d oa n ds oo n a r t i c l ef i n a l l yr e a l i z et h i ss y s t e mh a v eb e e ns u m m a r i z e da n dp r o s p e c t sf o r f u r t h e r i i 上海人学硕士学位论文 k e y w o r d s ：1 0 gd e e pp a c k e ti n s p a c t i o n ，m u l t i c o r ep r o c e s s o r i i i 上海大学硕十学位论文 目录 摘要i a b s t r a c t i i 目录 第一章绪论6 1 1未来宽带网络的挑战6 1 2 i p 宽带运营对d p i 技术应用的需求8 1 3d p i 原理与应用9 1 4 本文的主要内容安排1 2 第二章1 0 g 深度包检测系统架构1 4 2 1 基于机框结构1 0 g 深度包检测系统架构1 4 2 1 1 机框整体结构1 4 2 1 2 数据通信与网络管理1 5 2 1 3 机框管理1 6 2 2 基于堆叠结构1 0 g 深度包检测系统架构1 6 2 2 1 系统整体结构1 7 2 2 2 系统工作方式1 7 2 3 本章小结2 0 第三章l g 深度包检测板的硬件设计2 1 3 1 系统整体结构2 1 3 1 1 系统框图2 l 3 1 2 m p c 8 5 7 2 e 网络处理器2 5 3 2 d d p , 2 存储器电路设计一2 7 3 2 1 d d r 2 存储器拓扑结构选择2 8 3 2 2 d d r 2 存储器信号完整性分析3 l 3 2 3 d d r 2 存储器电路布线方法3 3 3 3 i o 接口电路设计3 4 3 3 1 r a pid10 接口电路设计3 4 3 3 2p cie 接口电路设计3 4 3 3 3 l o c a 卜b u s 接口电路设计3 4 3 4 以太网控制器电路设计3 5 3 4 1 高速m u x d e m u x 开关电路设计3 5 3 4 2 s f p 接口电路设计3 6 3 4 3 s g m | i 接口信号完整性分析3 7 3 5 电源电路设计3 8 3 5 1 热插拔电路设计3 8 3 5 2 隔离电源电路设计3 9 3 5 3 负载点电源电路设计4 0 3 5 4 电源监控与上电排序电路设计4 l i v 上海大学硕十学位论文 3 6 系统逻辑设计4 3 3 6 1 系统复位逻辑设计4 3 3 6 2 j t a g 扫描链电路设计4 4 3 7 背板接口电路设计4 5 3 7 1 背板接口介绍4 5 3 7 2 背板信号设计4 6 3 8 系统电磁兼容设计4 6 3 8 1 板卡层叠设计4 6 3 8 2 板卡接地设计4 8 3 9 本章小结4 9 第四章1 0 g 深度包检测系统负载均衡分析5 0 4 1m p c 8 5 7 2 e 性能分析5 0 4 1 1 网络处理器的多核技术5 0 4 1 2d pl 上的多核处理5 3 4 2 1 0 g 深度包检测系统负载平衡分析5 5 4 2 1ie e e 8 0 2 3 a d 链路聚合5 5 4 2 2 链路聚合控制功能5 7 4 2 3 端口影射功能5 8 4 3 本章小结5 8 第五章10 g 深度包检测系统测试结果5 9 5 1 1 g 深度包检测板卡信号完整性测试5 9 5 1 1 d d r 2 信号完整性测试5 9 5 1 2s g mi | 信号完整性测试6 7 5 2 1 0 g 深度包检测系统性能与功能测试6 9 5 2 110 gd pi 设备测试6 9 5 2 2 1gd pi 设备性能测试7 0 5 2 3 1gd pl 设备功能测试7 2 第六章结论与展望7 4 6 1结论7 4 6 2 展望7 4 参考文献7 6 作者在攻读硕士学位期间公开发表的论文或专利7 9 作者在攻读硕士学位期间所做的项目8 0 致谢8 1 v 卜海大学硕上学位论文 第一章绪论 1 1 未来宽带网络的挑战 众所周知，电话和数据业务一直是传统的电信运营业务，传统业务基本只 需要小于l o o m s 的带宽就能满足客户需求。