基于MicroTCA架构的移动动通信网安全防护设备解决方案1.doc

第 1 页 共 14 页 基于基于 MicroTCA 架构的架构的 移动通信网安全防护设备移动通信网安全防护设备 解决方案解决方案 北北京京华华力力创创通通科科技技股股份份有有限限公公司司 第 2 页 共 14 页 目目 录录 1 概 述 2 需求分析 3 系统设 计 4 系统组成 4 4 1 硬件组成 4 4 2 配置列表 13 5 方案总 结 13 第 3 页 共 14 页 1 概述概述 随着移动通信技术的进步 传统意义上移动通信网络与互联网之间的物理隔 离特征逐渐消失 无线接入网能力极大提升以及多种应用的发展 使移动通信网络 一方面要面对陆地传统互联网中的威胁 同时还必须应付由于无线接入技术进步而 带来的空中接口安全问题 在通信网络日益复杂 新业务大量涌现的形势下 对网络业务流量的控制能 力和网络安全也提出了更高的要求 而作为移动通信网的安全防护设备势必面临着 更大的挑战 越来越多的接入用户以及越来越多样化的业务需求使得各种网络设备 必须提供多样化的接入能力以及足够的吞吐量 也要求网络安全设备具有线速和智 能的处理能力 本文为以 GE Intelligent Platforms 基于 MicroTCA 的硬件平台为基础 介绍如何 从硬件及软件层面搭建网络安全系统 为针对移动通讯的网络安全需求提供可行的 实现方案 2 需需求求分分析析 随着向下一代网络 NGN 的演进 基于 IP 的网络架构必将使移动网络面临 IP 网络固有的一些安全问题 移动通信网络最终会演变成开放式的网络 能向用 户提供开放式的应用程序接口 以满足用户的个性化需求 网络的开放性以及无线 传播的特性将使安全问题成为整个移动通信系统的核心问题之一 对于承载着信息交互应用的通讯网络而言 任何一个网络信息安全漏洞被利用 和攻击 都可能对其承载业务造成灾难性的影响 因此 保证移动通讯网络的安全 与稳定无疑是有重要意义的 而随着通讯负载的迅速增长 报文的拥塞和丢失的现象也日益严重 而恶意攻 击 扫描 病毒和蠕虫的泛滥 要求通讯安全设备能够以很高的速度 在一秒钟之 内处理大量的连接 并跟踪这些连接状态 所有这些背景和应用都要求网络安全设 备要能对流入接口的信息进行分类 根据封包内各信息域的内容 诸如信元 分组 数据流等多种协议数据类型与既定的规则集合匹配 识别不同的信息封包 并对其 特殊处理 移动网络安全设备需要对各种通讯接口提供支持 能够支持常用的通讯接口 如 E1 OC3 和以太网等 信息包从它们的一个端口进入 经过处理后从另一个端 第 4 页 共 14 页 口输出或被过滤 因此 信息包的处理速度和灵活性是整个网络设计时要考虑的最 重要问题 整个系统要求具备强大的处理能力以实现高带宽的线速处理 同时应当提供 开放的高度集成的体系结构使得基于网络处理器的网络设备易于系统扩展 3系系统统设设计计 本文所提供的基于 MciroTCA 的处理系统主要应用于通信和数据网络领域 它 能够减轻通讯设备或服务器的网络处理负荷 包处理系统在网络流量到达服务器之 前可执行流量修整 安全算法 压缩 加密等 因此是一种可以代替升级服务器主 机处理器的高性价比产品 它能帮助客户节省成本并提高性能和扩展容量 网络包处理系统的主要任务是数据包的分析 处理及转发 其主要的功能包括 以下几部分 协议识别和分类 根据数据包的协议类型 端口号 目的地址 以及其它 特定于协议的信息对数据包进行识别 拆装和重组 数据包的拆分 处理 以及为转发而重组 排队和接入控制 识别出数据包之后 将这些数据包送往相应的队列中以 进行下一步处理 如优先处理 流量整形等 同时 可根据某些安全接入 策略进行数据包过滤 确定是继续转发 还是丢弃 流量整形和流量工程 某些协议或应用要求对流量进行整形以使之在进入 输出线或输出光纤时满足时延和时延抖动的要求 QoS Quality of Service 和 CoS Class of Service 除了对数据包进行 流量整形外 数据包还可以被打上标签送往下一网络节点进行更加有效的 处理 修正数据包 编辑数据包并添加额外的信息 差错检测 正确检测来自数据链路层的有差错的数据包并能采取有效的处 理措施 4 系系统统组组成成 4 4 1 1 硬硬件件组组成成 MicroTCA 脱胎于在电信领域应用广泛的工业计算技术 ATCA 标准 Advanced Telecom Computing Architecture 先进电信计算架构 是为下一代融 合通信及数据网络应用提供的一个高性价比的 基于模块化结构的 兼容的 可扩 展的硬件构架 第 5 页 共 14 页 它采用小尺寸的 AdvancedMC Advanced Mezzanine Card 模块 并将它们直 接插入一个无源背板并使它们可以通过交换板 MCH MicroTCA Carrier Hub 来 彼此通讯 AMC Advanced Mezzanine Card 是 ATCA 平台的扩充模块标准 