恒扬科技 SempGate® NSA/MCP 多核网络流量处理平台 www.semptian.com 恒扬科技 SempGate® NSA/MCP 多核网络流量处理平台 专业的团队、专业的安全产品解决方案

安全产品方案选型 ? 多功能低性能 网络处理瓶颈 网络接口限制 整机故障率 产品硬件成本

安全产品“多功能、低性能” 当前安全产品综合功能不断增加，网络报文处理流程更趋复杂，报文的检测强度、检测力度越发加大，但是产品性能也在急剧下降。

网络底层处理瓶颈 硬件平台使用X86硬件体系架构，硬件平台没有对网络报文处理进行任何优化，没有支持网络报文高速处理的硬件单元。 操作系统基于开源的Linux操作系统，复杂的系统架构以及复杂的调度机制导致处理流程繁琐。 协议栈采用Linux标准网络协议栈设计，很难突破报文转发性能瓶颈。 安全功能构建在Netfilter架构之上，每报文的检测机制导致即使受信链接的后续报文也都要进行检测，大大降低报文转发性能。

网络接口限制 随着用户网络环境日趋复杂，应用也越来越多，对网络产品硬件接口数量要求也不断递增，传统X86架构硬件平台已近很难满足高密度接口设计。 用户网络环境中各种网络产品的使用五花八门，根据用户不同网络业务的特点网络设备接口组合也变化多端，对接入用户网络的产品自身网络接口形式也提出可以灵活组合的要求。

整机故障率 X86架构硬件平台的单板设计复杂，外围搭配的各类元器件众多。组装测试流程需要非常细致，可能一个简单的产品运输过程就会产生频繁故障。 X86通用处理器及主要配套的南北桥芯片相对功耗大较大、整机在有负荷的情况下工作热量偏高，需要大功率、高转速风扇进行散热，否则故障频频。

安全产品方案选型难上加难 残酷的市场价格竞争要求网络设备厂商需要不断的降低产品的销售价格，同时还要保持产品的利润率。 性能 功能 稳定性 价格 残酷的市场价格竞争要求网络设备厂商需要不断的降低产品的销售价格，同时还要保持产品的利润率。 用户希望减少设备采购投资，要求网络设备厂商能在同一产品内不断的集成进更多功能。 用户的内网、外网带宽飞速升级，要求的网络产品在满足用户的功能需求下，性能也要不断提升。

ARM、MIPS嵌入式处理器（中低端产品） 目前普及的硬件平台 安全产品 硬件平台 Firewall 防火墙 ASIC、FPGA（高端产品） X86通用处理器（中高端产品） ARM、MIPS嵌入式处理器（中低端产品） UTM 综合安全网关 X86通用处理器 Audit 审计产品 ASIC、FPGA(高端产品) X86通用处理器（中低端产品） QOS 流控产品

硬件平台比较 硬件平台 X86 ASIC、FPGA NP 多核网络流量处理平台 处理器 通用处理器 专用处理器 网络处理器 多核网络处理器 接口 接口数量少，接口形式不灵活 接口数量少，接口形式不不灵活 接口数量丰富、接形式灵活 性能 100Mbps ~ 1GBbps 1Gbps ~ 10Gbps 1Gbps ~ 4Gbps 集成度 集成度相对低，需要独立南北桥配合 集成度高，普遍需要与X86工控结合 集成度高，一体化硬件结构 功耗 160W以上 整机功耗200W以上 整机功200W以上 35W~160W 研发难度 易 难（灵活度低） 难 ？ 价格 价格偏高 价格高昂 价格低廉

基于Cavium MIPS64 的多核平台 Cavium公司多核网络处理器 MC1200 MC1400 MC3600

专业一体化硬件设计 灵活的接口定制 MC1200 OCTEON CN 5020 RGMII 0/1 RGMII 2 PHY Switch Bypass 8 * RJ-45

专业一体化硬件设计 灵活的接口定制 MC 1400 OCTEON CN 5230 XAUI FPGA PHY PHY PHY 4 *GE RJ-45 4 *GE RJ-45 4 *GE RJ-45 4 *GE RJ-45 4 *GE RJ-45 4 *GE RJ-45