而视频业务则不然，为了达到客户 双向沟通满意度，业务的传送带宽将几倍或数十倍于语音、数据业务。因此， 多年来视频通信一直难以在电信运营商网络上规模运营。随着互联网的w e b2 0 视频应用模式的到来，人们的娱乐习惯也开始慢慢改变，用户更多的开始参与 和共享自己的视频节目，使得目前带宽容量已经完全无法满足运营商视频业务 开展的要求。根据2 0 0 7 年中国互联网统计报告显示，有8 9 7 的网民不浏览视 频网站的原因是网速太慢。也就是说，要使图文并茂、生动活鲜的沟通成为可 能，通信网络的带宽革命是必不可少的。 随着各种p o n ( p a s s i v eo p t i c a ln e t w o r k s ) 技术的不断商用和普及，高带宽接 入时代即将到来，人们开始享受高带宽带来的好处。即时视频通讯、在线d v d 电影、高清网络游戏、网络硬盘等业务会得到快速的普及，与此同时，人们对 定制的、个性化的业务丌展也有了新的需求。新需求的涌现要求运营商能够快 速响应市场，并领先竞争对手快速地满足客户需求，所以对新业务的快速部署 成了运营商对三网合一的要求。 因口网络业务给人们生活、工作、经商、投资、消费、娱乐等一系列活动 带来便利和受益，已显示出整个社会对其越来越依赖，以至融合数据，语音， 视频业务于一体的未来口承载网及其多业务经营将备受运营商的关注，它已成 为本世纪初业界的热门话题。 但由于i p 网络是随i n t e m e t 互联网发展起来的产物，其尽力而为的报文传 递方式和本地园区网络架构特点在承载多业务的电信运营级要求面前就遇到了 网络安全性、可靠性、管理性等诸多考验。因此i p 网络从尽力而为结构向高可 靠、高安全、可控制的电信级网络转变是网络转型的必然趋势。 6 卜海大学硕上学位论文 在i p 网络转型的过程中，传统的p 网络存在的如下问题是对全i p 多业务 承载的挑战： ( 1 ) 安全性的挑战 全口是个开放的网络，它允许各种业务终端随时、随地、随意地接入。因 此全口的安全接入控制就成了尤为重要的问题。在解决网络安全问题时将面临 以下问题： 1 各类业务终端( 用户) 接入的合法性和信任性验证问题。面对复杂的口 承载业务，网络必须有能力通过各种手段来对用户的身份进行鉴别，防止仿冒， 从而防止由于攻击或者业务盗用给网络带来的危害； 2 各类业务终端流量的可控性。各种终端接入后，其流量必须符合事先的 服务契约。因此，网络必须能够通过访问控制等手段控制终端对网络和其它终 端的访问权限和能力，确保终端能够按照其定义的业务范围有序地获得业务， 以防止不可控的流量对其它终端的威胁和对网络资源的无序消耗； 3 业务的安全性保障。多业务承载网应能通过实时检测网络中的非法业务， 加以措施，防止非法业务对网络资源的吞噬； 4 网络安全性的保障。当前各种网络攻击和网络欺骗正威胁着网络的正常 运营，多业务承载网必须提供对网络安全性进行全方位保障的方案，防止各种 可能的网络攻击对网络安全带来的危害。 ( 2 ) 可运营管理的挑战 早期的普通交换机和路由器组成的i p 运营网络中，接入、汇聚、转发、业 务之间层次不清，i p 网络也不具备实时感知业务的能力，更不会有根据业务对 i p 网络进行动态调整的可能，运营商对i p 网络中承载的业务可控度极低。