它用来取代 IEEE 在 1993 年就定义的 PMC CMC 可以为 ATCA 提供更高的系统密度 扩充弹性及 管理机能 而 MicroTCA 的概念是将 AMC 模块直接插在支持多种总线拓扑的无源底 板上 而无需通过任何载板 它以具有热插拔和高级交换能力的 AMC 标准为基础 定义了一种模块化 可扩展的计算平台 满足了小尺寸 低成本的应用需求 其技 术特点可归纳如下 基于 PICMG 开放标准架构规范 模块化 灵活可伸缩架构 高性能 多种串形交换互联支持 满足高带宽应用需求 PCI Express ASI GB Ethernet Serial RapidIO 支持完全热插拨 网管式智能系统管理 AMC 和 MicroTCA 标准为高级计算机平台带来了更广阔的应用空间 更低的功 率 更低的价格 更小的机架尺寸以及良好散热 高速和宽温 MicroTCA 主要应 用于电信 工业 医疗以及军事设备等 被用于数据量更大 互联性能更好且控制 化程度更高的应用中 且可以有效降低成本 MicroTCA 被视为未来中小型设备的 主流平台 基于 MicroTCA 架构的移动动通信网安全防护设备由如下硬件组成及描述 一块美国 GE Intelligent Platforms 公司 Telum ASLP11 计算卡 三块美国 GE Intelligent Platforms 公司 Telum 628 TEJ E1 端口卡 一块美国 GE Intelligent Platforms 公司 Telum 200 SATA80G 硬盘 一个德国 Elma 公司支持 11 个 AMC 插槽机箱 一块德国 NAT 公司 MCH 模块 一块 RadiSys 公司四端口千兆以太网卡 AMC 7211 一个 Ericsson 公司的电源模块 TelumTelum ASLP11ASLP11 计算卡硬件特性计算卡硬件特性 第 6 页 共 14 页 FeaturesFeatures Intel CoreTM 2 Duo L7400 processor 1 5 GHz core clock 4 MByte L2 cache Single width full size or mid size AMC 0 R2 0 form factor AMC 0 R2 0 Hot Swap compliant Up to 4 GByte DDR2 SDRAM with ECC in main memory 2 banks of soldered components 2 GByte Flash ROM array higher capacity array available on request Two Gigabit Ethernet SerDes ports at AMC connector ports 0 full height module 624 TEJ AMC 1 PCI Express serial fabric interface with common option Hot swap capable 第 8 页 共 14 页 Time Division Multiplexing PICMG I TDM compliant Software Support Carrier Grade Linux Comprehensive Driver Development Kit API Applications Enterprise VoIP gateways Wireless base stations Enterprise routing Computer Telephony Convergence solutions Add drop and switching DSLAMs Product Reliability High MTBF Technical support for OEM customers and resellers TelumTelum 200 SATA80G200 SATA80G 硬盘硬盘 FeaturesFeatures Serial ATA SATA hard disk drive with up to 200 Gbyte capacity Support for SATA I 1 5 Gb s SATA II 3 0 Gb s IPMI v2 0 compliant Module Management Controller MMC Supports either Common Options Port 2 or Port 3 via switch setting or IPMI controller Three modes of operation available Standard SATA Continuous SATA Solid state SATA Available with compact mid size or fullsize faceplates