泰雷兹
泰雷兹如何利用以太网降低成本并缩短 SW
Xena 以太网
流量发生器和测试自动化。
延迟和抖动
本白皮书澄清了时间测量中使用的术语,如延迟、抖动、帧间间隙、延迟分辨率、速度不匹配、延迟随时间变化和分布,并介绍了Xena 如何解释和实施时间测量。
背景介绍
在现代战争中,收集、处理实时数据并根据数据采取行动的能力意味着胜利与失败的差别。从监视到后勤管理,作战行动在很大程度上依赖于决策逻辑、互联传感器和武器系统之间的无缝信息流。
为了支持这些信息驱动的业务,需要连接的(子)系统数量正在迅速增加。过去,这些系统通过简单的同轴电缆直接连接,而如今,信息通常通过高带宽 IP 网络传输。这就带来了安全风险,因为对手可能会渗入网络并试图破坏系统。
为防止网络攻击渗入整个网络,这些网络被划分为不同的安全信息域,通常称为红域和黑域。产生高速数据的传感器和需要低延迟、低抖动控制信息的执行器通常被置于黑域。处理来自传感器的数据并据此控制执行器的决策控制系统通常被置于红域。安装实时网关(RTG)是为了连接这些系统,同时减轻网络攻击。实时网关的作用是防止协议攻击和数据泄漏,只允许特定类型的数据从一个安全子域传递到另一个安全子域。
鉴于 RTG 在网络安全中的重要作用以及在系统中的关键位置,测试 RTG 的可靠性和性能是产品开发流程的重要组成部分。
泰雷兹是一家领先的国防和网络安全供应商,因其在保护关键基础设施方面的创新解决方案和专业知识而闻名。CYBELS RTG 是泰雷兹的关键网络安全产品之一,它可以保护和控制从低安全性不信任域到高安全性信任域的数据。CYBELS RTG 每秒可处理高达 40Gb 的流量。
在安全维护模式下,CYBELS RTG 可使用过滤定义语言灵活地制定各种过滤规则和协议。专用的带外管理界面可用于安全配置过滤规则。一旦 RTG 进入操作运行模式,这些过滤规则就会被固定下来,并为已设置的规则提供保证。
挑战
传统的网络分析方法缺乏精确性,无法产生足够的流量,无法在繁重的工作负荷下对 RTG 进行全面测试。验证泰雷兹 CYBELS RTG 的真实性能是开发过程中的一个重要里程碑。
"泰雷兹安全产品系统架构师 Alex van der Linden 说:"使用可靠的高精度网络分析工具是验证我们产品确定性行为的必要条件,因为这些产品通常应用于关键应用中。测试设备的关键标准是
- 支持高达 40Gbps 的带宽
- 精确定时,确保准确验证延迟和抖动性能
- 从预先生成的数据包数据生成确定性数据流的能力
- 支持多用户,因此测试设备可同时用于多个测试平台
泰雷兹已经拥有适用于较低带宽流量生成的测试设备。然而,最初的价格估算表明,将这些设备升级到 40Gbps 的成本过高。因此,泰雷兹开始寻找新的解决方案来测试 CYBELS RTG 的性能。
标准 Linux 工具,如 tcpdumb是一种分析网络流量的简单方法,但无法满足泰雷兹对 CYBELS RTG 进行精确和全面测试的要求。
在基于 DPDK 的 Linux 内核中制作一个应用程序来创建网络流量是一种更好的方法。通过为每个数据包添加时间戳,可以测量往返延迟。但是,Linux-OS 的调度在数据包排序上不一致,而且由于验证 RTG 不交换数据包至关重要,因此该测试工具失败了,因为它自己交换了数据包。
不过,Linux 工具可以非常方便地使用 Python 来构建数据包,这些数据包代表了 Thales 希望通过 RTG 过滤器发送的数据。这意味着,如果测试设备也能提供一种简便的方法,将 Linux 工具生成的数据包插入测试设备,那将是最理想的。
解决方案
Teledyne LeCroy 泰雷兹发现,Xena的Z10Odin和Z100Loki流量发生器比将现有测试设备升级到 40Gbps 要经济得多。
此外,Xena OpenAutomation (XOA)Python API 为他们现有的测试脚本提供了一个简便的接口。
通过XenaManager软件,可以在每个流量发生器端口上以线速轻松设置和运行数据包流,并完全控制数据包的有效载荷和报头。在这里,延迟测量精度低至 +/- 8 ns,抖动测量精度为 8 ns,符合 MEF10 标准。
此外,免费开源自动化和脚本框架Xena OpenAutomation (XOA) 还包含 Python API,这意味着 Thales 可以直接编写自己的脚本。
为了验证Xena 流量发生器是否能够执行所需的任务,双方同意借给 Thales 一些演示设备进行初步评估。Teledyne LeCroy 还请应用工程师帮助移植 Thales 的 Python 脚本,使其适合Teledyne LeCroy XOA 脚本环境。
评估很成功,泰雷兹决定购买数个装在 B2400 机箱中的 Z10 和 Z100 模块。
"Alex van der Linden 说:"转用Teledyne LeCroy 是一个简单明了的商业案例。"设备的价格比替代品低得多,而 Python API 正是我们所需要的,与现有供应商提供的工具相比,它的速度更快,使用更方便。
Thales 使用 Scapy 生成数据包,然后将其复制到Xena 流量生成器使用 XOA Python API 创建的数据流中。这样,Thales 就能以几乎相同的方式获得与 Linux 工具相同的功能。
Thales 还发现,通过 XOA Python API 报告测试结果非常容易操作。
摘要
现代军事通信系统通过高带宽 IP 网络连接传感器、武器系统和数据处理逻辑。为了降低网络攻击的风险,网络通常被分成多个安全子域。这需要使用实时网关(如泰雷兹 CYBELS RTG)来过滤域之间的数据流。
由于泰雷兹 CYBELS RTG 是关键任务网络的一部分,因此利用模拟真实场景的数据流量验证 RTG 的性能至关重要。
泰雷兹发现,Xena Z10Odin 和 Z100Loki 流量生成器以及免费开源的 XOA Python API 是其性能测试的完美解决方案。与升级现有测试环境相比,该解决方案的成本更低,而 Python API 则可轻松创建测试流。
从 Thales 以前的测试环境迁移到 Teledyne 解决方案的过程非常顺利,所有测试大约需要 3 个人月的时间。
Teledyne LeCroy 提供的Xena 解决方案在 CYBELS RTG 的开发过程中为泰雷兹节省了大量时间,几乎可以在最终验证测试之前发现并修复代码中的所有问题。
