100G分(fēn)流器:不(bù)僅僅是(shì)帶寬升級問(wèn)題

分(fēn)流器是(shì)一種網絡流量過濾采集設備,工(gōng)作在第三、四層,專門用于互聯網流量分(fēn)析領域,是(shì)一種爲降低(dī)後端分(fēn)析而進行(xíng)流量過濾、衰減、交換和分(fēn)流的設備。目前已有的分(fēn)流器包括千兆、萬兆(POS、WAN、LAN)、40G(POS、LAN)、100G以太網、PON(EPON、GPON)、WIFI、3G和LTE等。

1、引言

由于IPTV、視(shì)頻點播等業(yè)務,遠程存儲、移動寬帶業(yè)務、VPN服務等廣泛應用,運營商骨幹網的流量在持續增加,Internet服務提供商(ISP)和網絡服務提供商(NSP)對高(gāo)帶寬的需求不(bù)斷增加。目前,客戶到運營商的連接已經在快(kuài)速擴展到10GE,典型情況下,骨幹網絡的連接需要(yào)客戶連接的4到10倍,才能保證足夠的性能。

随着多(duō)核處理、虛拟化(huà)、網絡存儲等技術的發展,企業(yè)計算環境和骨幹鏈路(lù)對鏈路(lù)帶寬的要(yào)求越來(lái)越高(gāo)。對當前數據中心中的10G以太網計算機設備和将來(lái)40G以太網需要(yào)交換機到交換機之間(jiān)的連接采用100G接口。同樣的要(yào)求,在ISP處也有。100G是(shì)現(xiàn)在将來(lái)一段時間(jiān)內(nèi)Internt互聯及新服務和消費(fèi)者及企業(yè)用戶的完美解決方案。

2、挑戰

未來(lái)一段時間(jiān),100G分(fēn)流器将廣泛應用于網絡審計、信令分(fēn)析、大(dà)數據分(fēn)析、IDC防護、實時廣告競價等領域。然而,100G分(fēn)流器不(bù)僅僅是(shì)鏈路(lù)帶寬升級的問(wèn)題,要(yào)解決在100G鏈路(lù)上執行(xíng)流量分(fēn)析,必須要(yào)解決下列挑戰:

(1)設備的密度、體(tǐ)積和功耗:由于100G光傳輸的價格仍然比較昂貴,這(zhè)類設備通(tōng)常會(huì)部署在運營商的機房,而運營商機房的空間(jiān)是(shì)有限的,通(tōng)常需要(yào)層層審批。如果能夠将設備的密度提高(gāo),體(tǐ)積和功耗降低(dī),則有利于設備的部署和實施。

(2)設備的成本:100G鏈路(lù)的帶寬是(shì)萬兆鏈路(lù)的10倍。目前萬兆分(fēn)流器的價格已經比較便宜,但(dàn)是(shì)在運營商的彙聚層部署10G設備,過多(duō)的鏈路(lù)割接會(huì)帶來(lái)施工(gōng)問(wèn)題。在100G以太網上分(fēn)光可(kě)以降低(dī)施工(gōng)的難度,但(dàn)是(shì)設備的本身的成本不(bù)能比10個萬兆鏈路(lù)高(gāo)太多(duō),否則用戶更趨向于使用萬兆分(fēn)流器。

(3)更精細的流量分(fēn)類:100G鏈路(lù)所帶來(lái)的高(gāo)帶寬使得後端分(fēn)析服務器的壓力劇增,傳統的基于多(duō)元組的流量衰減方式已經無法滿足要(yào)求。完美的解決方案是(shì)在分(fēn)流器上執行(xíng)DFI(深度流檢測,是(shì)DPI的一種更具體(tǐ)的形式),過濾掉不(bù)關心的協議報文和特定網站(zhàn)發出的報文。目前可(kě)以商用的DPI能力單闆不(bù)超過40Gbps,以多(duō)元組和DPI相(xiàng)結合的流量過濾方式是(shì)必須要(yào)解決的技術難題。