Successfully tested on Solaris 10 Linux and Windows 2000 and 第 9 页 共 14 页 Windows XP platforms ComplianceCompliance AMC 0 R2 0 compliant AMC 3 TCA 0 compliant IPMI v2 0 compliant MMC RoHS 2002 95 EC compliant MCHMCH 模块模块 KeyKey FeaturesFeatures FormForm Factor Factor Full Size Mid Size Compact Size VariantsVariants andand Options Options MCH Base Base module for management and Fabric A GbE Switching MCH BaseLC Low Cost Variant Clock Clock Module providing Telecom and Fabric Clocks Switching Hub modules for PCIe SRIO and XAUI FaceplateFaceplate andand Uplinks Uplinks Bicolor LED Indicators for each AMC Cooling Unit and Power Module Dual GbE uplink for Fabric A Dual Clock input output Fat Pipe Uplinks for SRIO and XAUI SFP or CX4 connector USB RS232 Console Interface CLI ConfigurationConfiguration Interfaces Interfaces WEB 第 10 页 共 14 页 Console Interface USB RS232 CLI Script language support for configuration of Ethernet switch and clock module IPMI via RMCP ManagementManagement Software Software NATview free Graphical User Interface open HPI ipmitool ENEA Element HA middleware PowerPower consumption consumption 7W at 12V Payload Power Base module only 3W for Clock Module if equipped 10 29W for Hub Module if equipped 100 mA at 3 3V Management Power StandardStandard Compliance Compliance The NAT MCH is designed to meet the following standards and qualifications MTCA 0 R1 0 R2 0 2 AMC 0 R2 0 AMC 1 AMC 2 AMC 4 IMPI V1 5 V2 0 EN60950 UL1950 RoHS AMC 7211AMC 7211 卡硬件特性卡硬件特性 AMC 7211 是单宽中型 AMC 可提供多达 4 个千兆以太网接口 并通过 SFP 连接器支持铜线和光纤接口 硬件设计采用了领先的 Cavium OCTEON Plus 封包 处理技术 OCTEON Plus 处理器是带有强大硬件加速引擎的多核处理器 可用于 封包和安全性处理 利用处理器的多核功能以及基于芯片的硬件加速能力 AMC 7211 可以针对各种封包处理功能 包括转发 负载平衡 流量管理和 IP Sec 进 行全线速处理 此通用模块加快了多重网元的开发时间 这些网元包括媒体网关 RNC 安全 网络网关 边缘路由器 会话边界控制器 入侵检测系统 QoS 策略管 理服务器和其它组件 第 11 页 共 14 页 AMC 7211 包括 1 GB 的焊接型 DDR2 内存 并可用于多个使用模型中 它可 以支持前端或后端 I O 通道连接选项 它还包括与载板或背板相应的 PCI Express 和千兆以太网连接 它可用于 独立 模式 在承载模块中加电后用作 准备接收和处理通信量的资源 或者通过管理处理器加电 作为 卸载引擎 用 于其它处理器集群 或者 用作 MicroTCA 环境中的线卡或资源模块 例如 AMC 7211 设计为可插入 MicroTCA 机箱中 在自带 AMC 插槽的 ATCA 服务器刀片 如 ATCA 4300 和 ATCA AMC 载板刀片 如 RadiSys 的 ATCA 1200 上使用 此模块与自带 