1. 主页
  2. 解决方案
  3. 方案详情

北中网芯与飞腾 IPsec VPN方案

  • Bootstrap 行业: 全行业

  • Bootstrap 技术: 网络

行业痛点:

随着互联网各种应用的百花齐放,对网络带宽的需求越来越大,流量从10G、25G、50G到了100G,而且还在持续增加,同时互联网是现代社会中不可或缺的部分,越来越多得企业选择通过互联网进行信息交互,企业内部的员工即使相隔几千里也可以通信,这在提高了企业的运转效率的同时,也带来了安全隐患,因为未做任何保护,这些通信数据在互联网上是完全透明的,企业的信息随时会遭到窃取,为企业带来巨大的经济损失;实现国产化是行业发展的趋势和保障。

综上,飞腾联合北中网芯开发出一款IPSec VPN在提升流量带宽的同时保障了主要芯片全都国产化。传统的IPSec VPN架构为了提高产品的吞吐性能,一般采用intel至强服务器来作为基础平台,CPU同时负担了网络处理和应用业务处理,比如网络数据包收发,隧道封装,加解密算法,负载均衡,双机热备等。为了获得更高的性能,只能简单的提高CPU的型号,随着型号的提升,产品的成本不仅在飞速的增加,而且性能也会达到CPU的极限,增无可增,即增加再多的CPU对性能也无帮助。

基于北中网芯的NE6000 DPU及飞腾腾锐D2000 CPU的逻辑架构,打造了一款IPSec VPN,把网络处理和应用业务处理分开,由DPU负责网络数据包的处理,通过DPU来提高网络吞吐能力;飞腾腾锐D2000负责应用业务的处理,把网络处理从飞腾腾锐D2000上卸载下来,节省了飞腾腾锐D2000的算力,让飞腾腾锐D2000更专注于应用业务处理,使飞腾腾锐D2000在同样网络性能下能完成比intel CPU更多的业务,在降低成本的同时也大大提高了整个设备的国产化率。

IPSec是IETF制定的三层隧道加密协议,它为通信者在互联网上搭建了一个“隧道”,该隧道独属于双方,且该隧道是加密的,任何人都窃取不了隧道里的东西,这就保证了通信双方数据的安全性

方案详情:

本架构采用了网络处理和应用业务分离的思想,FT-D2000 CPU专注于应用业务处理,NE6000 DPU负责网络数据包的解析,比如安全规则的查询,路由,ARP的处理,加解密算法采用专用逻辑来实现,可提高产品的加解密性能。IPSec VPN的总体架构如下图所示。

                

1 基于NE6000 DPUFT-D2000 CPUIPsec VPN架构

  • 管理平面

对外提供设备的管理接口,如 CLI、 WebUi、Snmp、 Netconf、 Restful等。通过管理平面,实现人机交互,对系统进行设置、监控、管理。

包括CLI等管理接口以及管理员、配置管理、策略管理、资源对象、用户管理、证书管理、设备管理、日志告警等功能模块。

  • 控制平面

运行路由、链路层、安全等各种路由、信令和控制协议,生成各种转发表项以控制数据平面的转发行为。

包含动态路由、VRRP、BFD、IKE等控制协议。

  • NE6000 DPU

主要负责数据报文转发、隧道封装/解封装和安全业务处理支持Ipv4/IPv6

提供数据报文转发功能和隧道处理,包括本地报文的收发,基于各层转发表的数据转发功能等。

NE6000 DPU为上送CPU的报文提供不同的路径选择,如上送的报文可根据五元组区分某些报文走VPP协议栈,某些报文走内核协议栈。

方案实施效果:

方案特色

  • 自有网络协议栈

NE6000 DPU是完全自主研发,有其专属的指令集与编译器。IPSec VPN通过这些指令集实现了TCP/IP协议栈中的2,3层相关功能,比如IPSec的封装,数据转发,路由,arp等。

IPSec VPN的核心功能是由DPU处理单元完成的,它采用DPU的指令集实现了相关协议栈功能,该协议栈相较于传统协议栈有以下优势:

  1. 自有实现,安全性高,攻击者无法破解;
  2. 无操作系统的漏洞,用户无法通过漏洞攻击获取设备控制权;
  3. 严格控制报文的流转,如只允许IKE报文通过数据通道到CPU单元,这就防止了大量网络攻击;
  4. 无病毒风险,由于NE6000处理单元不运行任何服务和操作系统,病毒没有生存的土壤。
  • 支持大象流

IPSec VPN产品对大象流可做到保序且性能不降。在传统的分发网络流量的方式中,最常采用的是流hash,即同一条流去往同一个地方,但如果网络流中有且只有一条流(大象流,如100G),流hash的方式会导致相关的处理引擎过载,处理不了这100G的流量,设备性能降低;如果分散到多个处理引擎,会导致大象流中报文的顺序是混乱的,IPSec通过为流中的每个报文打上序号,采用负载均衡的方式把大象流分发到多个处理引擎,保证性能不降,在发送报文的时候,再根据报文中的序号,按序发送报文,实现了对大象流的保序。

  • 微妙级时延

传统架构的IPSec VPN,其时延参数在毫秒级别,而DPU架构的IPSec VPN,使用标准的RFC2544测试,其时延参数在微妙级别,这得益于DPU ns级别的指令执行速度

  • 高性能架构

传统IPSec VPN构建产品时,往往不同性能的产品采用不同的架构,比如千兆VPN,万兆VPN采用工控机;25G40G采用高性能的服务器;100G采用专用的硬件,这样导致产品开发成本高,开发周期也长,每提高产品的性能都要重新设计,架构也没有延续性,而本架构引入了DPU芯片,和FT结合,把网络I/OFT上卸载,节省了大量的CPU算力,DPU作为网络处理的核心单元,能够通过芯片级联的方式,使网络的处理能力可以很方便的叠加,支持在10G25G40G100G200G等各个性能的产品之间保持架构一致,节省了大量的开发时间和成本,缩短了产品上市时间,并降低了产品后期的维护成本。

成功案例:

携手中国移动落地5G解决方案专网场景如下。

5G网络中,终端设备到5G基站的数据是在“空中”,未做保护很容易受到窃取,如果在终端区和数据区之间部署IPSec VPN设备,其数据是被加密,窃取者即使获取了数据也解不了密从而保证了数据的安全性。其场景如下图所示。

相关产品:

国产芯片,国产CPU、知识产权自主可控、高性能,低时延、符合国密标准;主要包括三种接口类型的型号:

 

 

支持CPU平台:

飞腾腾锐D2000

伙伴信息:

成都北中网芯科技有限公司

成都北中网芯科技有限公司由北京左江科技股份有限公司(股票代码:300799),于2020年成立。团队主要是来自国内外知名企业,有团队两百余人,分别在成都和南京设立研发中心。2022年12月,对外发布国内首颗双向200G自主可控DPU芯片,北中网芯致力于集成电路设计开发和销售,涉及网络安全、通信、储存等领域,主要产品有数据处理芯片、VPN、智能网卡DPU、DPI及相关基础平台和SDK开发库等。