基于基于 MicroTCA 架构的架构的 移动通信网安全防护设备移动通信网安全防护设备 解决方案解决方案 北北京京华华力力创创通通科科技技股股份份有有限限公公司司 目目 录录 1概 述 2需求分析 3系统设 计. 4系统组成. 4 4.1 硬件组成. . .4 4.2 配置列表 13 5方案总 结 13 1 概述概述 随着移动通信技术的进步，传统意义上移动通信网络与互联网之间的物理隔 离特征逐渐消失，无线接入网能力极大提升以及多种应用的发展，使移动通信网络 一方面要面对陆地传统互联网中的威胁，同时还必须应付由于无线接入技术进步而 带来的空中接口安全问题。 在通信网络日益复杂，新业务大量涌现的形势下，对网络业务流量的控制能 力和网络安全也提出了更高的要求，而作为移动通信网的安全防护设备势必面临着 更大的挑战。越来越多的接入用户以及越来越多样化的业务需求使得各种网络设备 必须提供多样化的接入能力以及足够的吞吐量，也要求网络安全设备具有线速和智 能的处理能力。 本文为以 GE Intelligent Platforms 基于 MicroTCA 的硬件平台为基础，介绍如何 从硬件及软件层面搭建网络安全系统，为针对移动通讯的网络安全需求提供可行的 实现方案。 2 需需求求分分析析 随着向下一代网络（NGN）的演进，基于 IP 的网络架构必将使移动网络面临 IP 网络固有的一些安全问题。移动通信网络最终会演变成开放式的网络，能向用 户提供开放式的应用程序接口，以满足用户的个性化需求。网络的开放性以及无线 传播的特性将使安全问题成为整个移动通信系统的核心问题之一。 对于承载着信息交互应用的通讯网络而言，任何一个网络信息安全漏洞被利用 和攻击，都可能对其承载业务造成灾难性的影响。因此，保证移动通讯网络的安全 与稳定无疑是有重要意义的。 而随着通讯负载的迅速增长，报文的拥塞和丢失的现象也日益严重，而恶意攻 击、扫描、病毒和蠕虫的泛滥，要求通讯安全设备能够以很高的速度，在一秒钟之 内处理大量的连接，并跟踪这些连接状态。所有这些背景和应用都要求网络安全设 备要能对流入接口的信息进行分类，根据封包内各信息域的内容，诸如信元、分组 数据流等多种协议数据类型与既定的规则集合匹配，识别不同的信息封包，并对其 特殊处理。 移动网络安全设备需要对各种通讯接口提供支持，能够支持常用的通讯接口 如 E1、OC3 和以太网等，信息包从它们的一个端口进入，经过处理后从另一个端 口输出或被过滤。因此，信息包的处理速度和灵活性是整个网络设计时要考虑的最 重要问题。 整个系统要求具备强大的处理能力以实现高带宽的线速处理；同时应当提供 开放的高度集成的体系结构使得基于网络处理器的网络设备易于系统扩展。 3系系统统设设计计 本文所提供的基于 MciroTCA 的处理系统主要应用于通信和数据网络领域，它 能够减轻通讯设备或服务器的网络处理负荷，包处理系统在网络流量到达服务器之 前可执行流量修整、安全算法、压缩、加密等，因此是一种可以代替升级服务器主 机处理器的高性价比产品，它能帮助客户节省成本并提高性能和扩展容量。 网络包处理系统的主要任务是数据包的分析、处理及转发，其主要的功能包括 以下几部分： 协议识别和分类：根据数据包的协议类型、端口号、目的地址、以及其它 特定于协议的信息对数据包进行识别。 拆装和重组：数据包的拆分，处理，以及为转发而重组。 排队和接入控制：识别出数据包之后，将这些数据包送往相应的队列中以 进行下一步处理，如优先处理，流量整形等。同时，可根据某些安全接入 策略进行数据包过滤，确定是继续转发，还是丢弃。 流量整形和流量工程： 某些协议或应用要求对流量进行整形以使之在进入 输出线或输出光纤时满足时延和时延抖动的要求。 QoS(Quality of Service)和 CoS(Class of Service)：除了对数据包进行 流量整形外，数据包还可以被打上标签送往下一网络节点进行更加有效的 处理。 修正数据包：编辑数据包并添加额外的信息。 差错检测：正确检测来自数据链路层的有差错的数据包并能采取有效的处 理措施。 4 系系统统组组成成 4 4. .1 1 硬硬件件组组成成 MicroTCA 脱胎于在电信领域应用广泛的工业计算技术ATCA 标准 (Advanced Telecom Computing Architecture 先进电信计算架构)。是为下一代融 合通信及数据网络应用提供的一个高性价比的，基于模块化结构的、兼容的、可扩 展的硬件构架。 它采用小尺寸的 AdvancedMC (Advanced Mezzanine Card)模块，并将它们直 接插入一个无源背板并使它们可以通过交换板（MCHMicroTCA Carrier Hub）来 彼此通讯。 AMC（Advanced Mezzanine Card）是 ATCA 平台的扩充模块标准，它用来取代 IEEE 在 1993 年就定义的 PMC/CMC，可以为 ATCA 提供更高的系统密度、扩充弹性及 管理机能。而 MicroTCA 的概念是将 AMC 模块直接插在支持多种总线拓扑的无源底 板上，而无需通过任何载板。它以具有热插拔和高级交换能力的 AMC 标准为基础， 定义了一种模块化、可扩展的计算平台，满足了小尺寸、低成本的应用需求。其技 术特点可归纳如下： 基于 PICMG 开放标准架构规范 模块化，灵活可伸缩架构，高性能 多种串形交换互联支持，满足高带宽应用需求 PCI Express/ASI, GB Ethernet, Serial RapidIO 支持完全热插拨，网管式智能系统管理 AMC 和 MicroTCA 标准为高级计算机平台带来了更广阔的应用空间，更低的功 率、更低的价格、更小的机架尺寸以及良好散热、高速和宽温。