《1001编号网络处理器》由会员分享,可在线阅读,更多相关《1001编号网络处理器(3页珍藏版)》请在金锄头文库上搜索。
1、网络处理器 网络处理器(Network Processor,简称 NP),根据国际网络处理器会议 (Network Processors Conference)的定义:网络处理器是一种可编程器件,它 特定的应用于通信领域的各种任务,比如包处理、协议分析、路由查找、声音/ 数据的汇聚、防火墙、QoS 等。 NP 技术NP 技术 网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组 成,多个微码处理器在网络处理器内部并行处理,通过预先编制的微码来控 制处理流程。 而对于一些复杂的标准操作(如内存操作、 路由表查找算法、 QoS 的拥塞控制算法、 流量调度算法等)则采用硬件协处理器来进一步提
2、高处理性 能,从而实现了业务灵活性和高性能的有机结合。 相对于 X86 的优点相对于 X86 的优点 基于 X86 架构的防火墙,由于 CPU 处理能力和 PCI 总线速度的制约 ,在 实际应用中,尤其在小包情况下,这种结构的千兆防火墙远远达不到千兆的 转发速度(64 字节包长时,双向转发速率一般为百分之二十以下),难以满 足千兆骨干网络的应用要求。 采用 NP 架构的防火墙,各种算法可以通过硬件实现 ,在实现复杂的拥塞 管理、队列调度、流分类和 QoS 功能的前提下,还可以达到极高的查找、转 发性能,实现“硬转发”。 面对 ASIC 的优点面对 ASIC 的优点 纯硬件的 ASIC 防火墙缺
3、乏可编程性,这使得它缺乏灵活性从而跟不上防 火墙功能的快速发展。 虽然现代的 ASIC 技术提高了可编程性, 但从开发难度、 开发成本和开发周期方面看,仍然困难重重。 NP 完全支持编程,编程模式简单,一旦有新的技术或者需求出现,可以 很方便地通过微码编程进行实现。提供了更快的技术、功能跟进和更加灵活 的扩展能力,特别是在新规格、新标准的支持上 。 网络处理器(NP)是专门为处理数据包而设计的可编程处理器,能够直 接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术 和总线规范,具有较高的 I/O 能力,包处理能力得到了很大提升。网络处理 器一般具有以下特点: 特点特点 并行处理
4、器: 采用多内核并行处理器结构。 片内处理器按任务大致分为核 心处理器和转发引擎。 专用硬件协处理器: 对要求高速处理的通用功能模块采用专用硬件实现以 提高系统性能。 专用指令集: 转发引擎通常采用专用的精简指令集, 并针对网络协议处理 特点优化。 分级存储器组织: NP 存储器一般包含多种不同性能的存储结构,对数据进 行分类存储以适应不同的应用目的。 高速 I/O 接口: NP 具有丰富的高速 I/O 接口,包括物理链路接口、交换接 口、存储器接口、PCI 总线接口等。通过内部高速总线连接在一起,提供很 强的硬件并行处理能力。 可扩展性: 多个 NP 之间还可以互连,构成网络处理器簇,以支持
5、更为大型 高速的网络处理。 从网络处理器以上特点可以看出,与通用处理器相比,网 络处理器在网络分组数据处理上具有明显的优势。 主要分类主要分类 目前,NP 芯片都是由国外厂商设计制造的,从体系结构上主要分为两大类: Intel 的的 IXP 系列产品系列产品 一类是以 Intel 的 IXP 系列产品为代表,分为控制和处理(或称数据) 两个平面。如 Intel 公司的 IXP1200,控制平面是一个 ARM CORE,负责维护 系统信息和协调处理部分工作,处理平面由多个微引擎(Micro Engine)和 其他专用硬件组成,负责利用控制平面下发的微代码和命令,直接处理网络 数据。这类产品在对数
