旁路模式的多端口服务器网卡解决方案

概述
当今，随着数据与语音的融合、跨越广域网的协同工作、动态的万维网服务不断增加等，企业信息系统的环境越来越复杂。为保证信息系统的服务质量和系统安全，必须对局域网内的流量进行有效的监控、分析和优化。各种应用于实时的流量分析检测、数据加速和流量整形的功能服务器应运而生。

针对应用的功能服务器通常由标准的服务器构建模块组成，目前绝大部份是由基于英特尔架构的服务器构建模块来完成特定的应用功能的。这些功能服务器通常采用并行连接的方式连接在枢纽网络通路上，它们不直接处理网络数据包，而是将数据复制到这些功能服务器上进行检测分析的。

但在许多应用场合仅有检测分析功能是不够的，还需要这些功能服务器能实时地对网络攻击采取预防和阻止措施，特别是能阻止网络入侵等。因此，功能服务器往往还需要串行连接在网络流量的枢纽路径上，典型的应用是采用入侵阻止服务器和内部安全网关等。而如何保证整个网络，即使在功能服务器出现故障时也能保持枢纽链路的畅通，就成为关键问题。

英特尔在业界首先推出了第一款PCIe 四端口、具有旁路功能的千兆服务器网卡，特别适用于在线式的功能服务器，如入侵阻止服务器等，它具有高性能、低延时、在线连续性和旁路模式等，能有效保证枢纽网络的畅通，从而保证业务的连续性。本文将对该技术进行详细介绍。

入侵阻止服务器与业务连续性
当前，各类针对企业网络的攻击在不断增加，不仅次数更加频繁, 强度也不断加大。据不完全统计，蠕虫、特洛伊木马、拒绝服务(DOS) 、身份盗窃和其他的攻击等给全球的企业每年造成约数千亿美元的损失。企业也越来越主动地投入到应对网络攻击之中，引发了集成的网络安全功能服务器(ISA)，尤其是在攻击进入内部网络之前能处理这些攻击的服务器的需求大幅上升。

通常企业将集成的网络安全功能服务器部署在网关处，以在网络边缘阻止网络攻击，其中的一种是入侵检测服务器(IDS) 。入侵检测服务器一般部署在网络的入口或关键网段的入口处，监控所有的网络流量，检测到非正常的数据状况就可能意味着网络攻击。然而，仅能监测网络入侵往往是不够的，还需要能同时预防和阻止网络入侵，这就可以通过使用入侵阻止服务器(IPS) 来实现。越来越多的企业开始关注入侵阻止服务器，它的应用趋势正在不断加强。

不同于位于网络边缘节点处的入侵检测服务器，入侵阻止服务器通常部署在网络枢纽的关键路径上。这样，入侵阻止服务器能监控所有的网络流量，通过使用从网络第二层到第七层的基于签名和协议的分析来实时地检测和阻止非正常的网络流量。

从网络性能的角度来看，入侵阻止服务器的实时性和在线工作方式对其性能提出较高要求。为了能实时或接近实时地工作，入侵阻止服务器的网络连接需要有很高的网络带宽和极小的延时，而且，由于它是以串行连接的方式部署在网络的关键路径上，即使它自身出现故障，仍需保证整个网络枢纽路径的连通，否则，将因入侵阻止服务器自身的故障或不稳定造成整个网络的中断，从而影响业务的连续性。因此入侵阻止服务器必须具有较高的性能保障。

英特尔新近专门研发了具有旁路功能的四端口千兆服务器网卡，为入侵阻止服务器和其他的在线功能服务器等提供了高性能和故障自动保险的千兆位以太网连接。以英特尔PRO/1000 PT 和PF为例，PRO/1000 PT提供四端口铜缆接口，PRO/1000 PF提供四端口光纤接口，它们为入侵阻止服务器（IPS）的应用提供了下列性能增强特性: ? 旁路模式有助于保障网络业务连续性 ?PCI Express (PCIe) 千兆位连接支持更高带宽 ? 四端口千兆位连接尤其适用于插槽受限的服务器 ?英特尔?I/O加速技术，通过英特尔至强双核处理器——提供更快速、可扩展的、可靠的网络连接，实现更有效的网络数据传输 可选择接口在前端的网卡，通过前面板使用网络端口，使操作更方便 图1. 英特尔 PRO/1000 PT 和 PF 四端口旁路服务器网卡为入侵阻止服务器提供高性能、故障自动保险的千兆位以太网连接

旁路模式有助于确保业务的连续性
如前所述，采用入侵阻止服务器串行连接方式的最大担心是如何保证业务的连续性。由于入侵阻止服务器与数据流是在线连接的，如图1 所示，入侵阻止服务器或者它的操作系统出现故障时会使企业网络与广域网或互联网的连接中断，而这样的中断会破坏整个业务连续性，以至于销售订单的入帐指令、采购指令、存款、提款和其他外部交易指令等都将不能被执行。在最关键的网络区域实施双重或多重通信路径是一种解决方案, 但是当网络攻击通过网络传播并且到达分支机构时，这个方法就变成一个财务上不切实际的选择了。

为了确保在入侵阻止服务器连接失败的情况下仍能保持业务的连续性，英特尔PRO/1000 PT 和PF四端口旁路服务器网卡提供了一个可编程的旁路模式。当程序检测到入侵阻止服务器系统断电，BIOS 重起，操作系统或应用程序出现故障时，旁路模式就会自动激活。当一个被检测到的故障出现时，它能把网络流量切换到适配器双端口中的第二个端口，将出问题的服务器旁路，以保持业务的连续性。

图2. 英特尔PRO/1000 PF 四端口旁路服务器网卡的一对端口在正常模式中（上图）和在旁路模式中（下图）

图2 进一步说明了旁路操作方式。上半部分展示了一对在英特尔 PRO/1000 PF 型号的四端口旁路服务器网卡上的一对端口正常的运行模式, 下半部分说明了该网卡的旁路运行模式。这套旁路系统甚至可以在断电时使用，以此保证在服务器断电的情况下网络也能保持连接状态，而且，用户能够通过对旁路模式编程来进行测试或关闭旁路功能，在关闭旁路功能后它仍可以作为一个标准的千兆位服务器网卡来使用。