专业模块化硬件设计 灵活的接口定制 MC 3600 OCTEON CN 5860 背板 8*GE 8*GE SPI 4.2 SPI 4.2 FPGA 8*GE 8*GE PHY

出色的性能指标 超强的报文转发性能指标

高度集成化单板 高集成度、无风扇单板设计，整机功耗更小、可靠性更高 MC1200 MC1400 MC3600

准系统=系列化硬件+开放软件平台 MCP 全系列硬件产品 MCP开放软件平台 MCP SDK 控制平面 MCP SDK 高性能 数据平面

为性能设计的软件架构 Core 1..n Core n+1..m 控制 平面 数据平面 流量分类和提取 路由, 状态跟踪和地址转换 流量统计 2 Core n+1..m GE 流量管理、QoS 路由, 状态跟踪和地址转换 流量统计 流量分类和提取 2 流转发表 5-tuple egress i/f next-hop 2 4 nat information stating qos host mirror 4 3 未知会话由控制平面处理 1 1 已知会话由数据平面处理

开放、完整的软件解决方案 兼容Linux下的各种网络接口之间的报文转发 兼容Linux下路由和NAT功能 以太接口、VLAN接口、Bridge桥接口、PPPOE拨号接口。 兼容Linux下路由和NAT功能 全面支持Linux下静态路由，高级路由等，支持一对一、多对一、多对多NAT转换。 兼容Linux下Netfilter架构 支持Netfilter下各种的匹配和策略模块，支持Netfilter Conntrack状态跟踪机制，支持动态端口协议跟踪。

对网络流量处理应用提供基础软件支持 提供报文镜像 提供报文统计 提供QOS带宽管理支持 报文在数据平面的快速路径进行转发的同时，可以根据控制平面预设的策略将报文同时镜像到控制平面进行数据分析工作 提供报文统计 数据平面的快速路径进行报文转发时还可以对连接进行统计，记录下通过的报文数量和报文大小保存到会话表项，然后定时将信息同步给控制平面进行流量统计和流量分析工作。 提供QOS带宽管理支持 支持Linux系统开源QOS工具，在数据平面转发报文同时可以对其进行细粒度的QOS带宽管理控制。

对网络流量处理应用提供基础软件支持 报文零拷贝技术 独立的硬件加密、解密单元 通过数据平面统一分配管理报文，在系统的任何位置都可以直接通过物理地址轻松访问数据报文。 独立的硬件加密、解密单元 提供基于Cavium多核网络处理器的硬件加密、解密引擎API，支持MD5、DES、3DES等常见加密、解密算法。

What’s inside the SDK 恒扬科技提供配套多核网络流量处理平台的64位开发工具链。 恒扬科技维护一套兼容Openwrt的Linux发行版本，直接支持MCP系列硬件平台。 64位的内核，64位的用户空间应用程序。 成熟的防火墙、路由操作系统。 简单易用的应用开发环境，方便集成新的应用程序。 丰富的开源生态环境，集成了丰富的开源应用软件。 厂商应用软件移植简单快捷 无需针对多核处理器对应用程序针对多核处理器特性进行代码重构和优化，开发多核产品就像开发X86一样简单，只需要简单集成工作就可以享受多核带来无与伦比的性能。

What’s inside the SDK . . . . . . Toolchain MCP SDK控制平面 开源生态环境 路由 防火墙 DHCP 内容过滤 IPSEC . . . . . . QOS 入侵检测 PPTP DDNS 蠕虫防护 L2TP MCP SDK控制平面 路由 防火墙 策略路由 状态检测 静态路由 均衡路由 NAT/PAT 链接跟踪 WAN/LAN 接口 Ethernet xDSL SFP Linux Kernel & Driver MCP Platform MCP SDK数据平面 Core 1..n Core n+1..m