6、据包进行简单过滤时性能较好,但是由于体系结构限 制,尤其是微代码的开发相对复杂,导致灵活性较差,难以满足复杂多变的 市场需求,一般适合 3 层(IP 层)及以下网络数据的处理。 SiByte 的的 Mercurian 系列产品系列产品 另一类产品以 SiByte 的 Mercurian 系列产品为代表, 它基于 MIPS CPU 设 计, 如 SB1250。 它一方面保持了基于通用 CPU 设计的灵活性, 另一方面通过 SOC (System On Chip) 的方式消除了传统 CPU、 总线、 设备之间带宽的瓶颈问题。 这类产品灵活性较强,易于开发、升级和维护,适于构建速度可与专用 ASIC
7、 相媲美的、完全可编程的网络处理平台。 芯片厂家芯片厂家 目前提供 NP 芯片的厂家有很多,基本上都符合 NPF 指定的规范。国内使 用比较广泛的则是 Intel 公司的 IXP xxx 系列,主要包括 IXP4xx、IXP12xx、 IXP24xx、IXP28xx 等。 IXP 系列 NP 处理器从体系结构上看基本上都一样, 都是由一个 RISC 处理 器加一个微引擎构成的。其中,RISC 处理器主要用于控制微引擎的运行,所 以又称为控制层面;微引擎完成对网络数据包的处理,以实现高性能,所以 又称为数据层面。不同 IXP 系列处理器的 RISC 型号和主频不同,微引擎的个 数也有所不同,在性
8、能上也有很大差别。IXP4xx的市场定位主要在中低 端市场,因此基于 IXP4xx 芯片做出的防火墙也主要定位在中低端市场中。这 里需要特别提一下 IXP425,它内嵌了一个加密引擎,支持一些公开的密码算 法,如 3DES、AES、MD5、SHA1,因此,许多安全厂商会使用它生产低端的 VPN 或防火墙。 不过, 4xx 系列芯片产品并不能进行微码编程,而 Intel 预置的 微码又没有完成 FW/VPN 的处理,使得该芯片所对应的产品对 IP 报文的处理 要通过 533MHz 的 Xscale 来处理的,因而在性能上并没有什么优势。这可能 也是一些国内厂商采取变产品不变价格的策略的原因。 I
9、XP12xx 从12xx系列开始已经可以让软件开发人员根据不同的应用定制 微引擎上的微码,以实现不同的功能。不过由于 IXP12xx 其微引擎只有 6 个, 每个微引擎上可以存储条 2k32 位的指令,所以该系列 NP 芯片只能用来做 简单的包转发处理和 QoS 处理,如果用作较为复杂的防火墙处理则会显得力 不从心了。 因此, 基于该系列 NP 芯片的防火墙要么性能不高, 要么功能简单。 IXP24xx从 2003年开始, Intel公司推出了IXP24xx系列的网络处理器, 它在性能上有了质的变化,开发起来也要复杂得多。 使用它们做出的防火墙可 能在单纯包转发上到达线速. IXP28xxIX
10、P28xx 的 NP 处理器从性能上比 IXP24XX 的性能又增加了很 大,单从芯片的性能指标上看,IXP28xx 比 IXP24xx 更有可能做出千兆线速 的网络安全设备。不过,由于 IXP2800 板卡的设计要比 IXP2400 板卡设计要 更加复杂,目前市场上还没有能够支持它得工板。 国内有不少厂商推出了低端基于 INTEL IXP 425 芯片的 NP 防火墙,面向百 兆级用户.但 NP 最大的优点在于在高端,425 芯片百兆上的处理能力没有同级 别 X86 防火墙性能高.具体可以参考 INTEL 官方网站的 425 芯片的技术白皮书 规格.而基于 2400 芯片的高端 NP 产品代表了业界的最高性能.国内最先推出 的神州数码 DCFW-1800E -NP 产品在千兆环境下的小包双向吞吐率可以达到 93%以上.真正的实现了骨干网络的高速安全.