因无 有效的网络管理和控制手段给运营i p 网经的运营商带来的结果是：业务增量不 增收，而带宽的扩容则变成了经营v 0 口语音、i m 多媒体、游戏等i s p 或i c p 提供商的廉价网络资源。此刻运营商只能“望洋兴叹”的原因是自己无法实现根 据业务的差异化进行网络的运营和管理。 在一个面向未来的多业务i p 承载网络市场中，对运营商多业务快速部署能 力提出了新的要求，除了要求能够快速地提供各种业务而外，还要求能够对业 7 上海大学硕士学位论文 务进行灵活的管理和控制，在给电信客户提供更多更好体验的同时提高运营商 自己的收益。因此，解决网络业务可控性问题就提上了议事日程。 ( 3 ) 服务质量q o s 的挑战 随着电信客户对服务水平协议( s l a ) 的要求日益提高，网络维护的压力也在 加大。在一个面向未来的多业务承载网中，多种业务都在同一个网络中传输， 网络要能够对于不同的业务类型提供不同的q o s 保障。以前那种尽力而为的模 式势必造成网络资源的无序竞争，无法对用户和业务形成有效的服务契约。而 面向未来的多业务口承载网必须支持契约机制，即一旦接纳就必须按承诺提供 有保障的服务。特别是在承载实时的话音和视频业务时，必须考虑在i p 网络中 引入电信级的控制机制，实现基于业务的q o s 保证和管理。 此时在p 承载网中用怎样的技术和解决方案去保证网络的服务水平将成 为运营商运营竞争的关键。1 1 】【2 】 1 2i p 宽带运营对d p i 技术应用的需求 在承载网i p 化进程不断加大的过程中，运营商对d p i 技术应用的迫切需 求会来自以下几个方面： ( 1 ) p 2 p 应用对i p 宽带网运营的影响 p 2 p 技术打破了c s ( n 务器客户端) 的流量模型，采用“无集中服务器”的模 式，消除了服务器的瓶颈问题，在网络应用的文件下载、流媒体，v o i p 语音等 方面倍受网民的青睐。 随着p 2 p 技术的逐步普及和升华，p 2 p 应用已经占用了很大的网络带宽资 源，据统计目前网络流量的7 0 是p 2 p 应用，并且很多p 2 p 应用往往是对网络 资源进行“恶意的”占用，导致宽带网络不同程度的出现拥塞，对运营商合法运 营的业务造成了影响，大大降低了其他应用的用户体验。 ( 2 ) 内容计费 随着运营商网络业务和内容的不断丰富，当前的计费方式就显得比较单一 了，即：无论是按流量还是按时间计费，都没有改变运营商提供管道的运营模 式。运营商并没有因自己增加了业务种类和网络带宽而从i s p i c p 和家庭客户 8 上海人学硕十学位论文 那里获得运营服务收益。可见计费模式在不同程度上也制约了运营商的发展， 为此“内容计费”应运而生。 “内容计费”是指运营商通过对在网用户的数据包进行分析，区分出用户网 上应用的内容，按各种不同内容和服务等级进行灵活计费，以此提高运营商的 网络效率和合理收益。 目前“内容计费”已经作为无线网关的门槛特性，众多的无线运营商都已开 始部署。目f j 按照内容计费已成为运营商运营模式演进的方向。 ( 3 ) 内容安全 随着计算机和i n t e m e t 应用领域的不断扩大和深入，计算机网络受到越来越 严重的攻击和入侵，给用户和运营商造成非常巨大的损失。有矛就有盾，防火 墙的出现，缓解了一部分的攻击。所谓“道高一尺，魔高一丈”，“攻防”手段的 更新日益频繁，普通的防火墙对于藏身于i p 包净荷之中的病毒传播、攻击，开 始显得力不从心。近年来，网络攻击的发展趋势是逐渐转向高层应用。根据r r 市场研究公司g a r t n e r 的分析，目前对网络的攻击有7 0 以上是集中在应用层， 并且这一数字呈上升趋势。因此，如何保障内容安全开始成为目前信息安全中 最关键的问题。【3 】 由此可见，在i p 运营网络中，上述各方面的问题将导致：运营商的运营成 本增加和收入减少、用户满意度下降，甚至客户的流失。