泰雷茲
泰雷茲如何降低成本並縮短軟體
開發週期使用 Xena 乙太網
流量生成器和測試自動化。
延遲與抖動
本白皮書闡明時間測量中使用的術語,例如延遲、抖動、幀間間隙、延遲解析度、速度不匹配、時間延遲變化,以及時間分佈,並說明Xena 實現時間測量。
背景
在現代戰爭中,收集、處理和處理實時數據的能力可能意味著勝利與失敗的區別。從監視到後勤管理,行動在很大程度上依賴於決策邏輯、連接的感測器和武器系統之間的無縫資訊流。
為了支援這些資訊驅動的操作,需要連接的(子)系統的數量正在迅速增長。雖然這些系統過去通過簡單的同軸電纜直接連接,但如今資訊通常通過高頻寬IP網路流動。這會帶來安全風險,因為攻擊者可能會滲透網路並試圖破壞系統。
為了防止網路攻擊滲透到整個網路中,這些網路被劃分為安全資訊域,通常稱為紅色和黑色域。產生高速數據的感測器和需要低延遲和抖動控制資訊的執行器通常位於黑色區域。處理來自感測器的數據並相應地控制執行器的決策控制系統通常位於紅色區域。安裝即時閘道 (RTG) 以連接這些系統,同時減輕網路攻擊。RTG 的作用是通過僅允許某些類型的數據從一個安全子域傳遞到另一個安全子域來防止協定攻擊和數據洩露。
鑒於在網路安全和系統內的關鍵位置中的關鍵作用,測試 RTG 的可靠性和性能是產品開發過程的重要組成部分。
泰雷茲是一家領先的國防和網路安全供應商,以保護關鍵基礎設施的創新解決方案和專業知識而聞名。泰雷茲的主要網路安全產品之一是 CYBELS RTG,它可以保護和控制從低安全性不受信任域到安全性較高的受信任域的數據。CYBELS RTG 每秒可處理高達 40Gb 的流量。
在安全維護模式下,CYBELS RTG使用濾波器定義語言為各種濾波規則和協定提供了靈活性。專用的帶外管理介面可用於安全地配置過濾規則。一旦 RTG 進入其運行運行模式,這些過濾規則就會固定下來,併為已設置的內容提供保證。
挑戰
傳統的網路分析方法缺乏精確度,無法生成足夠的流量來全面測試繁重工作負載的 RTG。驗證泰雷茲 CYBELS RTG 的真實性能是開發過程中的一個關鍵里程碑。
“使用可靠、高精度的網络分析工具對於驗證我們產品的確定性行為是必要的,因為它們通常應用於關鍵應用中”,泰雷茲安全產品系統架構師 Alex van der Linden 說。測試設備的關鍵標準是:
- 支持高達 40Gbps 的頻寬
- 精確的定時,確保準確驗證延遲和抖動性能
- 能夠從預先生成的數據包數據生成確定性流
- 支援多個使用者,因此測試設備可以同時用於多個測試台
泰雷茲已經擁有適合低頻寬流量生成的測試設備。然而,最初的定價估計表明,將該設備升級到40Gbps將非常昂貴。因此,泰雷茲開始尋找一種新的解決方案來測試CYBELS RTG的性能。
像 tcpdumb 這樣的標準 Linux 工具是一種分析網路流量的簡單方法,但不足以對 CYBELS RTG 所需的 Thales 進行精確和徹底的測試。
在 Linux 內核中製作一個基於 DPDK 的應用程式來創建網路流量是一種更好的方法。通過向每個數據包添加時間戳,可以測量往返延遲。但是,Linux-OS 調度在數據包排序中不一致,並且由於驗證 RTG 不交換數據包至關重要,因此此測試工具在交換數據包時失敗。
但是,Linux 工具使得使用 Python 構建數據包變得非常容易,這些數據包表示 Thales 希望通過 RTG 過濾器發送的數據。這意味著,如果測試設備還提供一種簡單的方法,將 Linux 工具生成的數據包數據插入到測試設備中,那將是理想的選擇。
解決方案
泰雷茲發現 Xena的 Z10系列 Odin 和 Z100系列 Loki 流量生成器來自 Teledyne LeCroy 比將現有測試設備升級到 40Gbps 要經濟得多。
此外Xena (XOA)的 Python API 為其現有的測試腳本提供了簡易的介面。
XenaManager軟體可以輕鬆地在每個流量生成器埠上以線速設置和運行數據包流,並完全控制數據包有效負載和標頭。其中,延遲測量精度低至 +/- 8 ns,抖動測量符合MEF10標準,精度為8 ns。
此外Xena (XOA)這個免費的開源自動化與腳本框架,方便地內建了 Python API,這意味著 Thales 能夠直接編寫自己的腳本。
為了驗證Xena 產生器能否執行所需任務,雙方同意出借部分展示設備給泰雷茲(Thales),供其進行初步評估。Teledyne LeCroy 安排了一位應用工程師,協助將其 Python 腳本移植到Teledyne LeCroy XOA 。
評估成功,泰雷茲決定在 B10 機箱中購買多個 Z100 和 Z2400 模組。
“這是一個簡單的商業案例 Teledyne LeCroy“亞歷克斯·范德林登說。“該設備比替代方案便宜得多,Python API 正是我們所需要的,而且與我們現有供應商的工具相比,它更快、更易於使用。”
Thales 使用 Scapy 產生封包,然後透過XOA API,將這些封包複製到由Xena 產生器所建立的資料流中。藉此方式,Thales 得以幾乎以相同的方式,獲得與 Linux 工具相同的功能。
泰雷茲公司也發現,透過XOA API 報告測試結果非常容易上手。
摘要
高頻寬IP網路用於連接構成軍事通訊系統的感測器、武器系統及資料處理邏輯。
這些網路通常會劃分為多個安全子網域,以減輕網路攻擊的風險。此機制透過即時閘道器(如泰雷茲的CYBELS RTG)實現,用以過濾各網域間流動的數據。
由於泰雷茲CYBELS RTG屬於任務關鍵型網路的一部分,必須使用模擬真實世界情境的數據流量來驗證RTG的性能表現。
泰雷茲Xena Odin和Z100Loki流量產生器非常適合用於其效能測試,特別是在搭配免費的開源XOA API 使用時。這些流量產生器的成本低於升級現有測試環境,而XOAPython API 更讓建立測試流量流變得輕而易舉。
結果:
從泰雷茲(Thales)的舊測試環境遷移至泰雷達因(Teledyne)解決方案的過程相當順利,所有測試僅需約3人月的工時——遠低於預期。
Xena 讓泰雷斯在開發CYBELS RTG時節省了大量時間,因為它使程式碼中的幾乎所有問題都能在最終驗證測試前被發現並修復。