MicroTCA 主要应 用于电信、工业、医疗以及军事设备等，被用于数据量更大、互联性能更好且控制 化程度更高的应用中，且可以有效降低成本。MicroTCA 被视为未来中小型设备的 主流平台。 基于 MicroTCA 架构的移动动通信网安全防护设备由如下硬件组成及描述： 一块美国 GE Intelligent Platforms 公司 Telum ASLP11 计算卡 三块美国 GE Intelligent Platforms 公司 Telum 628-TEJ E1 端口卡 一块美国 GE Intelligent Platforms 公司 Telum 200-SATA80G 硬盘 一个德国 Elma 公司支持 11 个 AMC 插槽机箱 一块德国 NAT 公司 MCH 模块 一块 RadiSys 公司四端口千兆以太网卡 AMC-7211 一个 Ericsson 公司的电源模块 TelumTelum ASLP11ASLP11 计算卡硬件特性计算卡硬件特性 FeaturesFeatures Intel CoreTM 2 Duo L7400 processor, 1.5 GHz core clock, 4 MByte L2 cache Single width, full-size or mid-size AMC.0, R2.0 form factor AMC.0, R2.0 Hot Swap compliant Up to 4 GByte DDR2 SDRAM with ECC in main memory (2 banks of soldered components) 2 GByte Flash ROM array (higher capacity array available on request) Two Gigabit Ethernet SerDes ports at AMC connector ports 0 full height module (624-TEJ) AMC.1 PCI Express serial fabric interface with common option Hot swap capable Time Division Multiplexing PICMG I-TDM compliant Software Support Carrier Grade Linux Comprehensive Driver Development Kit API Applications Enterprise VoIP gateways Wireless base stations Enterprise routing Computer Telephony Convergence solutions Add/drop and switching DSLAMs Product Reliability High MTBF Technical support for OEM customers and resellers TelumTelum 200-SATA80G200-SATA80G 硬盘硬盘 FeaturesFeatures Serial ATA (SATA) hard disk drive with up to 200 Gbyte capacity Support for SATA I (1.5 Gb/s), SATA II (3.0 Gb/s) IPMI v2.0 compliant Module Management Controller (MMC) Supports either Common Options Port 2 or Port 3 via switch setting or IPMI controller Three modes of operation available: Standard SATA Continuous SATA Solid state SATA Available with compact, mid-size or fullsize faceplates Successfully tested on Solaris 10, Linux, and Windows 2000 and Windows XP platforms ComplianceCompliance AMC.0 R2.0 compliant AMC.3 TCA.0 compliant IPMI v2.0 compliant MMC RoHS 2002/95/EC compliant MCHMCH 模块模块 KeyKey FeaturesFeatures FormForm Factor:Factor: Full Size, Mid Size, Compact Size VariantsVariants andand Options:Options: MCH-Base Base module for management and Fabric A (GbE) Switching MCH-BaseLC Low Cost Variant Clock Clock Module providing Telecom and Fabric Clocks Switching: Hub modules for PCIe, SR