新闻  |   论坛  |   博客  |   在线研讨会
如何实现接近零延时的网络安全方案
shadowind | 2008-07-26 22:49:20    阅读:694   发布文章

编者按:为了处理线速安全网络的操作,最有效、最可靠的机制应该是灵活且可管理的。PaxcelNet的网络安全加速器方案通过整合网络安全、VPN和SSL,实现了易管理和高可靠的机制。这种网络安全加速器甚至无需增加主机系统的额外开销就能达到接近于零的故障接管延时。

 

无论是虚拟还是非虚拟网络都需要数据的高可用性,而且数据必须高度安全,因为它们被视为是企业的宝藏。现在,网络原始设备制造商(OEM)提供了一系列基于硬件和软件的网络安全方案。但这些解决方案都是以安全软件或硬件VPN设备的形式出现,不仅昂贵,而且需要一定的工程技能才能使它们运行在现有的网络基础设施中。

 

这些OEM的网络安全方案常采用诸如主级和次级(primary and secondary)技术等方法。如果主级系统崩溃,那么次级系统将在几分钟内接管网络。然而,这种方法既不高效,也无法达到接近于零的延时。这一问题已成为企业或IT经理的心头之患,因为他们必须通过防火墙、VPN和拒绝服务保护来提供一个安全的网络,以有效确保远程站点和电信设备的安全。

 

目前,网络系统设计师侧重的是核心产品的功能,如路由器带宽、可靠性,或服务器性能、可靠性和可用性,或者为IP存储应用提供解决方案的存储区域网(SAN)。如果他们能够无缝地在现有解决方案中添加网络安全功能,那么将非常有利。这种方法可以减少网络瓶颈。在某些情况下,基于软件的安全方案会造成网络瓶颈。在其它情况下,基于主级/次级技术的安全方案会导致网络性能变低、可伸缩性受限,从而无法在现有的设备部署区域支持高网络流量和高可用性。

 

举例来说,服务器和网络边缘设备具有一些相似之处,但二者在数据流机制、中央控制方案和安全包处理等方面存在更多差异。不过,加速硬件可以提供这些安全功能所需的额外处理能力。

 

为了满足线速要求,数据通道吞吐量在当今的网络系统、边缘路由器、内容交换机以及应用服务器中变得越来越重要。因此,带有复杂协议软件的策略处理(policy-handling)引擎已成为性能瓶颈。若要实现高可用性,那么在存储器空间、总线接口以及查找监视器等方面的额外开销将减慢系统速度。

 

基于VPN、安全套接层(SSL)和流分类的网络安全方案还涉及到高级协议交换和策略查找。现有解决方案甚至不能满足吞吐量需求,因为它们需要占用主处理器50%以上的带宽来处理这些功能。如果没有一个高性能的协处理加速器子系统来处理这些任务,那么要满足性能需求几乎是不可能的。这也是为什么网络设备和服务器正在转向刀片架构的原因之一。通过使用带即插即用功能的刀片,系统经配置后可以满足功能和性能需求,同时不会遭遇集成问题。

 

向系统添加两个相同的刀片还能够实现高可用性。但处理高可用性的传统方法仍然是将其中之一设置成主级处理器,将另一个设置成次级处理器。这时,设计师需要考虑一个特殊问题:配置了次级系统的主级系统在系统发生重大故障时需要相当长的时间才能恢复。

 

为了维持高可用性,设计师需要依靠系统控制软件堆栈来持续跟踪所有的会话状态,尤其是在传输控制协议(TCP)层及其以上的会话,并重新建立所有会话以便次级处理器接管。根据会话类型和数量,延迟时间将是若干毫秒或若干秒。

 

在系统级实现中,网络安全的高可用性需求变得更加重要。在重建周期,安全通道或会话中的数据可能会丢失或者被无法预料的入侵者窃取。此外,数据流必须从其中断的地方重新开始。高层协议引擎需要重新组合以前的数据包,并重新连接到之前的记录以执行连续的操作。如何缩短从发生故障到完成接管之间的时间差是网络系统工程师面临的一个关键设计问题。