因此运营商们迫切希 望能利用某种技术识别网上的各种应用，并实施针对性的控制以解决上述问题。 1 3d p i 原理与应用 d p i 全称为“d e e pp a c k e ti n s p e c t i o n ”，称为“深度包检测”。所谓“深度”是和 普通的报文分析层次相比较而言的，“普通报文检测”仅分析i p 包的层4 以下的 内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而d p i 除了 对前面的层次分析外，还增加了应用层分析，识别各种应用及其内容。 9 上海大学硕上学位论文 图1 ：深度包检测系统在网络中的位置 d p i 的技术关键是高效地识别出网络上的各种应用。 普通报文检测是通过端口号来识别应用类型的。如检测到端口号为8 0 时， 就认为该应用代表着普通上网应用。而当前网络上的一些非法应用会采用隐藏 或假冒端口号的方式躲避检测和监管，造成仿冒合法报文的数据流侵蚀着网络。 此时采用l 2 l 4 层的传统检测方法已无能为力了。 d p i 技术就是通过对应用流中的数据报文内容进行探测，从而确定数据报 文的真正应用。因为目前非法应用可以隐藏端口号，但较难隐藏应用层的协议 特征。 d p i 的识别技术可以分为以下几大类： 1 0 上海大学硕士学位论文 ( 1 ) 基于“特征字”的识别技术 不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的指纹，这 些指纹可能是特定的端口、特定的字符串或者特定的比特序列。基于“特征字” 的识别技术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流 承载的应用。 根据具体检测方式的不同，基于“特征字”的识别技术又可以被分为固定位 置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。 通过对“指纹”信息的升级，基于特征的识别技术可以很方便的进行功能扩 展，实现对新协议的检测。 如：b i t t o r r e n t 协议的识别，通过反向工程的方法对其对等协议进行分析， 所谓对等协议指的是地位相当的两个终端之间交换信息的协议。对等协议由一 个握手开始，后面是循环的消息流，每个消息的前面，都有一个数字来表示消 息的长度。在其握手过程中，首先是发送1 9 ，跟着是字符串“b i t t o r r e n tp r o t o c o l ”。 那么“1 9 b i t t o r r e n tp r o t o c o l ”就是b i t - t o r r e n t 的“特征字”。 ( 2 ) 应用层网关识别技术 某些业务的控制流和业务流是分离的，业务流没有任何特征。这种情况下， 我们就需要采用应用层网关识别技术。 应用层网关需要先识别出控制流，并根据控制流的协议通过特定的应用层 网关对其进行解析，从协议内容中识别出相应的业务流。 对于每一个协议，需要有不同的应用层网关对其进行分析。 如s i p 、h 3 2 3 协议都属于这种类型。s i p h 3 2 3 通过信令交互过程，协商得 到其数据通道，一般是r t p 格式封装的语音流。也就是说，纯粹检测r t p 流并 不能得出这条r t p 流是在哪里，通过哪种协议建立的。只有通过检测s i p h 3 2 3 的协议交互，才能得到其完整的分析。 ( 3 ) 行为模式识别技术 行为模式识别技术基于对终端已经实施的行为的分析，判断出用户j 下在进 行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断 的业务的识别。