科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>服务器频道>ZD评测>旁路模式的多端口服务器网卡解决方案

旁路模式的多端口服务器网卡解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

英特尔在业界首先推出了第一款PCIe 四端口、具有旁路功能的千兆服务器网卡,特别适用于在线式的功能服务器,能有效保证枢纽网络的畅通,从而保证业务的连续性。

来源: 2006年09月24日

关键字:英特尔 至强 至强

概述
当今,随着数据与语音的融合、跨越广域网的协同工作、动态的万维网服务不断增加等,企业信息系统的环境越来越复杂。为保证信息系统的服务质量和系统安全,必须对局域网内的流量进行有效的监控、分析和优化。各种应用于实时的流量分析检测、数据加速和流量整形的功能服务器应运而生。

针对应用的功能服务器通常由标准的服务器构建模块组成,目前绝大部份是由基于英特尔架构的服务器构建模块来完成特定的应用功能的。这些功能服务器通常采用并行连接的方式连接在枢纽网络通路上,它们不直接处理网络数据包,而是将数据复制到这些功能服务器上进行检测分析的。

但在许多应用场合仅有检测分析功能是不够的,还需要这些功能服务器能实时地对网络攻击采取预防和阻止措施,特别是能阻止网络入侵等。因此,功能服务器往往还需要串行连接在网络流量的枢纽路径上,典型的应用是采用入侵阻止服务器和内部安全网关等。而如何保证整个网络,即使在功能服务器出现故障时也能保持枢纽链路的畅通,就成为关键问题。

英特尔在业界首先推出了第一款PCIe 四端口、具有旁路功能的千兆服务器网卡,特别适用于在线式的功能服务器,如入侵阻止服务器等,它具有高性能、低延时、在线连续性和旁路模式等,能有效保证枢纽网络的畅通,从而保证业务的连续性。本文将对该技术进行详细介绍。

入侵阻止服务器与业务连续性
当前,各类针对企业网络的攻击在不断增加,不仅次数更加频繁, 强度也不断加大。据不完全统计,蠕虫、特洛伊木马、拒绝服务(DOS) 、身份盗窃和其他的攻击等给全球的企业每年造成约数千亿美元的损失。企业也越来越主动地投入到应对网络攻击之中,引发了集成的网络安全功能服务器(ISA),尤其是在攻击进入内部网络之前能处理这些攻击的服务器的需求大幅上升。

通常企业将集成的网络安全功能服务器部署在网关处,以在网络边缘阻止网络攻击,其中的一种是入侵检测服务器(IDS) 。入侵检测服务器一般部署在网络的入口或关键网段的入口处,监控所有的网络流量,检测到非正常的数据状况就可能意味着网络攻击。然而,仅能监测网络入侵往往是不够的,还需要能同时预防和阻止网络入侵,这就可以通过使用入侵阻止服务器(IPS) 来实现。越来越多的企业开始关注入侵阻止服务器,它的应用趋势正在不断加强。

不同于位于网络边缘节点处的入侵检测服务器,入侵阻止服务器通常部署在网络枢纽的关键路径上。这样,入侵阻止服务器能监控所有的网络流量,通过使用从网络第二层到第七层的基于签名和协议的分析来实时地检测和阻止非正常的网络流量。

从网络性能的角度来看,入侵阻止服务器的实时性和在线工作方式对其性能提出较高要求。为了能实时或接近实时地工作,入侵阻止服务器的网络连接需要有很高的网络带宽和极小的延时,而且,由于它是以串行连接的方式部署在网络的关键路径上,即使它自身出现故障,仍需保证整个网络枢纽路径的连通,否则,将因入侵阻止服务器自身的故障或不稳定造成整个网络的中断,从而影响业务的连续性。因此入侵阻止服务器必须具有较高的性能保障。

英特尔新近专门研发了具有旁路功能的四端口千兆服务器网卡,为入侵阻止服务器和其他的在线功能服务器等提供了高性能和故障自动保险的千兆位以太网连接。以英特尔PRO/1000 PT 和PF为例,PRO/1000 PT提供四端口铜缆接口,PRO/1000 PF提供四端口光纤接口,它们为入侵阻止服务器(IPS)的应用提供了下列性能增强特性: ? 旁路模式有助于保障网络业务连续性 ?PCI Express (PCIe) 千兆位连接支持更高带宽 ? 四端口千兆位连接尤其适用于插槽受限的服务器 ?英特尔?I/O加速技术,通过英特尔至强双核处理器——提供更快速、可扩展的、可靠的网络连接,实现更有效的网络数据传输 可选择接口在前端的网卡,通过前面板使用网络端口,使操作更方便 图1. 英特尔 PRO/1000 PT 和 PF 四端口旁路服务器网卡为入侵阻止服务器提供高性能、故障自动保险的千兆位以太网连接

旁路模式有助于确保业务的连续性
如前所述,采用入侵阻止服务器串行连接方式的最大担心是如何保证业务的连续性。由于入侵阻止服务器与数据流是在线连接的,如图1 所示,入侵阻止服务器或者它的操作系统出现故障时会使企业网络与广域网或互联网的连接中断,而这样的中断会破坏整个业务连续性,以至于销售订单的入帐指令、采购指令、存款、提款和其他外部交易指令等都将不能被执行。在最关键的网络区域实施双重或多重通信路径是一种解决方案, 但是当网络攻击通过网络传播并且到达分支机构时,这个方法就变成一个财务上不切实际的选择了。

