网络分流器|基于复合存储的100GbpsDPI技术

网络分流器|基于复合存储的100Gbps DPI技术

  1. 网络分流器|背景与需求
    当前,随着防火墙、***检测系统、高速网络管控、CDN、运营商信令分析、垃圾邮件分类等领域的发展,对高速链路进行深度报文检测(Deep Packet Inspection,简称DPI)和分类的要求越来越高。一方面是带宽越来越高,另一方面是检测特征越来越复杂,特征种类越来越多,这为DPI技术的发展提出了非常高的要求。

    深度报文检测是使用预定义的一系列规则在流级上对报文载荷(而非仅仅是报文头)进行匹配,并根据匹配的结果决定对报文所采用的动作的一个过程。
  2. 复合存储技术
    当前在DPI领域,主要采用两种特种模式,分别是关键字和正则表达式,由于高性能的正则表达式匹配技术尚未达到实用,目前广泛使用的仍然是关键字(商用的正则表达式匹配技术尚未超过10Gbps),甚至大部分的DPI系统仍无法完成10Gbps以上链路的全报文关键字匹配,而只能对报文首部的部分字节(如报文载荷的前32字节或者64字节)执行深度检测,性能问题依然是DPI面临的首要挑战。为了提高DPI的处理能力,产业界和学术界普通采用的是以下三种技术:

(1)依靠更高性能的服务器或服务器集群来加速DPI吞吐量,由于在报文流上执行多机器或多核的负载均衡非常方便,这种方法很容易达到很高的处理性能,缺点是代价比较大。

(2)依靠更好的软件算法来提高匹配性能,目前研究界普通采用以AC算法作为基础来优化性能,主要有WU-MANBER、SBOM、一次多字节(俗称多步)、BloomFilter等方法,但是DPI过程要求的前后状态转移是关联的,即下一次访问的地址与上一次访问的状态和当前报文字节的内容紧密相关,受限于存储器本身(主要是DDR)的性能,软件优化的空间非常有限。

(3)依靠各种多核NPU自带的匹配引擎来加速,目前国外两大多核NPU巨头Broadcom和Cavium都有在其NPU上内置了DPI加速引擎,如Cavium内置的HFA引擎宣称其单个NPU可以达到24Gbps的处理能力,但是实测性能与宣称性能之间相差巨大。尤其是配置正则表达式规则时,带通配符的规则会对其性能造成十分显著的影响。

总是,虽然研究界和产业界都非常关注深度报文检测,当前DPI技术的技术发展仍然无法赶上相关应用领域的现实要求。

在深度报文检测(DPI)中,首先要将关键字或正则表达式特征编译成有限状态自动机(Finite State Automata,FSA),并将FSA的状态表配置在存储器中。匹配过程中,每处理报文的一个字节都需要至少一次查表,以获取下一次要访问的状态地址。匹配的速度取决于访存次数和每次访存的时延,而对于一个给定的报文,访存次数等于报文负载长度。因此要提高匹配的速度就需要尽量减少每次访存的时延。

在轻量级的网络下,网络链路速率低。如果规则数比较少,可以把每条规则编译成一个FSA,状态表配置在高速存储器中,以获得较高的匹配速度。然而,随着网络带宽的快速增加,10G比特的网络已经开始应用于园区网络中;规则的数目也增加到数百甚至上千条。将每条规则编译成单个FSA的方案已经无法满足性能需求。如果将所有规则编译成一个FSA,可能发生状态爆炸。状态表的规模可能超过数100G字节,远超过目前高速存储器的容量,只能配置在外部磁盘这样的低速存储器中,访存时延大大提高。

DPI技术的关键其实是访存的性能,尤其是随机访存的性能,如果能够设计一种存储结构,既能够支持很高的随机访问性能(如达到几十个Gbps以上),又能够有比较大的容量(如到几十兆的大小),则通过良好的状态表数据结构优化,使得状态表的访问能够相对聚集;然后对访存过程加以优化,如流水化访存、Bank交错、并行化访存等措施来进一步提高访问状态表的效率,则高性能的DPI是可以实现的。

