Filtrace paketů ve 100 Gb sítích

Abstract

Diplomová práce se zabývá návrhem a implementací algoritmu pro filtraci paketů pro vysokorychlostní počítačové sítě. Hlavním cílem bylo vytvoření hardwarové architektury pro filtraci, která dosáhne vysoké kapacity ve smyslu počtu filtračních pravidel a umožní nasazení v sítích o rychlostech až 100 Gb/s. Návrh systému byl proveden s ohledem na možnost paralelního zpracování při implementaci v technologii FPGA a s cílem nalezení vhodného kompromisu mezi časovou a paměťovou složitostí algoritmu. Dosažené vlastnosti navržené architektury a vytvořené implementace byly následně ověřeny na dostupných množinách filtračních pravidel. Díky vysoce optimalizované architektuře a řetězenému zpracování bylo možné při implementaci dosáhnout vysoké pracovní frekvence (přes 220 MHz) a současně významně zredukovat paměťové nároky (v průměru o 72% oproti porovnávaným algoritmům). Efektivní využití interní paměti dostupné přímo na čipu umožňuje s použitím FPGA uložení až pěti tisíc filtračních pravidel při zabrání pouze 8% dostupné kapacity paměti. To vše při současném dosažení plné propustnosti linky 100 Gb/s.This master's thesis deals with the design and implementation of an algorithm for high-speed network packet filtering. The main goal was to provide hardware architecture, which would support large rule sets and could be used in 100 Gbps networks. The system has been designed with respect to the implementation on an FPGA card and time-space complexity trade-off. Properties of the system have been evaluated using various available rule sets. Due to the highly optimized and deep pipelined architecture it was possible to reach high working frequency (above 220 MHz) together with considerable memory reduction (on average about 72% for compared algorithms). It is also possible to efficiently store up to five thousands of filtering rules on an FPGA with only 8% of on-chip memory utilization. The architecture allows high-speed network packet filtering at wire-speed of 100 Gbps.