基于网络处理器安全路由器设计与实现.docVIP

基于网络处理器安全路由器设计与实现 　　【摘 要】随着信息技术和计算机网络的飞速发展，路由器的功能已经从简单的发送向提供灵活的集成服务和区分服务发展，这些都对路由器的硬件、软件体系结构提出了更高的要求。 　　【关键词】安全路由器;网络处理器;系统设计 　　0 前言 　　伴随着科学技术的发展，信息化建设已经成为推动社会发展的强大动力。在新的世纪，信息技术的竞争将是全球竞争焦点，而信息技术的竞争，主要取决于信息网络的建设水平，尤其是路由器技术作为网络的核心技术之一，将发挥越来越重要的作用。它是局域网与局域网、局域网和广域网之间的通信要塞，是实现网络互连的核心设备。 　　1 网络处理器的工作原理 　　为了增强网络处理器的处理能力，缓解链路带宽，且兼顾处理需要的编程性与灵活性，网络处理器本身要具有以下几个方面的功能：（1）具备网络分组并行处理的能力。（2）具有高效处理速度，可以实现分组的实时处理。（3）具有一定数量的专用网络协处理器。（4）具备高度可编程性以及可扩展性。（5）能够快速投向市场，尽量减小再开发周期。 　　总体来说，网络处理器采用的是以下几个硬件网络处理方法： 　　1）流水线与并行处理技术 　　网络处理器内部通常是多内核（multi-core）结构。此种内核通常可分两种：一是具备一般水平运算和存储能力的单元Pes（processing elements）;另一种则是能够实现特定处理能力的性能模块Fus（function units），如CRC校验等等。现有商业网络处理器当中，以上两种单元通常采用流水线与并行处理这两种机制，当中流水线机制是每个内核被设计为具备特定功能的模块，此类模块以流水线的方式组织起来完成分组处理任务。 　　2）完善的内存管理与DMA单元 　　在普遍的多处理器系统当中，内存操作通常是系统开销的大瓶颈。而普通的网络处理器要对分组进行复制和存储等处理，要执行很大量存储操作。 　　2 网络处理器的体系结构 　　网络处理器将软件的灵活可定制性同硬件的性能有机的结合到一起，从而使系统设计者能够将主要精力集中在功能的开发上，模块化的设计有效的延长了产品的生命周期，避免了重复性的二次开发。网络处理器实现的典型功能包括： 　　1）分帧和组帧（SAR） 　　帧的分解、处理、然后转发而重装。 　　2）协议识别和分类 　　帧基于标识信息而被识别，例如协议类型，端口号，目的URL或其他应用或者特定协议信息等。 　　3）排队和存取控制 　　一旦帧被识别后，它们被置于适当的队列中以便实现进一步处理，譬如优先处理、流量整形。另外，根据安全存取政策规则对帧进行逐项核对，以便判断它们是否应该转发或丢弃。 　　4）流量工程 　　一些协议或应用需要被整形，以保证能达到所要求的延迟或者延时变化的要求，正如流量被释放到电缆或光纤中一样。同时根据其他要求指定不同的通道间流量的优先权，以及消息类型。 　　5）服务质量QoS 　　为了QoS而适当地进行流量整形，帧可能需要被加上标签，以便在整个网络的范围内实现后继快速处理。 　　3 安全路由器的系统设计 　　3.1 路由器安全结构 　　路由器安全系统主要有四部分：管理/日志服务器、CA认证服务器、路由器的主体及用户终端。其中CA系统主要有CA认证服务器、客户端软件及支撑PKI的服务系统。PKI开发应符合PKIS标准，其中，CA中心有通用中心的一切功能。管理/日志服务器通过专用管理的接口与SR连接，功能主要有：审计、管理界面以及警报机制。管理界面提供了基于GUT风格个远程与本地管理，提供对于路由器集中管理及访问列表的控制，有防火墙配置与监控。 　　3.2 安全路由器软件结构 　　安全路由器的主要功能都体现在安全路由器主体 （SR）的软件设计上，其中主要包括两个方面的功能：分组的转发和安全的处理。因为路由协议及第3层分组的通用性，在这里不再做详细的介绍，这里重点介绍了路由器安全处理内容中的设计及特点。根据IXP1200处理器的主要特点及软件的设计要求，整个网络系统运用模块化进行划分，这样实现了各模块的独立性，以有助于维护和扩展和。整个设计分为三层：控制平面、数据平面和通信子层。 　　设计分为三层：控制平面、数据平面和通信子层。 　　3.3 安全路由器硬件结构 　　为实现共享并行多处理器交换式体系结构，解决单处理器共享总线式体系结构、多处理器共享总线体系结构、多处理器交换式体系结构存在的问题，安全路由器基于网络处理器来进行设计，具体的硬件体系结构图如下所示： 　　图1 安全路由器的硬件体系结构 　　3.4 重要功能及特点介绍 　　1）基于PKI的授机认证（用户管理）：基于用户名和用户密码的认证系统很容易遭受密码截获、重放和暴力猜测等攻击，安