MMC 控制器和 AMC 管理支持 如热插拔 完全兼容 AMC 7211 符合单宽中型 AMC 0 AMC 1 和 AMC 2 技术指标 含有与端口 4 7 相应的 x4 PCIExpress PCI E 通道以及与端口 0 1 8 和 9 相应的四个 GE 以 太网链路 AMC 设计为优先支持连接 AMC 光纤的独立数据和控制通路 Specifications Specifications 物理特性物理特性 单宽中型 AMC 0 180 6 x 73 5 毫米 处理器处理器 Cavium OCTEON Plus 58xx 高达1GB的DDR II 高达128 MB的闪存 AMCAMC连接器连接器 模块管理 AMC 0 MMC 解决方案 IPMI 1 5 版 1 x4 PCI Express 通道至端口 4 7 2 x 1GE到端口0和1的连接 2 x 1GE 到端口8和9的连接 4 x 1GE 可与前面板 SFP 或 RTM 连接 软件支持软件支持 操作系统 标准 根据要求支持 Windriver PNE LE 1 3 其它发行版 刀片管理 标准 刀片运行状况管理 模块管理 IP 服务管理 每日 时间管理 软件 图像 管理 闪存 文件管理 数据通路软件 可选 IPV4 IPV6 转发 安全性 IP Sec SSL SRTP IP 过滤 流量管理 负载平衡 未来 MPLS 未 来 GTP 未来 AMCAMC标准标准 单宽中型AMC 0 AMC 1 和 AMC 2 面板面板 线路连接器 支持 GE 1000Base SX 光纤 1000BASELX光纤或 10 100 1000 BaseT 等 4 x SFP连接器 可选择 RTM 通过类型 指示灯指示灯 热插拔 蓝色 8 个端口状态指示灯 绿色 黄色 仅适用于前端 I O 选项 红色或黄色停止服务 ATCA LED 1 第 12 页 共 14 页 绿色电源良好 ATCA LED 2 机械装置机械装置 热插拔弹出装置 复位按钮 电源电源 最大 37W 典型 27W 工作环境工作环境 温度 工作时 连续 5 C 至 50 C 温度 存储时 40 C 至 70 C 振动 工作时 0 1g 操作 工作时 5 至 85 RH 非冷凝 规范规范 安全性 UL EN IEC 60950 1 CSA 22 2 60950 EMC FCC第15部分 A级 EN 55022 1998 A级 德国德国 ElmaElma 公司支持公司支持 1111 个个 AMCAMC 插槽机箱插槽机箱 Type 11 19 Rackmount MicroTCA Enclosure Measures 4U high x 87HP wide x 198mm deep ELMA Bustronic Single Star backplane 第 13 页 共 14 页 12 AMC slots 1x MCH slot 1x PSU slot Vertical card orientation Accommodates 14 single width full size 6HP modules Five 12VDC fans mounted in fan tray fixed mounted under card cage Push configuration Includes removable air filter Accepts 48VDC input power module full size not included MCH not included Completely assembled wired and tested E Er ri ic cs ss so on n公公司司的的电电源源模模块块 Ericsson mTCA 48VDC input PSU module Output 355Watt full size 4 4 2 2配配置置列列表表 基于 MicroTCA 平台的配置列表 类型类型型型 号号数量数量说明说明 MicroTCA 机框 Elma 11M12S6K472VH XXXP 1 19 Rackmount MicroTCA Enclosure 4U high x 87HP wide x 198mm deep ELMA Bustronic Single Star backplane 12 AMC slots 1x MCH slot 1x PSU slot MCH 模块 NAT 031 497 1NAT MCH base12 GbE MicroTCA 电源 模块 Ericsson CAE028627 1 Ericsson mTCA 48VDC input PSU module Output 355Watt full size PrAMC GE Telum ASLP11RFCIM1 1 Telum ASLP11 Processor AMC Mid height Intel LV Core 2 Duo L7400 1