湖南戎腾网络创新团队在国家自然科学基金的支持下,研究出来的高性能DPI技术,借鉴了计算机系统的Cache结构。在计算机系统中,由于局部性原理,可以用先进先出、最近最少使用等替换算法,使Cache有较高的命中率。但是在深度报文检测中,报文的内容却是完全随机的,难以预知下一个要处理的字节内容,会转向哪个状态。选择那些经常被访问的状态存储到高速存储器中是提高性能的关键。戎腾通过独有的马尔科夫预测技术,很好地解决了状态访问的预测问题。

图1 复合存储匹配引擎

整个匹配引擎采用两层甚至三层,通过复合存储及并行和流水技术,解决性能和存储容量之间的矛盾,既能够通过一级匹配引擎的并行达到很高的性能,又能够通过二级存储达到大容量的状态表空间。这种结构既适合于关键字匹配,也适合于正则表达式匹配。

  1. 复合存储技术的产品化与应用|网络分流器
    为了将复合存储技术推广到实际应用中,戎腾开发了独立机箱的PET160S和基于ATCA的CNT16S两种系统,其中PET160S系统可以在16K关键字下,达到70Gbps到90Gbps的匹配性能;而CNT16S系统可以支持在4K正则表达式下,达到40Gbps的性能。此类设备可以在流级上对报文进行标签动作,匹配规则的报文会在报文头部打上命中的规则编号,使得后端分析系统能够根据相应的标签快速执行相应的检测任务。

通过我们的分析,辅以软硬一体化流表技术,整体报文处理能力一般是核心匹配引擎4倍的性能。即如果核心匹配引擎能够达到n Gbps的性能,则整体报文处理能力就能够4n Gbps左右的性能,也就是说PET160S系统已经完成可以满足双向100Gbps以太网全带宽的关键字DPI能力,而CNT16S也可以满足实网条件下双向100Gbps以太网(实网条件下,上下行流量不会超过200Gbps*80%)的正则表达式DPI要求。

当前,正在研制基于PCI-E的DPI加速卡,可望于近期在单块PCI加速卡上实现40Gbps左右的关键字匹配性能和20Gbps的正则表达式匹配性能,以硬件加速卡的形式为防火墙、***检测系统、高速网络管控、CDN、运营商信令分析提供硬件加速。

  1. 结束语|网络分流器
    关键字匹配和正则表达式匹配是深度报文检测(DPI)的关键技术,规则集的复杂化导致对访存的性能和容量需求急剧增加。而状态表的规模远超过高速存储器容量,通过复合存储技术,可以很好地解决DPI的性能问题,并很好地与现有需要DPI加速的产品进行整合。

原文地址:http://blog.51cto.com/13877589/2153877

时间: 2024-08-29 10:08:26

网络分流器|基于复合存储的100GbpsDPI技术的相关文章

HUABASE :基于列存储的关系型数据库系统

摘要   HUABASE 是基于列存储的关系型数据库系统.列存储技术的特点是数据查询效率高,读磁盘少,存储空间少,是构建数据仓库的理想架构. HUABASE 实现了多种数据压缩机制.查询优化和稀疏索引技术,在支持高效率的商业智能方面具有良好的发展前景,可以帮助企业轻松做出明智的业务经营决策. HUABASE 主页: http://www.huabase.cn/ HUABASE: A Column-Oriented Relational Database System Abstract   HUA

开源为改进服务器、网络、存储及加速技术提供了行之有效的新途径

开源为改进服务器.网络.存储及加速技术 提供了行之有效的新途径 Dave Berry 自从PMC去年十一月宣布加入Canonical's Ubuntu OpenStack互通性实验室,近期又加入了OpenPOWER基金会,该基金会是一个开源开发的社区,倡导基于IBM推出的下一代POWER微处理器架构的软硬件的合作开发. 开源的大趋势带来的驱动力是显而易见的.正如许多个人积极地拥抱了开源的理念,将其当成能够参与到新技术革命当中的宝贵机会,如Google,Rackspace等领军科技公司.甚至中国的

网络分流器-网络分流器IP网络路由交换测试技术探讨

网络分流器1 . 与流量相关的L2-3层高级测试技术探讨戎腾网络分流器: 对于一个L2-3层网络设备,最基本.最重要的测试是流量转发性能测试.作为一个网络转发设备,首先要保证可以高速.低时延.稳定地转发流量.相关的性能测试通常是通过流量生成器(一般是硬件测试仪表,可以发出线速的流量)来生成相应的流量让被测试设备承受不同的负载,检验其表现.通常会测试被测设备的容量(比如吞吐量),以及处理业务的特征如何(比如时延).以交换机为例,不同的交换机由于采用了不同的硬件架构,性能表现会有所不同:同一个交换机