例如：s p a m ( 垃圾邮件) 业务流和普通的e m a i l 业务流从e m a i l 上海人学硕士学位论文 的内容上看是完全一致的，只有通过对用户行为的分析，才能够准确地识别出 s p a m 业务。 在网络中部署d p i 系统可实现网络运营中的业务识别、业务控制和业 务统计三大功能。 ( 1 ) 业务识别 一般而言，对于业务识别有两种方法，一种是对运营商开通的合法业务， 另外一种是运营商需要进行监管的业务。 前者可以通过业务流的五元组来标识，如v o d 业务，其业务流的地址是 属于v o d 服务器网段的地址，其端口是一个固定的端口。系统一般采用a c l ( 访 问控制列表) 的方式，识别出该类业务。 后者需求d p i 技术，通过前述的业务识别方法，通过对m 数据包的内容进 行分析，通过特征字的查找或者业务的行为统计，得到业务流的类型。 ( 2 ) 业务控制 通过d p i 技术识别出各类业务流之后，根据网络配置的组合条件，如用户、 时间、带宽、历史流量等，对业务流进行控制。控制方法包括：正常转发、阻 塞、限制带宽、整形、重标记优先级等。 为了便于业务的运营，业务控制策略一般集中配置在策略服务器中，用户 上线后动态下发。 ( 3 ) 业务统计 d p i 的业务统计功能是为了直观地统计网络的业务流量分布和用户的各种 业务使用情况，从而更好地发现促进业务发展和影响网络j 下常运营的因素，为 网络和业务优化提供依据。如：发掘对用户有吸引力的业务、验证业务提供水 平是否达到了用户的服务等级协议s l a 、统计分析出网络中的攻击流量占多少 比例、多少用户正在使用某种游戏业务、哪几种业务最消耗网络的带宽和哪些 用户使用了非法v o i p 等等。【4 】 1 4 本文的主要内容安排 本论文以作者攻读硕士学位期间承担课题的工作为基础。根据复杂的高带 1 2 j ：海大学硕士学位论文 宽网络场合下对网络数据进行业务分类识别与安全管理的要求，探索通过有效 的系统结构，实现在高速网络环境下深度数据包检测的方法。本课题主要关注 于建立一个基于网络处理器叫p ) 的深度包检测引擎的1 0 g 带宽检测平台开发， 提出了一种结合专用网络处理器m ) 的嵌入式解决方案，依靠多核处理器处理 能力和专用的硬体模式匹配引擎，以及合理的系统拓扑结构和高效的负载均衡 算法有效地实现10 g 高带宽深度包检测。 论文的第二章主要介绍了基于机框结构与基于堆叠结构的1 0 g 深度包检测 系统架构平台，比较了两种方案各自的优势并对两者的工作方式作了相应的介 绍；第三章主要介绍了构成1 0 g 深度包检测系统的1 g 深度包检测板卡硬件结 构，并对各个主要单元作了设计说明；第四章侧重介绍1 0 g 深度包检测系统吞 吐能力分析，提出了双核系统下基于a m p 模式的深度包检测的工作流程与1 0 g 系统双星拓扑结构下的负载均衡方法；第五章分析了该系统的实际测试结果； 论文的最后一章对本系统设计作了总结，并对该系统进一步发展方向作了展望。 1 3 上海大学硕士学位论文 第二章1 0 g 深度包检测系统架构 随着网络流量的迅速增长，对1 0 g 深度包检测系统的需求日益迫切。然而， 可独立处理1 0 g 带宽的多核网络处理器尚处于研发阶段，受1 0 g 系统芯片方面 的制约，目前比较合理的1 0 g 方案是采用板卡或机框堆叠的扩展设计方式。 2 1 基于机框结构1 0 g 深度包检测系统架构 1 0 g 深度包检测系统以1 g 深度包检测板卡为核心，采用双星拓扑结构组 建1 0 g 深度包检测系统。基于机框架构是实现1 0 g 目标接口速率的较理想的解 决方案。 