【摘要】：網絡功能虛擬化(Network Function Virtualization,NFV)使用標準的虛擬化技術,將軟件網絡功能的實現(xiàn)與底層的硬件解耦,并將軟件實現(xiàn)的虛擬網絡功能(Virtual Network Function,VNF)整合到通用的服務器,交換機和存儲設備中~([1])。NFV使網絡功能的部署更加簡單,管理更加方便,開發(fā)更加迅速。安全網關是網絡功能的重要部分,也是最適合應用NFV的網絡功能之一。安全網關被廣泛用于虛擬私有網絡(Virtual Private Network,VPN)和端到端站點的連接。由于安全網關應用了計算密集的加解密算法,軟件實現(xiàn)的安全網關往往只有較低的性能,CPU的性能成為限制安全網關的主要因素。使部署在通用硬件上的安全網關實現(xiàn)高性能成為了NFV走向實際應用的障礙。在NFV情景下的,安全網關中所面臨的重要挑戰(zhàn)是如何高效地將靈活的安全網關部署在與硬件設備相當?shù)姆⻊掌髦?并且與傳統(tǒng)硬件實現(xiàn)的安全網關相比與不帶來嚴重的性能下降。目前使用加速器加速安全網關已經成為使安全網關獲得高性能的通用做法,以QAT設備為代表的專用加速以其易用性和高性價比成為加速部署在通用服務器上的安全網關的一個良好的解決方案。但是,到目前為止,并沒有一個良好的框架去充分地利用QAT設備等加速器。為此,本文提出了一個名為TurboGW的安全網關框架,該框架利用異構加速器對數(shù)據包加解密、驗證操作進行加速,同時使用數(shù)據面開發(fā)工具包(Dataplane Development Kit,DPDK)用于快速數(shù)據包處理。TurboGW提供了一種使用配置語言構建復雜網關應用程序的方法,使用戶可以使用配置文件定制安全網關應用的功能,拓撲,策略等,實現(xiàn)用戶可定制。此外,TurboGW將IPsec網關和常用的防火墻,路由器,流分類器等網絡功能高效地整合到商用服務器上,并達到與專用硬件相當?shù)男阅�。TurboGW將計算密集型的加解密工作負載卸載到異構的加速器上,并使用加速器調度器靈活高效地調度多種加速器設備。通過使用流量整形的優(yōu)化,使得TurboGW在大多數(shù)數(shù)據包大小的情況下都保持較高的性能。評估結果表明,TurboGW的IPsec網關處理性能比大部分現(xiàn)有軟件實現(xiàn)的安全網關要好,實現(xiàn)了超過130Gbps的吞吐量。對于所有TurboGW網絡功能,在大多數(shù)數(shù)據包大小的場景下,能夠實現(xiàn)80Gbps以上的吞吐,達到ESTI網絡功能虛擬化白皮書中的要求。我們相信,我們基于軟件的TurboGW系統(tǒng)為推動NFV邁向實用化,取代傳統(tǒng)基于專有硬件通信設備的網絡功能提供了一項重要技術。
【學位授予單位】：上海交通大學
【學位級別】：碩士
【學位授予年份】：2018
【分類號】：TP393.0
【圖文】：

Flow Shaper PortAcceleration Abstraction LayerPacket aggregatorFlow directorenqueuedeque圖 3-6 流整形器端口架構Fig. 3-6 Flow shaper port architecture的網絡流量根據用戶定義的流表進行分SA）和安全策略（SP）。如圖 3-7 所示。流表使用用戶定義的鍵（flow key）的，由于散列沖突，可能有多個鍵被匹配入流的鍵進行匹配，如果匹配，則返回

速方案與未進行流整形的 QAT 加速方案效果進行了對比實驗。接著我們在 網關和路由器相連的實驗場景下，將使用加速器調度器的包尺寸分發(fā)模式的方案分別與只使用 AES_NI加速器加速的方案和只使用QAT加速器加速的方行對比實驗。最后，我們在與之前兩個實驗相同的實驗場景下，對應用 6 個的 VF 輪詢模式的加速器調度器加速方案與不是用加速器調度器的 QAT 加速進行了對比實驗。4.2 IPsec 協(xié)議處理性能IPsec 協(xié)議的處理是本文安全網關框架中的核心功能，應當具有較高的性本文首先對 TurboGW 的核心功能 IPsec 網關進行了性能測試。本文使用 AES-和 AES-CTR 加密算法和 SHA1-HMAC 認證算法組合對本文的安全網關進行密過程的測試，測試的數(shù)據包包括 64B，256B，512B，1024B 和隨機大小的包流。本文同時啟用三塊雙端口的網卡與 3 塊 QAT 加速設備，以測試 IPsec所能達到的最高性能本文分別對使用AES_NI軟件加速器加速的IPsec網關和硬件 QAT 設備進行加速的安全網關進行了測試，測試結果如圖 4-2 所示。

