NP技術
網絡處理器器件内部通常由若幹個微碼處理器和若幹硬件協處理器組成,多個微碼處理器在網絡處理器内部并行處理,通過預先編制的微碼來控制處理流程。而對于一些複雜的标準操作(如内存操作、路由表查找算法、QoS的擁塞控制算法、流量調度算法等)則采用硬件協處理器來進一步提高處理性能,從而實現了業務靈活性和高性能的有機結合。
優點
X86
基于X86架構的防火牆,由于CPU處理能力和PCI總線速度的制約,在實際應用中,尤其在小包情況下,這種結構的千兆防火牆遠遠達不到千兆的轉發速度(64字節包長時,雙向轉發速率一般為百分之二十以下),難以滿足千兆骨幹網絡的應用要求。
采用NP架構的防火牆,各種算法可以通過硬件實現,在實現複雜的擁塞管理、隊列調度、流分類和QoS功能的前提下,還可以達到極高的查找、轉發性能,實現“硬轉發”。
ASIC
純硬件的ASIC防火牆缺乏可編程性,這使得它缺乏靈活性從而跟不上防火牆功能的快速發展。雖然現代的ASIC技術提高了可編程性,但從開發難度、開發成本和開發周期方面看,仍然困難重重。
NP完全支持編程,編程模式簡單,一旦有新的技術或者需求出現,可以很方便地通過微碼編程進行實現。提供了更快的技術、功能跟進和更加靈活的擴展能力,特别是在新規格、新标準的支持上。
網絡處理器(NP)是專門為處理數據包而設計的可編程處理器,能夠直接完成網絡數據處理的一般性任務。硬件體系結構大多采用高速的接口技術和總線規範,具有較高的I/O能力,包處理能力得到了很大提升。網絡處理器一般具有以下特點:
特點
并行處理器:采用多内核并行處理器結構。片内處理器按任務大緻分為核心處理器和轉發引擎。
專用硬件協處理器:對要求高速處理的通用功能模塊采用專用硬件實現以提高系統性能。
專用指令集:轉發引擎通常采用專用的精簡指令集,并針對網絡協議處理特點優化。
分級存儲器組織:NP存儲器一般包含多種不同性能的存儲結構,對數據進行分類存儲以适應不同的應用目的。
高速I/O接口:NP具有豐富的高速I/O接口,包括物理鍊路接口、交換接口、存儲器接口、PCI總線接口等。通過内部高速總線連接在一起,提供很強的硬件并行處理能力。
可擴展性:多個NP之間還可以互連,構成網絡處理器簇,以支持更為大型高速的網絡處理。從網絡處理器以上特點可以看出,與通用處理器相比,網絡處理器在網絡分組數據處理上具有明顯的優勢。
主要分類
NP芯片都是由國外廠商設計制造的,從體系結構上主要分為兩大類:
Intel
一類是以Intel的IXP系列産品為代表,分為控制和處理(或稱數據)兩個平面。如Intel公司的IXP1200,控制平面是一個ARMCORE,負責維護系統信息和協調處理部分工作,處理平面由多個微引擎(MicroEngine)和其他專用硬件組成,負責利用控制平面下發的微代碼和命令,直接處理網絡數據。這類産品在對數據包進行簡單過濾時性能較好,但是由于體系結構限制,尤其是微代碼的開發相對複雜,導緻靈活性較差,難以滿足複雜多變的市場需求,一般适合3層(IP層)及以下網絡數據的處理。
SiByte
另一類産品以SiByte的Mercurian系列産品為代表,它基于MIPSCPU設計,如SB1250。它一方面保持了基于通用CPU設計的靈活性,另一方面通過SOC(SystemOnChip)的方式消除了傳統CPU、總線、設備之間帶寬的瓶頸問題。這類産品靈活性較強,易于開發、升級和維護,适于構建速度可與專用ASIC相媲美的、完全可編程的網絡處理平台。
芯片廠家
提供NP芯片的廠家有很多,基本上都符合NPF指定的規範。國内使用比較廣泛的則是Intel公司的IXPxxx系列,主要包括IXP4xx、IXP12xx、IXP24xx、IXP28xx等。
IXP系列NP處理器從體系結構上看基本上都一樣,都是由一個RISC處理器加一個微引擎構成的。其中,RISC處理器主要用于控制微引擎的運行,所以又稱為控制層面;微引擎完成對網絡數據包的處理,以實現高性能,所以又稱為數據層面。不同IXP系列處理器的RISC型号和主頻不同,微引擎的個數也有所不同,在性能上也有很大差别。
IXP4xx的市場定位主要在中低端市場,因此基于IXP4xx芯片做出的防火牆也主要定位在中低端市場中。這裡需要特别提一下IXP425,它内嵌了一個加密引擎,支持一些公開的密碼算法,如3DES、AES、MD5、SHA1,因此,許多安全廠商會使用它生産低端的VPN或防火牆。不過,4xx系列芯片産品并不能進行微碼編程,而Intel預置的微碼又沒有完成FW/VPN的處理,使得該芯片所對應的産品對IP報文的處理要通過533MHz的Xscale來處理的,因而在性能上并沒有什麼優勢。這可能也是一些國内廠商采取變産品不變價格的策略的原因。
IXP12xx從12xx系列開始已經可以讓軟件開發人員根據不同的應用定制微引擎上的微碼,以實現不同的功能。不過由于IXP12xx其微引擎隻有6個,每個微引擎上可以存儲條2k×32位的指令,所以該系列NP芯片隻能用來做簡單的包轉發處理和QoS處理,如果用作較為複雜的防火牆處理則會顯得力不從心了。因此,基于該系列NP芯片的防火牆要麼性能不高,要麼功能簡單。
IXP24xx從2003年開始,Intel公司推出了IXP24xx系列的網絡處理器,它在性能上有了質的變化,開發起來也要複雜得多。使用它們做出的防火牆可能在單純包轉發上到達線速。
IXP28xxIXP28xx的NP處理器從性能上比IXP24XX的性能又增加了很大,單從芯片的性能指标上看,IXP28xx比IXP24xx更有可能做出千兆線速的網絡安全設備。不過,由于IXP2800闆卡的設計要比IXP2400闆卡設計要更加複雜,市場上還沒有能夠支持它得工闆。
國内有不少廠商推出了低端基于INTELIXP425芯片的NP防火牆,面向百兆級用戶。但NP最大的優點在于在高端,425芯片百兆上的處理能力沒有同級别X86防火牆性能高。具體可以參考INTEL官方網站的425芯片的技術白皮書規格。而基于2400芯片的高端NP産品代表了業界的最高性能。國内最先推出的神州數碼DCFW-1800E-NP産品在千兆環境下的小包雙向吞吐率可以達到93%以上,真正的實現了骨幹網絡的高速安全。