2 1 1 机框整体结构 作为网络通信设备，需要在处理能力与可靠性方面具有更高的要求，必须 具备以下几个特点： 1 ) 足够强的数据处理能力 2 ) 足够高的数据传输速度 3 ) 足够多的外部连接接口 4 ) 安全而高效的系统管理机制 5 ) 标准而可靠的系统连接方式 6 ) 易于维护的系统结构 7 )良好的开放性和可扩展性 8 ) 抗恶劣环境 9 ) 容错性强 1 0 g 深度包检测系统采用标准1 9 英寸8 u 机框。机框为双星拓扑结构，由 2 块带1 g 交换板，1 4 块深度包检测节点板，1 块机框管理板，2 组4 8 v 冗余电 源，双星背板，风扇等组成。【1 1 】【3 8 】 1 4 | ：海大学硕上学位论文 图2 - 1 0 g 深度包检测系统机箱结构 2 1 2 数据通信与网络管理 背板数据接口提供机框内板卡与板卡之间的通信链路，每条通信链路作为 一个通道( 1 a n e ) ，由2 对双向低电压差分信号组成，一个1 2 5 g b p sl a n e 通道可实 现一个1 g b p s 以太接口，四个3 1 2 5 gl a n e 通道可实现一个1 0 g 以太接口。 交换板在机框中扮演交换核心的角色。一个机框包含两个交换槽，可容纳 两个以太网交换板，他们之间有一个1 0 gx a u i 连接通路以便于交换板之问的 通讯及备份；每个节点槽位与每一个交换槽位之间都有两个1 2 5 gs e r d e s 连接 通路。同时，交换槽位与机框管理槽位之间保持一个连接通道。 在本系统中，两块交换板实现1 0 g 深度包检测系统的双向链路聚合与网络 管理。交换板对外提供2 个1 0 g 以太接口，每块交换板与节点板之间通过2 个 1 g 接口连接。交换板分为系统管理与数据交换两部分。其中系统管理平面实现 对节点板的控制与管理，数据交换平面实现与各节点板的2 个1 g 背板接口汇 聚交换与对外部提供1 0 g 汇聚口。 节点板为1 g 深度包检测板卡。分为板上管理与数据功能两部分。板上管 理平面实现对l g 深度包检测板的控制与管理，数据功能平面实现4 个1 g 口数 1 5 上海大学硕上学位论文 据流的包检测功能。 在双星拓扑结构中每块节点板同两个不同的交换板都有通路，下图描绘了 双星型拓扑结构配置。【1 2 】【1 3 1 2 1 3 机框管理 图3 ：1 0 g 深度包检测系统双星拓扑结构 机框管理包括对电源管理、风扇管理和机框内温度的监控等。机框管理是 通过机框管理板卡执行的。机框管理板负责完成对系统中的可现场置换单元如 交换板、节点板、电源、风扇、温度传感器等的管理，并对交换板负责。管理 板能够读取当i j 各板卡的状态也可以命令各板卡进入不同的电源状态。如果管 理板观测到机框内温度发生跃升，它就可能控制风扇提高转速：管理板同样负 责对机框内电源的管理，如果单板插入板框，管理板决定哪些单板可以全部启 动以及何时启动。然而，管理板在系统中的优先级并不是最高的，管理板还受 到交换板的支配，交换板可以决定管理板的运行方式以及监测管理板的管理情 况。管理板在实质上仅仅是交换板的i o 扩展，机框的管理核心还是属于交换板。 1 4 1 1 6 2 2 基于堆叠结构1 0 g 深度包检测系统架构 考虑到机框结构的复杂性，本系统还可以以更灵活的方式采用堆叠结构实 现1 0 g 数据流量的深度包检测。 1 6 、图圈髫蓬隅豳毒、囫囫澜愚怒国一0搦豳阁凰圆阴豳0阂阌阕劁嘲豳一一、愿雷阍阑圜乏一。、渤黝黝潮苫固嗣圈、凰雷嗣篪豳鼍，囫鹚圈吲圜圈一矗一，励阂澜&蓬嘲黝黝豳。，瀚粤曩甓凰一。励凰麓焉露。一搦豳豳圜嘲黝黝囫0，搦嬲阁淄嘲圈，励圈苫嘎雷 上海人学硕士学位论文 2 2 1 系统整体结构 因此，基于堆叠结构的1 0 g 深度包检澳i i ( d p i ) 系统具备以下优点： 1 ) 高处理带宽、线速处理能力使骨干网的应用得以实现； 2 ) 相比软件实现所需的巨大处理开销，大大减少对处理器的资源消耗， 相比机箱式方案减少了交换板的三层交换软件设计； 3 ) 构建灵活、配置方便，可以为不同带宽要求提供相应的解决方案； 堆叠结构的1 0 g 深度包检测系统由1 0 台1 g 深度包检测设备与两台2 4 口 1 0 g 交换机组成。