上海交通大學碩士學位論文驗來驗證當我們將同一臺服務器中部署的多種網絡功能串聯(lián)執(zhí)行時，性能是突然下降。我們采用了3.2.2小節(jié)所述的配置文件文法配置了網絡中十分常見的IP路（RT），防火墻（FW），流分類器（FC）與二層交換機（L2fwd），并由 DPD成網絡應用運行在服務器中。首先測試了這些網絡功能單獨運行時的性能，個網絡功能創(chuàng)建兩個 pipeline 實例，將它們配置運行在同一 NUMA 節(jié)點的不CPU 核上，每個實例處理該 CPU 節(jié)點雙端口網卡的一個端口，然后將這 4 個功能的八個實例（在 8 個 CPU 核上）串聯(lián)成 2 串服務鏈（FW-FC-RT-L2fwd個服務鏈負責處理該節(jié)點雙端口網卡的一個端口。本節(jié)使用從 64B 到 1024B增長的數(shù)據包與隨機數(shù)據包流對應用進行了測試，測試結果如圖 4-3 所示。

【相似文獻】

相關期刊論文 前10條

1 周劍;;贛州廣播電視臺全臺媒體文件安全網關系統(tǒng)解析[J];計算機產品與流通;2019年12期

2 邱月;;基于多核的校園安全網關技術研究[J];福建電腦;2011年02期

3 ;趨勢科技IWSA 1500/3000/10000 Web安全網關[J];微電腦世界;2010年02期

4 邊鋒;;安全服務器“軟硬兼施”[J];中國計算機用戶;2010年Z2期

5 崔云鵬;;淺析下一代安全網關[J];網絡安全技術與應用;2008年12期

6 崔云鵬;周道明;;探尋下一代安全網關[J];網絡安全技術與應用;2008年08期

7 吳文剛;;淺談集成安全網關的發(fā)展與應用[J];科技情報開發(fā)與經濟;2008年23期

8 ;消除P2P安全威脅——D-Link推出DFL-M510信息安全網關[J];每周電腦報;2006年11期

9 炎焱;;CP內容安全網關進軍中國[J];每周電腦報;2006年30期

10 炎焱;;安全網關之爭[J];每周電腦報;2006年34期

相關會議論文 前7條

1 ;安全網關節(jié)能技術[A];電子信息節(jié)能技術與產品推廣應用專集[C];2009年

2 羅昌行;歐陽晉;章衛(wèi)國;;PKI發(fā)展現(xiàn)狀及其建設模式分析[A];’2004計算機應用技術交流會議論文集[C];2004年

3 蔡智文;辛陽;;應用安全網關中SSL/TLS加密數(shù)據解析模塊的設計與實現(xiàn)[A];2011年通信與信息技術新進展——第八屆中國通信學會學術年會論文集[C];2011年

4 張增軍;肖軍模;;一種數(shù)據庫安全網關系統(tǒng)的研究與設計[A];第二十一屆中國數(shù)據庫學術會議論文集（技術報告篇）[C];2004年

5 曲波;胡n\;;Linux安全網關接口SGI的設計與實現(xiàn)[A];第二十次全國計算機安全學術交流會論文集[C];2005年

6 王則林;羅永平;陸建德;;基于MPC8245的嵌入式Linux VPN系統(tǒng)的研究與開發(fā)[A];普適計算及其軟件新技術——第三屆長三角計算機科技論壇文集[C];2006年

7 張建宇;吳開宇;韋韜;鄒維;;基于網關的蠕蟲病毒檢測與防御關鍵技術研究[A];全國網絡與信息安全技術研討會'2005論文集（上冊）[C];2005年

相關重要報紙文章 前10條

1 《網絡世界》記者 林洪技;ASG：從VPN到應用安全網關的華麗轉身[N];網絡世界;2011年

2 合文;無需客戶端的VPN安全網關[N];中國計算機報;2008年

3 本報記者 那罡;新應用考驗萬兆安全網關[N];中國計算機報;2009年

4 劉宏偉;Servgate 做高性能安全網關[N];中國計算機報;2003年

5 本報記者 王軍;安全網關替代防火墻將成趨勢[N];通信產業(yè)報;2010年

6 本報記者 胡英;安全網關進入百G時代[N];計算機世界;2010年

7 崔云鵬 綠盟科技產品市場部產品市場經理;下一代安全網關的三大特征[N];網絡世界;2009年

8 Anchiva公司技術副總經理 鄭國權;采購Web安全網關要點[N];網絡世界;2009年

9 朱峰;萬兆安全網關隨需而變[N];網絡世界;2009年

10 ;領信靈巧安全網關[N];中國電腦教育報;2003年

相關博士學位論文 前1條

1 玄世昌;WEB安全網關性能評價與優(yōu)化技術研究[D];哈爾濱工程大學;2017年

相關碩士學位論文 前10條

1 王冬冬;高速網絡數(shù)據包捕獲技術及配電安全網關的研究與實現(xiàn)[D];華北電力大學(北京);2019年

2 李宗W

本文編號：2765663