立即报名

IPv6大赛获奖项目:基于SRv6+INT的多模态网络处理器态势感知方法

发布时间:2023-01-17 11:15:40

 


组别:

高校创新组-网络关键技术类

奖项:

一等奖

获奖单位:

东南大学

团队成员:

赵德宇、赵玉宇、王柯然、

朱瑞星、唐亚东、孙寅涵

导师:

程光

 

设计背景

SRv6-图1.jpg

图1 IPv6新型互联网架构

 

随着业务应用推陈出新和用户规模不断增长,基于IPv6的未来新型互联网呈现出“高速率、大规模、多接入、不可预期”等特点,因此,我们认为能够将各种网络技术以模态的形式动态加载并运行,以应对更加灵活多变网络状况的多模态网络环境是IPv6未来网络的核心特征。

SRv6-2.jpg

 

 图2 研究需求与框架

  那么,在多模态网络的场景下,产生了两大需求:第一,目前大多数的网络处理器偏向于特定业务,可编程性差,难以承载多种分组处理业务,无法满足多模态网络的多样化业务接入需求,因此需要一种全新的多模态网络处理器架构;第二,未来网络的多变性也会带来隐藏风险,所以需要对网络性能、网络流量等进行更加实时且细粒度的反馈,而现有的测量方法比如带内遥测(INT),以及威胁态势感知的方法,往往都是结构单一且开销巨大的,需要一种更加灵活,更加轻量级的信息获取与态势感知方法。

SRv6-3.jpg

 

 图3 SRv6技术的特征与应用

 而SRv6技术可以在一定程度上满足上述需求。SRv6作为IPv6未来网络的重要技术之一,它通过给予报文SRH,沿途交换节点根据SRH中的信息进行报文处理。因此,SRH不仅可以存储测量信息,还可以存储模态标志指定处理模态,满足未来网络的多模态特征。

SRv6-4.jpg

 

图4 总体技术路线框架

  针对上述研究背景,我们提出了基于SRv6和INT的多模态网络处理器态势感知方法,设计了一套全新的多模态网络处理器架构,支撑了基于SRv6的威胁态势信息遥测方法,并展开设计了一套基于集成学习的威胁态势理解与投射方法。通过软硬件的协同设计与层层推进,完成基于IPv6的下一代互联网架构下的测量、管理与调度。

 

 技术路线

 

多模态网络处理器体系架构

SRv6-5.jpg

 

图5 多模态网络处理器体系结构

 我们设计了如图5所示的多模态可重构网络处理器。在硬件资源方面,我们集成了基于CPU、FPGA和ASIC的三种异构资源,使其协同处理,充分提升网络处理器整体性能;在软硬件协同方面,我们设计了多级缓存调度算法和分组处理调度算法,使得软件算法能够尽可能充分调用硬件资源。

 

 

SRv6-6.jpg

图6 多级缓存架构工作流程

 

如图6所示,多级缓存技术将虚拟共享外存、高速缓存以及内存进行统一管理,实现调度与映射优化算法和动态管理与调度机制,归纳管理不同端口中的输入队列与输出队列中的任务与数据。


SRv6-7.jpg 

 

图7 分组感知调度流程

 

软硬件协同的分组调度技术深度协同CPU和FPGA硬件资源,通过DMA数据通道对数据进行高速传输,将硬件处理模块与软件转发任务协同,通过CPU的多核调度实现对不同任务应用的综合处理,借助FPGA的并行性能加速处理速度,具体过程如图7所示。

基于SRv6和动态可重构流水线的威胁态势信息遥测方法NT-RP

SRv6-8.jpg

 

 

图8 SRv6和NT-RP

  在多模态网络处理器的平台基础上,我们基于SRv6的可编程性设计并实现了具有运行时任务可重构能力的多维带内网络遥测系统NT-RP,实现了威胁态势察觉。如图8所示,NT-RP将带内遥测(INT)与SRv6相结合,利用SRH中已使用的Segment list区域携带遥测信息,有效减少了遥测对正常业务流量的开销影响。

SRv6-9.jpg

 

  

图9 分布式NTM循环存储策略

 

此外,如图9所示,NT-RP采用了一种分布式NTM循环存储策略,遥测路径中只有符合要求的节点进行NTM存储操作,以缓解数据包丢失导致的遥测无效性并减少遥测开销。同时利用FPGA的并行性,如图10所示,我们将NTM计算模块集成为输出阶段GMII接口逻辑部分,有效消除了遥测任务给带来的额外时间开销。

SRv6-10.jpg

图10 遥测功能集成机制

 

基于集成学习的威胁态势理解与投射

SRv6-11.jpg

 

 

图11 在线态势理解流程

 

基于NT-RP威胁态势信息遥测方法获得的态势要素,我们设计并验证了一种基于集成学习的威胁态势理解与投射方法。如图11所示,在线态势理解采用AdaBoost集成学习方法,集成多个模型对态势信息进行层次化分类,并生成威胁信息。

SRv6-12.jpg

 

图12 态势投射流程

 如图12所示,态势投射与威胁处理方法依据威胁信息回溯态势以确定威胁流量,如异常大流量、DDoS威胁和蠕虫威胁等,并针对不同的威胁流量生成清洗指令,完成态势投射与处理。

 

 应用前景和实用性

本作品设计的基于多模态网络处理器的威胁态势感知系统具备较高实用性,可应用于多种场景。首先,本作品可作为高性能安全网关部署在各类网络环境。其中威胁态势感知系统可提供全方位安全防护,满足安全网关核心需求。

SRv6-13.jpg

 

图13 高性能安全网关场景

 

其次,本作品可加载在各类安全设备中,成为一个自主可控安全防护模块。采用全国产化的异构资源使本作品研发成本低,完全自主可控。同时威胁态势感知系统可满足安全防护模块的轻量化需求,采用低开销方法实现威胁态势觉察与处理。

图片

图14 自主可控安全防护模块场景

 

端边云网络也可与本作品相互结合。本作品可作为内生安全节点部署在端边云网络中,实时监控网络态势,检测流量异常,提供安全防护,保障端边云各部分正常运行。

SRv6-15.jpg

 

图15 端边云网络场景

 

最后,本作品设计的多模态网络处理器采用CPU+FPGA+ASIC的深度可编程chiplet架构,实现了资源解耦,支持芯片级/封装级/板级多样化集成形式。同时采用全国产化的异构资源,相关调试工具、软硬件代码、接口规范等深度自主,为IPv6新型互联网业务部署提供了开源开放、深度可定制的网络处理平台。