1 g 深度包检测设备采用1 9 英寸1 u 机箱，对外提供4 个1 g 口与1 个串行控制台接口。1 0 g 交换机采用1 9 英寸1 u1 0 g3 层交换机，具有 2 个l o g 口与2 4 个1 g 口。 l 。曩可? 可f 一石面若* 讦丽黝黝獭嬲羽 臣盗盔趔琵如疰范纽蕾强茏蠡吐嬲缓缓缴糍缝缢臻搋 缓毖巍毖绝缢貔搿缀兹鳓戮鹱越黼懿缆虢滋越缓q | f 丌丌可丌一i0 g 舀妊i 谪严1 。f 1 9 瑰缬施鑫船扬凌茏捌锄茏南施瞧畿照懿滋糍魏r。“廊碰施貔缴缓缓貔缝糍骁骁糍貔蕴糍瓣戮虢溯缀貔绷。| 臣= = = = = j d p ib o a 群= = 要聂夏嚣訇 匿量= = = 三= ：= ，o p ib o a r d 。二= 要要曩嚣翻 【一b # 二* # “* 女* “w 一“h 。“ 。g # “g 一，“。“d 。o = 0 e 。o j 。“i z ；一g * 8 g g d 、一l 匮= = = = = 麓芍，咿ib o a r d ”= = 夏曩夏厦盈r k # 8 m m m “挠“m d 粕乩，m 嚣二“女“o “二o 蕊二以“g 芷出d 、卅 匿= = = 三= ：= 翼。d p i7 b o a ，r ，e i 三三熏黑趸笺瑟 卜* 舭础黜龇一* * 缸一衄一诎韶j * 眦一 ，# o 一槲：；3 谢。蕊h 稿v 匮= = ：= = = j gd p i 百甜霹= = 匿要塑翌 i 、。鼢 篇二。赫槲* 砒籀龇，籀麟瑞搿牲船溅黜舢一。，一毹溉蝴互磊“盔= 翻群嚣荔盔西幺盟出绌出拙翻! = 掣 匮= = = = = = 1 g d p ib o a r = = 珏疆鹱墨爿 n 澎捌“d t # g # “m # 女螂女张 猫妊* “她“m h 赫g g g 糍砝t 0 # e z 渤 m 自翻1 隧= = = = = = = 一g d p ib o a r 酝= = 璇篪瑟口訇 医e = = = = 兰= = ：。d p ib o a r d + ：三三王医疆疆薹三三弱 臣= = = = = = = ，。1 gd p ib o a r d ”= = 纛焉瓢i z 嗣 i k 7 k “烈姚m w “* # 黜m m ! 镕m tm m # 藏n ；w 锄二f 施女0 鼢女拓“t 蒯u j l 嚣? ? = = i g d p ib o a r d “翟曩! 慝蕊 、一o 二：“# 目m ，o_mkdh弛n一蜥z 2 2 2 系统工作方式 图4 ：1 0 g 深度包检测系统堆叠结构 本1 0 g 高性能宽带互联网网络行为实时分析及管理系统总体堆叠结构可分 为三种，其一为双向探针方式，其二为单向探针方式，其三为串联流控方式。 1 7 上海大学硕上学位论文 ( 1 ) 双向探针方式 双向探针堆叠结构连接方式如下图： 图5 ：双向探针方式堆叠结构 双向探针方式的系统堆叠结构为：1 0 g 以太数据流从1 0 g 交换机的第一个 1 0 g 口进入，其中的数据流是由网络中1 0 g 双向以太数据流镜像到该口。该数 据流经过1 0 g 交换机的流量分配之后，均匀分配到1 0 个1 g 口输出，该l o 个 1 g 口分别连接至1 0 台1 g 深度包检测d p i 设备的第一个l g 口。经过包检测之 后，将未识别的流或需要镜像的流通过1 g 深度包检测d p i 设备的第四个1 g 口 输出，此1 0 个1 g 口输出至另一台1 0 g 交换机的1 0 个1 g 口，该数据流经过 汇聚后从一个1 0 g 口输出。1 g 深度包检测d p