在保护移动数据的同时,保持以太网灵活性的优点。
以太网是一种基于帧的数据通信技术,它使用可变大小的帧来承载数据负载。这与使用固定尺寸帧的长途光传输网络(OTN)形成了鲜明对比。以太网帧的大小最小为60字节,最大为1500字节,最大为9K字节。帧是带有端口物理地址的第二层数据容器;数据包是上层协议/数据的第三层封装,其中包含将数据发送到任何IP地址所需的路由信息。数据包大小由应用程序和TCP/IP堆栈配置决定,并且可能根据目标部署(流、存储、电信等)而有很大差异。
帧大小的可变性带来了额外的复杂性。以太网帧传输除了数据错误检查(CRC)外,还需要额外的帧开始/结束同步开销。考虑到额外的复杂性,为什么要使用可变框架呢?一句话,灵活性。以太网的灵活性使其可以采用无数的网络配置、大小和用例。自Robert Metcalfe于1973年发明以来,以太网已经从最初的2.94 Mbps数据速率发展到最新的800 Gbps,速度提高了272,000倍。今天,以太网是无处不在的网络技术,从桌面到网络核心。
在早期,以太网是一种共享的网络架构,网络上的设备在通信之前进行监听(载波感知),如果多个设备同时通信(碰撞检测),则有一种后退机制。以太网的碰撞检测载波侦听多路访问(CSMA/CD)协议是一项基础性的创新,但共享结构意味着以太网无法在设备之间提供全速率带宽。另一方面,现代以太网设备被设计成无阻塞或尽可能无阻塞。无阻塞是指交换机或路由器的内部带宽可以处理其所有端口的带宽。这意味着当连接两个设备时几乎可以实现全线路速率。这是驱动我们日常体验的现代数据中心、企业和电信性能的基本属性。
在过去十年中,该行业开始推出40G,然后迅速过渡到100G,现在正在加紧部署400G设备。考虑到主要超大规模数据中心运营商设定的目标,向400G以太网的转变是一个复杂的过程。400G不仅需要实现其所宣传的吞吐量,而且还必须在小型可插拔光模块中实现新的效率水平。因此,由于先进硅和光子学技术的可用性,400G的发展有几个阶段。它从8个56G serde开始聚合,以实现400G链路,目前正在移动到4个112G serde。112G SerDes的出现允许构建高效的800G端口(具有8个112G SerDes通道),正如以太网技术联盟最近宣布的800G以太网规范所设想的那样。
MACsec是一种数据保护协议,广泛用于保护以太网上的高速通信。为了实现现代应用的全线速率(范围从10到800 Gbps), MACsec必须在硬件上完全实现,通常靠近设备的以太网端口。它可以在以太网网卡(NIC)内部,以太网PHY ASIC或被集成到交换机ASIC中。这意味着对于所有情况(无论是背靠背的小分组速率还是大分组的批量流),运动中的数据必须在没有任何妥协的情况下,以全速率使用MACsec进行保护。例如,800G以太网用于小数据包,每秒可传输高达11.9亿个数据包。
为了保护数据,MACsec部署了AES-GCM,这是一种具有完整性保护的高速和可扩展的加/解密密码算法。尽管可以扩展,但它仍然是一种块密码,类似于其他nist批准的数据保护密码。要保护的数据应该被分割成16字节的块,然后输入密码进行加密/解密和完整性保护。不完整的块在加密处理之前用零字节填充。由于每个以太网帧的大小是可变的,因此需要一定数量的加密模块来确保任何大小的以太网帧在所有情况下都能得到保护。
话虽如此,这种实现的原始吞吐量可能达到每秒1tb以上的性能。吞吐量的实际度量很简单;需要匹配以太网端口参数:
最近宣布的Rambus 800G MACsec核心在所有情况下提供全线速率吞吐量。在某些配置和进程技术中,它可以达到1.8 Tbps的原始加密吞吐量。这样的功能扩展目前的实际应用有限,但说明了Rambus解决方案的可伸缩性。更重要的优先级是MACsec实现在硅中进行了优化,如前所述,提供了线路速率功能。通过Rambus 800G MACsec解决方案,网络芯片设计人员可以在保持800G以太网的所有性能和灵活性优势的同时,实现面积和功耗效率高的第二层安全。
额外的资源:
博客:MACsec解释:从A到Z
白皮书:MACsec基本面
网站:Rambus 800G多通道MACsec引擎
产品简介:Rambus 800G MACsec
|
|
|
|
|
|
|
|
留下回复