(4)設備的穩定性:由于設備更多(duō)部署在運營商而非用戶測,分(fēn)流器的維護将比較困難,采用ATCA設備是(shì)一種有效的解決方案,同時進行(xíng)更好穩定性設計,更嚴格的元器件(jiàn)選型以及老(lǎo)化(huà)實驗才能确保設備的可(kě)靠性達到99.999%以上。

3、解決方案

100G分(fēn)流器要(yào)充分(fēn)考慮設備的密度、體(tǐ)積、功耗和成本,能夠執行(xíng)更精細的流量分(fēn)類。可(kě)以采用下面的解決方案:100G線卡本身完成輸入輸出,執行(xíng)多(duō)元組過濾,經過多(duō)元組過濾的流量部分(fēn)輸出,部分(fēn)丢棄,需要(yào)進行(xíng)深度檢測的流量則送專用的DPI闆卡進行(xíng)深度流量檢測。爲滿足此要(yào)求,可(kě)以采用圖1所示的設計方案。光接口采用的是(shì)商用的100GE的CFP或者CFP2光模塊,實現(xiàn)100GE光信号到CAUI電(diàn)接口的轉換,通(tōng)過使用不(bù)同光模塊可(kě)以支持100GBASE-SR10、100GBASE-LR4和100GBASE-ER4等應用場(chǎng)合,光模塊輸出的是(shì)10路(lù)10Gbps的數據,再進行(xíng)後續的處理。

在100G流量獲取中,包括PMA、PCS和MAC共三個模塊。PMA實現(xiàn)100GE的介質接口,由高(gāo)性能FPGA自(zì)帶的高(gāo)速SERDES實現(xiàn),一個100GE接口需要(yào)10路(lù)高(gāo)速SERDES,每個SERDES将10Gb/s的串行(xíng)數據轉換爲相(xiàng)對低(dī)速的40-Bits并行(xíng)數據。

PCS模塊完全兼容802.3ba規範。實現(xiàn)的主要(yào)功能如下:

  • 10*40-Bit與PMA接口
  • 多(duō)通(tōng)道(dào)分(fēn)發(MLD)機制(zhì),支持100Gbps數據傳輸
  • 周期性對齊标記插入/剝離(lí)
  • 數據加擾或解擾
  • 64b/66b編碼/解碼
  • 66b-40b數據寬度轉換gearbox功能
  • 384-bit@260MHz MAC數據接口

  • 圖1 100G處理闆卡框架結構


    (1)當不(bù)需要(yào)使用DPI和DFI時,可(kě)以使用兩槽的ATCA機箱,單闆本身支持有一定冗餘的流量輸出,滿足網絡審計、信令分(fēn)析、大(dà)數據分(fēn)析、IDC防護、實時廣告競價等領域的需求。



    圖2 兩槽100G分(fēn)流器解決方案


    (2)當要(yào)執行(xíng)DPI和DFI時,可(kě)以使用14槽機箱,通(tōng)過交換将報文送到專用的DPI闆卡執行(xíng)深度流檢測,檢測模式可(kě)以是(shì)字符串或者正則表達式,需要(yào)輸出時仍然通(tōng)過100G闆卡(HFC602)自(zì)身的萬兆接口輸出。



    圖3 14槽100G分(fēn)流器解決方案


    4、結論

    在高(gāo)速網絡環境下,随着主幹網絡帶寬和流量的急劇增加,複雜網絡應用的層出不(bù)窮,傳統網絡取證系統在數據捕獲和數據處理方面面臨很(hěn)大(dà)的挑戰。

    100G分(fēn)流器是(shì)一個複雜的系統,設計和實現(xiàn)這(zhè)樣的系統需要(yào)綜合考慮成本、體(tǐ)積、功耗、密度,以及所需要(yào)的精細分(fēn)流功能。