现代网络的病毒和攻击行为泛滥成灾,其中内网的安全威胁越来越让人担忧。多年的统计数据表明,内网发生的安全事件虽然只占所有安全事件中的20%,但其造成的实际危害却是所有安全事件造成危害的80%,很显然,单纯依靠防火墙和杀毒软件的传统安全体系,已经无法适应现代网络出现的多种安全威胁。2003年一度肆虐的“冲击波”病毒就是对传统安全体系最大的“冲击”,自此,网络的规划者清醒地认识到,交换设备作为网络结构的基础,必须在网络安全防护体系中扮演更加重要的角色。
放眼看世界:目前网络产品的安防能力有多强?
交换设备用以抵御病毒和攻击行为的各种安全防护技术中,ACL功能是其最基本的核心组成部分,ACL的性能表现如何,将对交换设备的安全防护能力起到至关重要、最直接的影响。但目前国内外各网络产品对ACL功能的支持能力又如何呢?
国内某电信运营测试部门多年来测试过大量的国内外高端网络产品,对目前各网络产品的ACL表现给予了客观的评价:极少(在测试过的所有产品中甚至没有)网络产品能在多端口大流量数据转发的同时,启用ACL功能以后依然保持数据的线速处理能力,大量的设备甚至无法正常工作。
这就是目前决大部分网络产品的安全防护现状,大量的交换设备在冲击波等病毒的冲击下无法正常运行,产品的安全防护能力无法让用户感到满意。
那作为网络建设中最关注的安全问题,为何目前大量网络设备的支持如此不尽人意呢?
寻根溯源:环顾业界交换机ACL处理模式的实现方式
业界交换机的ACL处理模式在不同厂商的不同产品上会有不同的实现方式,但都可以归纳为以下几大类:
1、软件式处理:采用软件通过CPU实现ACL功能,CPU性能有限,随着启用ACL功能端口数的增加和流量的增加,交换机的性能受影响而急剧下降。该类产品目前早已淘汰。
2、集中式硬件处理:后来业界出现了可以硬件处理L2/L3/ACL/QOS/组播等功能的ASIC芯片,通过在管理模块增加ASIC芯片来进行各种数据的集中式处理,所以整机处理能力是固定的,但随着用户不断增加用户线卡,启用ACL/QOS等复杂功能端口数的增加和流量的增加,整机对数据的ACL处理和转发处理能力将成比例地下降。
3、分布式硬件处理:在发现了集中式硬件处理模式下,整机只有单个ASIC芯片的设计缺点后,人们对其进行了研究和改进,发展为在每个用户线卡上都配备自己独立的ASIC芯片,线卡当地可以提供“统一硬件查询表”,负责自己线卡所有端口的L2/L3/ACL/QOS/组播等功能实现,这种设计方式即分布式硬件处理方式。
分布式硬件处理方式由于每增加一个线卡流量的同时也增加一个ASIC处理芯片,所以可以极大地提高整机处理能力(包括ACL、L2、L3等功能),标志着交换机的设计和处理能力达到了一个新的水平。
但很显然,相对于线卡来说依然还是一种集中式处理。不论ASIC芯片如何快速地设计,当多个端口的数据同时到达ASIC芯片以后都需要等待ASIC芯片的“统一硬件查询表”的资源调度排队,业界的许多产品甚至还需要CPU进行硬件处理前的软件干预。
这就是为什么虽然交换产品普遍采用了先进的分布式处理模式来实现数据处理,但依然无法提供强大的安全防护能力。
面对目前高端产品表现出来的安全防护能力不足,应当如何来解决呢?
迎接挑战:同步式硬件处理模式突破难关
“基于硬件的同步式处理技术”,即synchronization process over hardware,简称SPOH技术。
通过研究发现,ACL(还有QOS)功能,提供的是针对端口的数据处理行为,SPOH设计通过为ASIC芯片各端口增加可以独立硬件处理ACL/QOS功能的FFP模块(fast filter processor),各端口就可以同步地进行ACL功能的硬件处理。这就避免了分布式设计时,多个端口在ASIC芯片中等待“统一硬件查询表”资源调度排队的问题。
图:同步式硬件处理
从上图可以看出,SPOH设计是在分布式硬件处理的基础上,对于ACL/QOS等针对单独端口的数据行为,在ASIC芯片各端口通过提供专用的FFP模块进行ACL/QOS的硬件处理,最大程度达到了整机数据的同步处理。同时ACL/QOS的硬件处理FFP模块与ASIC芯片的硬件查询表分离,进一步降低了ACL/QOS处理对整机L2/L3/组播的处理影响。
SPOH设计有效保证了在病毒环境和复杂的数据环境下,即使启用了大量的ACL和QOS功能,CPU不受任何影响,并且不会影响整机处理性能,大大提升了产品的安全防护能力。
在分布式设计模式下,由于线卡承担了绝大部分交换机处理任务,极大地减轻了管理模块的压力,提高了整机稳定性;而SPOH设计由于把线卡的部分功能又进一步分布到端口,线卡的数据处理压力也得到了分解,从而进一步提高了整机的稳定性。
讲了那么多,其实,SPOH技术的制胜秘诀可以简单归纳为以下三点:
一是避免了国内外大量交换设备启用ACL/QOS功能以后,引起CPU利用率过高的问题,轻松应付病毒和攻击行为的影响。
二是由于为端口提供独立的FFP模块,保证了交换设备在启用ACL、QOS功能后,依然保持整机线速的处理能力。
三是通过把ACL、QOS的处理进一步分布到端口,减轻了系统和线卡的压力,进一步提高了系统稳定性。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。