为了确保在入侵阻止服务器连接失败的情况下仍能保持业务的连续性,英特尔PRO/1000 PT 和PF四端口旁路服务器网卡提供了一个可编程的旁路模式。当程序检测到入侵阻止服务器系统断电,BIOS 重起,操作系统或应用程序出现故障时,旁路模式就会自动激活。当一个被检测到的故障出现时,它能把网络流量切换到适配器双端口中的第二个端口,将出问题的服务器旁路,以保持业务的连续性。

图2. 英特尔PRO/1000 PF 四端口旁路服务器网卡的一对端口在正常模式中(上图)和在旁路模式中(下图)

图2 进一步说明了旁路操作方式。上半部分展示了一对在英特尔 PRO/1000 PF 型号的四端口旁路服务器网卡上的一对端口正常的运行模式, 下半部分说明了该网卡的旁路运行模式。这套旁路系统甚至可以在断电时使用,以此保证在服务器断电的情况下网络也能保持连接状态,而且,用户能够通过对旁路模式编程来进行测试或关闭旁路功能,在关闭旁路功能后它仍可以作为一个标准的千兆位服务器网卡来使用。

PCI Express ,四端口千兆位连接提供更高的网络带宽
在任何一台服务器上使用四端口千兆服务器网卡,特别是在入侵阻止服务器上使用,都能够体现出显著的优势。四端口PCI Express (PCIe) 服务器网卡能从单个的服务器插槽中提供四个网络连接,从而可以保留服务器的其他插槽供更多应用使用。而多个千兆位端口又可以通过多种技术,包括链路或端口的编组以及网络分段等,来增加网络带宽。

在入侵阻止服务器的应用中,至少需要两个端口来支持入侵阻止服务器的在线操作:其中一个端口--“外部端口”,提供了与网络或网段的外部连接。所有从外部端口进来的流量将通过入侵阻止服务器后, 先由入侵阻止服务器进行分析,通过检查的流量则通过入侵阻止服务器的第二个端口--“内部端口” ,传输到内部网络。

英特尔PRO/1000 PT 和PF 四端口旁路服务器网卡具有四个端口:两个“外部端口”和两个对应的“内部端口” 。这样可以通过允许入侵阻止服务器同时为二个链路或网段提供双千兆的网络连接。如图1 所示,入侵阻止服务器从路由器的二条链路上接收输入的流量,再把这些经过检查的流量传输到两个工作组交换机。

为了保证千兆带宽的完全可用性,英特尔 PRO/1000 PT 和PF 四端口旁路服务器网卡采用PCIe 结构,而不使用PCI 或 PCI-X 总线结构。与PCI 或PCI-X 共享、并行的总线结构不同的是,PCIe 接口是一种独享的、点对点的串行总线架构。每一条总线通道提供2.5 千兆比特每秒(Gbps)单向的宽带。英特尔 PRO/1000 PT 和PF 四端口旁路服务器网卡则相当于提供了四条PCIe 通道 (PCIe *4) ,相当于一条PCIe 通道的总线宽带速度的四倍。

同时,PCIe 通道是双向的:一条发送通道和一条接收通道,使发送和接收同时进行。相比之下,PCI 和PCI-X 在某特定的时间点只能发送或接收,一个发送进程必须等待到接收进程完成结束时才能进行,因而造成延时。使用PCIe 就不会产生这种延时现象。

支持英特尔? I/O 加速技术使网络数据传输更加有效
英特尔?I/O 加速技术是一种升级的平台技术,它解决了造成服务器I/O 瓶颈的多种问题,并且无需更改现有或者将来的应用程序,具有良好的应用前景。当它应用在英特尔至强双核处理器上的服务器上时,提供了一个更高速、可扩展性强和高可靠性的网络连接,使网络数据更加有效地传输。通过更高效的数据传输、减少系统开销和多个网络端口的无缝扩展,充分释放了英特尔至强双核处理器的能量,改善了网络应用的响应时间。

英特尔PRO/1000 PT 和PF 四端口旁路服务器网卡支持新开发的英特尔?I/O 加速技术。在PRO/1000 PT 和PF 四端口旁路服务器网卡中,英特尔? I/O 加速技术支持标头和有效负载分离和中断调节。标头分离将TCP/IP 数据包标头和有效负载进行分离,在独立、并行的通道上进行更快的操作处理。中断调节是在网卡上将若干个中断集中在一起,一次性向CPU 申请中断,以便CPU 能一次处理更多的数据包。标头分离和中断调节都能够使网卡进行更有效的数据包处理。

当英特尔PRO/1000 PT 和PF 四端口旁路服务器网卡,与支持英特尔? I/O 加速技术的英特尔至强双核处理器的服务器配合使用的时候,这种数据吞吐能力能够进一步增强。

总结
英特尔PRO/1000 PT 和PF 四端口旁路服务器网卡是专为满足在线功能服务器的需求而设计的。它具有故障自动保险的旁路模式,保障了在线连接性;它带有多千兆位端口,提供了更高的网络带宽;它采用速度更快的第三代PCIe 串行总线结构代替PCI 和PCI-X 结构,保证了更大的吞吐量;它使用英特尔?I/O 加速技术,进一步提高了系统性能并减少了系统开销。这些对入侵阻止服务器等在线功能服务器都是至关重要的,保证其高效运转和广泛应用。

综合评分:8.13 分
云能力:8.3 分
营业额:533亿美元[2012]
云服务:英特尔云计算

查看更多 >>

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅ZDNet技术邮件将是您的最佳途径之一。