多通道10G網絡安全設備的設計與實現
網絡安全與數據治理
王碩1,胡現剛2,楊歡1,黃毅龍1,姬勝凱1
1.中國電子信息產業集團有限公司第六研究所; 2.南部戰區海軍參謀部
摘要: 針對數據中心服務器間數據安全傳輸需求,提出一種多通道10G網絡安全設備設計方案。此方案以國產高性能FPGA和CPU為核心,通過雙向認證協商方式建立VPN通道,基于IPSec VPN技術實現10路10G業務數據保護服務。搭建測試環境對樣機進行測試驗證,測試結果表明,1 400 B包長下,每個通道可完成不小于9.4 Gb/s吞吐率的IPSec安全傳輸。
中圖分類號:TN918.4;TP309文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.10.002
引用格式:王碩,胡現剛,楊歡,等.多通道10G網絡安全設備的設計與實現[J].網絡安全與數據治理,2024,43(10):7-13,35.
引用格式:王碩,胡現剛,楊歡,等.多通道10G網絡安全設備的設計與實現[J].網絡安全與數據治理,2024,43(10):7-13,35.
Design and implementation of multi-channel 10G network security device
Wang Shuo1,Hu Xian′gang2,Yang Huan1,Huang Yilong1,Ji Shengkai1
1.The 6th Research Institute of China Electronics Corporation;2.Naval Staff Department of the Southern Theater Command
Abstract: A design scheme of multi-channel 10G network security device is proposed to meet the demand for secure data transmission between severs in a data center.Using domestic high-performance FPGA and CPU,this solution establishes a VPN channel through bidirectional authentication and negotiation,and implements 10-channel 10G business data protection services based on IPSec VPN technology.A test environment was built to test and verify the prototype. The results show that under a packet length of 1 400 B, each channel can achieve IPSec transmission with a throughput rate of no less than 9.4 Gb/s.
Key words : network security;IPSec; multi-channel;10G
引言
針對數據中心服務器間數據安全傳輸的需求,亟需研制多通道10G網絡安全設備,通過IP加密技術構建VPN來動態構建和劃分安全域,為服務器提供網絡層數據傳輸保護服務。
由于軟件方式實現的IPSec協議大大增加了網關的負載,成為網絡的瓶頸[1],本文提出了一種基于CPU+FPGA的架構方案,采用2U機箱平臺加模塊結構,模塊間松耦合,模塊自身功能高度內聚,降低開發調試復雜度,同時提高設備可靠性。
本文詳細內容請下載:
http://www.viuna.cn/resource/share/2000006190
作者信息:
王碩1,胡現剛2,楊歡1,黃毅龍1,姬勝凱1
(1.中國電子信息產業集團有限公司第六研究所,北京100083;
2.南部戰區海軍參謀部,廣東湛江524000)
此內容為AET網站原創,未經授權禁止轉載。