摘要:该文对IPv4/IPv6安全网关的原理和应用情况进行了分析,对解决方案进行了论述,并给出了解决方案。
1、引言
IPv6取代IPv4已经成为公认的事实,然而这将是一个长期的、渐进的过程。IPv6的部署大致要经历一个过程。初始阶段,在IPv4的网络海洋中,会出现若干局部零散的IPv6孤岛,为了保持通信,这些孤岛通过跨越IPv4的隧道彼此连接。随着IPv6规模的应用,原来的孤岛逐渐聚合成为了骨干的IPv6 Internet网络,形成于IPv4骨干网并存的局面。在IPv6骨干上可以引入了大量的新业务,同时可以充分发挥IPv6的优势。为了实现IPv6和IPv4网络资源的互访,还需要转换服务器以实现IPv6和IPv4的互通。最后,IPv4骨干网逐步萎缩成局部的孤岛,通过隧道连接,IPv6占据主导地位,具备全球范围的连通性。
IPv6提供很多过渡技术来实现这个渐进过程。这些过渡技术主要围绕着解决两类问题:IPv6孤岛互通技术——实现IPv6网络和IPv6网络的互通;IPv6和IPv4互通技术——实现两个不同网络之间互相访问资源。因此我们提出研制IPv4/IPv6互联网关,通过协议地址翻译的机制来解决IPv4和IPv6的互联互通问题,实现IPv4向IPv6的平滑过渡。该设备可应用在城域网、校园网、企业网和其他专用网络上,实现各级子网对现有IPv6/IPv4资源的安全访问。图1-1为IPv4/IPv6网关的典型应用场景。图1-2为IPv4/IPv6网关组网的连接情况。
2、IPv4/IPv6安全网关原理
IPv4/IPv6安全网关主要由四部分构成,分别为机械结构部分、路由器电器部分、一次电源和通风散热系统。机械部分包括主机箱和配线架,主机箱可以外购或者按照机械尺寸定制,配线架采用19英寸机箱的标准配线架;一次电源和电源厂家协商定制;通风散热系统由两组风扇组成,负责网关主机框和电源的散热;路由器电器将采用主控板、交换板、电源冗余设计等模块实现模块化结构设计,具有平滑的可升级能力。IPv4/IPv6安全网关的体系结构如图1-3所示。
根据IPv4/IPv6安全网关的原理和市场需求,从性能,可扩展性以及高可靠性的角度出发,推荐采用研祥(EVOC)的网络系统平台NPC-8205作为解决方案的硬件平台,在此可靠的平台上实现IPv4/IPv6安全网关。
NPC-8205是一款基于Intlel新一代服务器JasperForest平台的高端网络应用系统产品。采取的服务器平台,北桥集成在CPU里面,大大提高了CPU对内存和外设的访问速度。全模块化的网络设计,可灵活选择光电组合,并在千兆,万兆之间灵活切换。主板支持两颗CPU,支持12个DIMM内存槽,6个SATA接口。支持CF卡,板载PCI扩展槽和两个PCI-E扩展槽。整机支持三个全模块的网络扩展,支持两个2.5寸抽拉硬盘位,支持液晶屏显示,板载2千兆电口,1个串口,2个USB,前面板可扩展两个PCI –E设备,支持冗余电源。
采用JASPER FOREAST平台具有以下优点:
(1)支持超线程:第三代超线程技术。
(2)支持虚拟化设备输入/输出 (VT-d):在之前以虚拟化CPU为主的基础上增加设备输入/输出的虚拟化,能有效提高虚拟机的性能和效率。
(3)内核加速模式(Turbo Mode):内核运行动态加速。可以根据需要开启、关闭以及加速单个内核的运行。这样动态的调整可以提高系统和CPU整体的能效比率。
(4)Cache的设计:采用三级全内含式Cache设计,L1的设计和Core 微架构一样;L2采用超低延迟的设计,每个内核256KB;L3采用共享式设计,被片上所有内核共享。
(5) 集成了内存控制器(IMC):从芯片组上移到CPU片上,支持多通道DDR3内存,内存读取的延迟大幅度减少,内存带宽大幅提升,最多可达三倍。
(6)QPI:“快速通道互联”,取代前端总线(FSB)的一种点到点连接技术,20位宽的QPI连接其带宽可达惊人的每秒25.6GB,远非FSB可比。QPI最初能够发放异彩的是支持多个处理器的服务器平台,QPI可以用于多处理器之间的互联。
*自由切换的光电口模块设计
不打开箱盖,直接在前面板操作,就可以在光口模块和电口模块间任意更换。可以灵活的搭配出光口不同数量。电口不同数量。光口模块和电口模块混合同时使用。
4.结束语
综上可见,研祥(EVOC)的网络系统平台NPC-8205作为实现IPv4/IPv6安全网关解决方案的硬件平台,解决了IPv4/IPv6安全网关对对计算性能,存储性能,可靠性能,扩展性能的需求,是一个比较优秀的解决方案。