DPX8000系列业务插卡间流量转发原理白皮书

DPX8000系列业务插卡间流量转发原理

白皮书1DPX8000系列©介DPtechDPX8000系列深度业务交换网，是杭州迪普科技有限公司（以下简称迪普科技）面向运营商、IDC、园区网汇聚层/核心层的需求，量身打造的一款系列化，多业务的高端路由交换平台，并无缝融合了L2〜L7层网络安全、流量控制以及内容审计方面的强大功能。DPX8000系列采用一体化机箱式结构，提供了3种机型，包括DPX8000-A12（12槽）、DPX8000-A5（5槽）、DPX8000-A3（3槽）等3款产品。各种板卡均可以在这三种机型上通用。

2DPX8000支持的业务插卡简介作为一款交换路由、网络安全、流量监控和应用交付于一体的高端平台系统，DPX8000系列支持丰富的业务插卡。包括：应用防火墙模块支持安全域划分、访问隔离、攻击防范、NAT、IPSec/SSL/PPTP/L2TPVPN等功能，提供网络安全IPS模块提供深入到七层的安全防御，对漏洞攻击、网页篡改、SQL注入等提供主动防护；同时，IPS内置卡巴斯基病毒库，可对各种蠕虫、病毒进行实时拦截流量控制和安全审计模块深入到7层的识别、分类和控制，能快速实现网络流量及应用的可视化，并完成对P2P、游戏等非关键业务的流量控制，保障关键业务带宽，轻松实现对网络带宽的管理。可对Web访问、网络游戏、炒股、在线影视等上网行为进行详细记录审核和权限管理，规范用户上网行为，确保上网行为符合相关规定要求；提供近1000万条URL数据库并分为数十种类别，用户可简单、灵活的实施URL控制策略负载均衡及应用交付模块支持服务器负载均衡、链路负载均衡和全局负载均衡等功能。基于多种的负载均衡调度算法和健康检查算法基于压缩、TCP优化、连接复用、SSL硬件卸载等技术，加快数据传输效率，提高网络性能，优化服务器和网络资源，显著降低网络部署成本3传统交换机/路由器安全插卡存在问题传统网络网络建设中，通常先规划基础网络，在此基础之上再考虑安全需求，通常是基础网络设备和若干独立和盒式安全设备的网络架构。比如，在园区网络核心和出口的地方，通常会部署核心交换和出口路由器，在此之间，增加了防火墙、ips、负载均衡设备、内容审计和流控等设备。这种串糖葫芦式的网络架构部署困难，扩展性差，缺乏备份和高可靠方面的考虑。交换机流控设备IPS防火墙路由器为了实现网络和安全的融合，传统网络厂商通过在已有交换机、路由器产品的基础上叠加安全插卡模块，实现设备的安全功能扩展。但本质上，这种解决方案只是多台物理设备的简单堆砌，多个板卡之间缺乏有机联系。在实际网络部署中，一方面，网络设备和安全板卡之间从管理上相互独立，只能单独进行策略的配置和维护，部署和维护复杂。另一方面，从业务处理的角度来说，由于虽然安全模块和网络设备的接口模块物理上共享一套机框，但这些接口模块上的物理接口对安全板卡不可见，因此也就无法具体针对不同的物理接口部署相应的安全策略。同时，多个业务板卡由于运行了独立的系统，拥有各自独立的ip网段和路由表项，造成网络规划和组网的复杂度大大提升。而且，在扩展性方面，传统网络设备上配置多块安全插卡时，多块插卡之间缺乏关联，需要人工通过等价路由等手段静态配置哪些流量走哪块安全插卡，势必造成各个安全插卡的流量处理不均衡，从而导致系统扩容困难。4插卡板间流■转发原理DPX8000系列支持多个业务槽位，每个业务槽位均可配置接口模块或业务模块，根据实际组网的业务需要，通过配置不同业务模块可以实现DPX8000业务的定制化、功能和性能灵活配置和扩展。DPX8000系列深度业务交换网关创新的实现了全业务的融合，包括业务管理和部署一体化，流量转发和控制一体化等特点。—体化的系统架构DPX8000系列采用了管理平面、控制平面和数据平面完全分离的架构，管理平面用来监控、维护和管理系统各个软硬件组件，并提供WEB、命令行、SNMP等丰富的管理接口。控制平面负责处理各种和业务相关的数据的运算和维护，比如，路由表计算、邻居状态维护等等。数据平面主要处理MAC转发、IPv4、IPv6、防火墙状态检测、包过滤处理、IPS、流控、审计等业务功能。和传统的网络设备叠加安全模块不同，DPX8000系列创新的实现了上述管理平面、控制平面和数据平面的完全统一，从物理上到逻辑上均呈现为一台统一的设备，只需要维护一个路由表项，各种安全业务的策略集中、统一部署。同时，DPX8000系列安全业务模块上自带的物理接口也和其他DPX8000系列接口板的接口一样，具备全部交换、路由的功能，纳入系统中统一管理。这也大大提升了系统槽位的利用率。插卡板间流量转发过程DPX8000系列深度业务交换网关基于Crossbar的无阻塞交换网架构，实现了系统的接口板和业务板之间无阻塞的线速交换。逻辑上如下图所示：

核心交换网//////7777\7\7接口板接口板FW板IPS板UAG板ADX板在这种统一的系统架构之下，各个业务板直接和系统核心交换网通过高速链路相连，和系统的接口板之间可以实现线速的数据转发。在DPX8000系统中，通过MAC交换策略、路由策略以及安全策略的灵活组合，实现了数据流在板卡之间的转发处理。对于不需要进行安全业务处理的流量，如局域网到内部数据中心的流量，在DPX8000上通过路由转发策略实现数据的流向控制。对于需要进行安全业务处理的流量，系统支持定义灵活的安全策略，定义这些数据流要经过哪些安全业务的控制，比如，局域网到Internet的流量，需要做UAG、IPS和防火墙业务的处理，那么在MAC交换策略、路由策略以及安全策略的共同作用下，系统实现了这些数据流的流量控制，各个节点的控制过程如下图所示：

首先，在和局域网相连的接口板上，通过系统的分发引擎，将匹配安全策略的流量转发到UAG板进行流量控制和审计的处理；第二步，UAG板在处理完本板业务后，根据安全策略，将流量转发到第二个业务处理环节——IPS板处理；第三步，在IPS板处理完本板业务后，根据安全策略，将流量转发到第三个业务处理环节一一应用防火墙板处理；最后，在应用防火墙板处理完本板业务后，根据最后的路由策略，