基于NP芯片的ACL防攻击研究与实现

为了实现转发过程中包过滤的功能,在三层交换机的接口上绑定一张访问控制列表(Access Control Lists,ACL),根据特定匹配规则执行通过或丢弃等预先设定的操作。基于硬件拦截恶意报文的目的,采用了基于NP芯片的ACL包过滤方案,从操作平台数据平面对象(FOS Data Plane Object,FDPO)中获取数据,映射在驱动数据平面对象(Device Data Plane Object,DDPO)并下发到接口,通过在接口处制定相应的流策略模板对流量快速响应,使用流分类的方法控制流量,实现拦截96%以上攻击报文的功能,有效缓解CPU处理压力。

Intel NP芯片简介

目前提供NP芯片的厂家有很多基本上都符合NPF指定的规范．国内使用比较广泛的则是Intel公司的IXP xxx系列．主要包括IXP4xx．IXP12xx，IXP24xx、IXP28xx等．

NP芯片特点及分类

NP是专门为处理数据包而设计的可编程处理器能够直接完成网络数据处理的一般性任务．其硬件体系结构大多采用高速的接口技术和总线规范．具有较高的I／O能力．包处理能力得到了很大提升．网络处理器一般具有以下特点。

路由设备IPv6网络隧道功能驱动研究

因特网的发展导致IP地址的资源耗尽,IPv6网络将逐渐取代IPv4网络的主体地位。IPv4网络向IPv6网络过渡过程中,出现了很多IPv6网络的孤岛,隧道技术是实现IPv6孤岛之间联通的关键过渡技术。IPv6隧道技术是将IPv6报文作为要发送给隧道另一端的IPv4报文的净荷数据,然后经由IPv4骨干网络传输。在网络数据的转发过程中,基于硬件的数据转发效率要远高于软件驱动的数据转发效率。依据IPv6隧道技术设计了一套驱动流程,指导隧道报文在转发芯片上的转发。介绍了系统结构图以及NP芯片的转发流程和驱动指令,基于三层单播转发将数据包在隧道中封装,在OUTINFO表项内添加隧道标记和信息,将各种指令信息下发NP芯片,生成FIB转发表指导数据转发方案。实验表明该驱动流程可以很好地指导6to4隧道报文正常转发,提高网络的数据转发速率,降低网络延迟,特别是当数据流量增大到300 Mbps以上时,网络延迟和抖动性能可以提升100%~400%,具有较强的实用性。