 

最容易的方法是配置一个足够大的查询存储器空间以保存所有会话的当前状态。主级/次级处理器可以共享相同的程序指示符,它总是指向需要恢复的文件。其好处是,无需升级软件和更新协议。然而,存储器的存取速度和总线吞吐量将导致系统瓶颈。此外,它需要的故障接管性能越高,硬件升级的费用也就越高。更重要的是,由于系统总线的开销,这种方法仍然不是可以保证解决问题的方案。图1:主机系统需要接近零延时的故障接管机制,以实现高可用性。

 

VLAN配置是另一种保持良好高可用性性能的方法。在这种方法中,多个刀片经配置后将执行与多个虚拟局域网(VLAN)相同的功能。一旦某个VLAN上的连接发生故障,主机控制系统可以将会话切换到下一个VLAN,以确保连续性。与此同时,IT人员无需等待从系统重建连接就可以解决问题。不过,TCP层协议处理器需要修复当前丢失的会话。在这种情况下,某些会话可能会永久丢失或者需要很长时间才能唤醒,而且它们在停机期间可能会被窃取。最坏的情况是关键信息也可能被窃取。

 

另一种方法是配置一种并行VLAN机制来执行安全功能。主机需要具备鲁棒的仲裁能力,以决定哪个VLAN拥有最当前的会话。在数据通道上,主机将自动丢弃过时的VLAN结果,并允许最当前的会话通过。不过,仲裁机制需要足够可靠才能处理线速事务,否则整个故障接管机制就会崩溃,并造成无法弥补的损失。因此,这种并行VLAN解决方案可以提供由系统执行的网络安全性和在线速下的高可用性,但它也可能会减慢整个安全网络的速度。

 

为了处理线速安全网络的操作,最有效、最可靠的机制应该是灵活且可管理的。例如,PaxcelNet通过精心整合网络安全、VPN和SSL,实现了易管理和高可靠的机制。更重要的是,这种网络安全加速器甚至无需增加主机系统的额外开销就能达到接近于零的故障接管延时。首先,并行VLAN配置可以执行无延时的故障接管恢复,并可通过同时配置多个VLAN来提供100%的高可用性。

 

如果来自某个VLAN的最当前会话已经通过,那么过时的已处理会话就会被自动从任何较慢的VLAN上丢弃。当一个VLAN发生故障时,它会执行无缝的故障接管机制。对主机来说,它总是看到结果实时地从安全子系统(或加速刀片)之间的接口返回,而根本不知道安全处理发生过任何错误。

 

为了确保完成关键的故障接管,一个存储器库被内置在流控制设备中,以保存发送给安全子系统的所有带通过标签(报头的一部分)的数据包。通常,安全子系统被配置成整个系统机制中的一个VLAN。在来自VLAN的进入通道上,流控制器只简单地比较在已处理安全包中的通过标签,以确保数据流按次序通过。

 

如果流控制器检测到违反次序的数据包,它会指示仲裁设备出错,并将从顺序出错的那个点开始重新发送数据包。在这种情况下,当采用VLAN配置而且数据包状态被保存在流控制设备中时,设计师能够实现双重保险的故障接管。

 

采用ASIC方案的流控制机制时,故障接管恢复具有纳秒级的延时。相比之下,网络安全加速器,如PaxcelNet的多兆位安全子系统PAX2500,可以为主机系统提供无风险、无担忧的VPN和SSL加速升级,并向主机系统提供接近于零延时的故障接管机制,以实现高可用性。

 

最理想的结果是在零延时故障接管中实现高可用性。然而,整个网络的处理和交换能力,特别是控制处理器,应该足够强大才能满足需求。在当今网络系统和各种应用服务器的刀片式架构中,让所有兼容部件运行在相同层次上以提供最佳性能并不是太困难的事。

 

作者:Syed Saulat Hussain


行销副总裁


Glen Young


产品总监


PaxcelNet 公司

*博客内容为网友个人发布,仅代表博主个人观点,如有侵权请联系工作人员删除。

参与讨论
登录后参与讨论
推荐文章
最近访客