面向云服务的高性能安全接入网关的研究与实现

作     者：邹新一 

作者单位：哈尔滨工业大学 

学位级别：硕士

导师姓名：王佰玲

授予年度：2018年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：安全接入网关 并行报文处理 VPN路由查找 线程间数据同步 

摘      要：在云服务的安全接入中通过虚拟专用网络(Virtual Private Network,VPN)来提供不同地区云服务节点间数据的安全通信,传统VPN作为工作在云上的接入网关时其性能问题亟待解决,为了提高安全接入网关的性能,本文对VPN的路由转发及并行化技术进行研究以更好的适用于云服务中的安全接入网关。首先,为解决传统VPN无法充分利用通用多核服务器的问题,本文探讨了了数据面开发套件(Data Plane Development Kit,DPDK)的报文转发技术和网卡多队列技术应用于软件VPN网关中的方法,提出一种报文级并行的多线程VPN网关框架,利用多核资源实现在用户态并行报文处理。为了提高报文转发能力,本文研究了VPN分段式路由算法,优化了DIR-24-8-BASIC分段式路由表结构,通过改进二级路由表的管理方式,减少了内存占用率,给出基于软件实现的DIR-24-8-BASIC路由更新机制,并结合VPN路由查找的特点得到分段式VPN路由算法,测试结果表明在一定场景下优于传统基于Patricia树的VPN路由算法。为了避免并行化时线程核间数据交换,充分利用多核计算资源进一步提高报文处理能力,本文研究了VPN网关并行化中多线程间数据同步的机制,结合VPN会话管理和路由查找,提出了一种VPN线程间数据同步算法,用于会话信息和路由规则在线程间共享,实现在两个互联的客户端之间进行高效路由转发。实验结果表明,可有效避免核间数据交换,随着线程并行数的提高可线性提升吞吐量。最后,本文设计并实现了面向云服务的报文级并行VPN网关,并和现有的软件VPN网关对比测试及分析,测试结果表明,该VPN网关各项性能均优于现有网关,能够满足云服务中安全接入网关的需求。