安全网关类产品解决方案 安全厂商 应用软件 MCP SDK控制平面 网络服务 VPN 路由 防火墙 WAN/LAN 接口 DHCP 内容过滤 IPSEC QOS 入侵检测 PPTP SSL VPN DDNS 蠕虫防护 L2TP MCP SDK控制平面 路由 防火墙 策略路由 状态检测 静态路由 均衡路由 NAT/PAT 链接跟踪 WAN/LAN 接口 Ethernet xDSL SFP Linux Kernel & Driver Hard Platform SDK数据平面 Core 1..n Core n+1..m

安全审计类产品解决方案 旁路审计产品 安全审计设备 业务流量 核心交换机 接入网关设备 旁路审计产品部署必须要求核 心交换机支持端口镜像功能 无法对业务数据进行实时控 制 安全审计设备 业务流量 核心交换机 接入网关设备

安全审计类产品解决方案 串接审计产品 安全审计产品 审计功能 安全网关功能 业务流量 互联网 串接审计产品要求分析软件和安全网关功能软件性能、可靠性高。 审计功能 安全网关功能 业务流量 互联网

安全审计类产品解决方案 安全审计产品 数据流量 互联网 分析软件 MCP SDK 控制平面 Core 1..n 控制 镜像 MCP SDK 分析软件的性能和功能完全不影响流量串接 分析软件可以根据分析结果，实时给数据平面下发会话管理指令，通过会话表对特定流量进行控制 分析软件演进到控制软件的工作量和可靠性都完全可控 安全审计产品 分析软件 MCP SDK 控制平面 Core 1..n 镜像 控制 数据流量 MCP SDK 数据平面 Core n+1..m 互联网

安全审计类产品解决方案 安全厂商 应用软件 MCP SDK控制平面 路由 防火墙 WAN/LAN 接口 数据库软件 分析软件 控制软件 MCP SDK控制平面 路由 防火墙 策略路由 状态检测 静态路由 均衡路由 NAT/PAT 链接跟踪 WAN/LAN 接口 Ethernet xDSL SFP Linux Kernel & Driver MCP Platform SDK数据平面 Core 1..n Core n+1..m

流量控制解决方案 MCP作为流量串接设备，缺省的所有流量从MCP接口进，并从另外一个MCP接口出。 QoS ID Level Max Min MCP作为流量串接设备，缺省的所有流量从MCP接口进，并从另外一个MCP接口出。 根据特征匹配策略，将控制平面关注的流量镜像上交控制平面。 控制平面对流量进行分析，找到需要限制和保障的流量，为这些流量创建会话表项，并关联QoS ID。 可以为每个会话表配置2级QoS ID 第1级QoS 限制每个用户占用的带宽 第0级QoS限制或者保证针对对应用或者重要用户的带宽分配 例如： 接口带宽2M A类用户带宽限制在1M 视频通话应用保证带宽在1M 所有用户Http下载带宽限制在1M 10 1 1M - 20 1M 1M 30 1M - HTTP下载会话 SSN H1::QoS(30,0) SSN H2 :QoS(30,0) 视频通话类会话 QoS (20,0) QoS (30, 0) SSN V1:QoS(20,0) SSN V2:QoS(20,0) 保障在1M 限制在1M SSN A1-V: Qos (20,10) SSN A2-H(30,10) 先按用户限制，再按应用保障 先按用户限制，再按应用限制 SSN A3 Qos (0,10) SSN A4 Qos (0,10) A 用户 发起的会话 QoS (0,10) 总带宽限制在1M

流量控制解决方案 安全厂商 应用软件 MCP SDK控制平面 网络服务 路由 防火墙 WAN/LAN 接口 流分类 QOS 流量统计 MCP SDK控制平面 路由 防火墙 策略路由 状态检测 静态路由 均衡路由 NAT/PAT 链接跟踪 WAN/LAN 接口 Ethernet xDSL SFP Linux Kernel & Driver Hard Platform SDK数据平面 Core 1..n Core n+1..m

最终产品形成模式 最终 产品 标准 数据平面 兼容Openwrt开源系统 厂商自主应用软件 定制 数据平面 MCP系列 Hard Platform 最终 产品 Cavium公司 软件包 厂商自主软件系统

www.semptian.com Thank you! www.semptian.com