网络分流器-网络分流器-5G的关键技术第一篇

戎腾网络分流器是网络安全领域重要的基础装备!一般网安和信安行业称之为旁路设备.探针.镜像.流量×××.网络分流器等! 随时时代的发展,5G也越来越临近,今天网络分流器来讲讲5G的此许关键技术,希望对您有些启示和帮助!核心网采集器 按照3GPP的定义,5G具备高性能.低延迟与高容量特性,而这些优点主要体现在毫米波.小基站.Massive MIMO.全双工以及波束成形这五大技术. 其中Massive MIMO和波束成形紧密相关. 1.毫米波 无线传输增加传输速率一般有两种方法,一是增加频谱利用率,二

网络分流器-网络分流器-网络流量监控技术及其方法

戎腾网络分流器作用于网络安全领域网络监控前端, 流量监控主要通过那些手段呢? 今天来讲讲! 支持48个10G 亦可更换内部子卡,支持4个100G,支持不同链路,LAN,GE,WAN,POS等 流量监控的手段有哪些,RMON和SMON的区别是什么? SMON用于交换式网络,而ROMN用于共享式网络. 为什么有RMON技术,SNMP进行流量监控的缺陷是什么? 实时性差,频繁的轮询会产生巨大的网络通信量,导致通信拥挤,甚至阻塞.管理计算机资源有限,而任务繁重(集中式). RMON的模型有几个组成部分?

网络分流器和交换机的不同[网络分流器应用专业内容]

随着大数据应用的逐步普及,越来越多的大数据分析.内容安全审计和业务应用可视化的应用得到普及,这个过程中我们面临的一个核心问题那就是:如何把业务流量正确.按需的方式传递给所需的分析系统. 如何把业务流和或者所需的数据包分发到分析系统,实现方式有很多,既有传统的例如HUB.分光器和普通交换机的镜像技术,也有最近几年逐步流行起来的专业网络分流设备.那么这些系统或设备有什么区别呢,下面我们从以几个维度进行一下阐述. 业界分流技术对比 传统的分流系统有分光器.分路器.HUB,以及交换机SPAN技术,和最近

网络分流器|网络分流器|100G分流器不仅仅是带宽升级

网络分流器是一种网络流量过滤采集设备,工作在第三.四层,专门用于互联网流量分析领域,是一种为降低后端分析而进行流量过滤.衰减.交换和分流的设备.目前已有的戎腾网络分流器包括千兆.万兆(POS.WAN.LAN).40G(POS.LAN).100G以太网.PON(EPON.GPON).WIFI.3G和LTE等. 1.引言 由于IPTV.视频点播等业务,远程存储.移动宽带业务.×××服务等广泛应用,运营商骨干网的流量在持续增加,Internet服务提供商(ISP)和网络服务提供商(NSP)对高带宽的需

网络分流器|10G网络分流器:传统产品与新的挑战

10G网络分流器:传统产品与新的挑战网络分流器(Network Distributor)是一种网络流量过滤采集设备,工作在第三.四层,专门用于互联网流量分析领域,是一种为降低后端分析而进行流量过滤.衰减.交换和分流的设备.目前已有的戎腾网络分流器包括千兆.10G(POS.WAN.LAN).40G(POS.LAN).100G以太网.PON(EPON.GPON).WIFI.3G和LTE等.网络分流器有时候又称为流量采集器(Traffic Collector)或者网络探针(Network Probe)

网络分流器|运营商光纤延距解决方案

网络分流器|运营商光纤延距解决方案|戎腾网络 一.引言|网络分流器 随着三网融合的推行,突破接入网的技术瓶颈变得越来越迫切,只有突破目前接入部分的带宽局限,才能使整个网络有效发挥带宽的作用,真正推动各种业务的发展.OEO光中继设备是用于光传输过程中,实现光信号再放大整型,以及可以进行波长.模式进行转换的光传输设备.OEO能够有效节省光纤资源和组网成本,解决了光纤距离过大的问题,OEO被广泛运用于各种干线的长途传输中.它的优点是体积小.经济安全.安装简单等,被用于众多不光传输领域.网络分流器EPO