在高速数据流高层细化处理背景下,NP己成为下一代网络的核心技术。其特点是:针对数据分组处理,采用优化体系结构、专用指令集、硬件单元,满足高速数据分组线速处理要求;具有软件编程能力,能够迅速实现新的标准、服务、应用,满足网络业务复杂多样化需求,灵活性好;设备具有软件升级能力,满足用户设备硬件投资保护需求。
NP的体系结构通常具有以下共同特点:(1)多内核并行处理器:采用多内核并行处理器结构。片内处理器按任务分为核心处理器和数据分组协处理器。核心处理器通常负责非实时的管理任务;数据分组处理器进行实时、线速数据分组处理。(2)专用硬件加速处理单元:采用专用硬件对特定协议操作进行协处理:如CRC效验、哈希查找、树查找、字符匹配。针对安全产品,提供加/解密、大数运算等硬件单元。(3)优化指令集:通常采用RISC技术,结合多级流水线技术,大部分指令在一个时钟周期完成。(4)优化内存管理和分级存储器组织。(5)硬件多线程:为了提高NP资源利用率,每个数据分组协处理器还支持多个硬件线程。每个线程都有一套专门的硬件来存放上下文,可获得线程切换的零开销。(6)高速I/O接口:具有丰富的高速I/O接口,包括物理链路接口、交换接口、存储器接口、PCI总线接口。(7)可扩展性:多个NP之间还可以互连,构成网络处理器簇,以支持更为大型高速的网络处理。
由于NP芯片的技术架构和侧重点的不同,因此基于不同架构NP芯片开发的防火墙在网络性能和应用层防御能力方面也会有明显的差异。以比较有代表性的4GS3和IXP2400为例,4GS3网络处理器是PowerNP网络处理器家族的高端产品,它包含16个协议处理器,可同时执行32个线程,具有并行处理32数据分组的能力;采用Embedded Power PC负责NP非实时管理控制。4GS3网络处理器支持40个10/100Mb以太网端口和4个Gigabit以太网端口,可配置成4个OC-12 POS或16个OC-3 POS 或1个OC-48 POS接口。IXP2400 网络处理器是Intel IXA第二代网络处理器家族的一员,它被设计成大范围的接入和边缘应用,包括多服务交换,路由,宽带接入装置和无线机构系统等等。IXP2400 通过8个多线程的,相互独立的32位微引擎整合了一个Intel Xscale核心,是一个高度整合的,可编程的数据处理器,它为在一个较大范围内(从OC-12 到OC-48)增强并行处理的性能提供了一个直接的移植路径。
4GS3和IXP2400技术侧重点有所不同,前者侧重于2-3层的数据转发,主要面向路由器设计,并保留着一部分ASIC特性;而IXP2400则面向2-7层数据处理,具有强大的深度内容检查的能力,广泛适用于路由器、防火墙甚至千兆IDS。两者的主要区别如下表所示:
| 4GS3 | IXP2400 | |
| 技术架构 | PowerPC Based SOC | Xscale Based SOC |
| 面向领域 | 2-4层数据转发 | 2-7层数据处理与转发 |
| 体系结构 | RISC + ASIP + ASIC | RISC + ASIP |
| 深度过滤能力 | 弱 | 强 (注1) |
| 接口规范 | 4x1GbE/1 OC-48/4 OC-12/16 OC-3 | 4x1GbE/1 OC-48/4 OC-12/16 OC-3 |
| 下一代产品 | 无 | IXP2800/2850 |
| 厂商 | Hifn公司(注2) | Intel公司 |
注1:包括DeCanio Engineering,Comm Logic Design在内的一些厂商己经推出了基于IXP2400的千兆IDS系统。
注2:由于业务增长不理想,IBM将Picoprocessor PowerNP网络处理器技术(包括4GS3)以1,500万美元的价格卖给了Hifn公司。
从以上对比可以看出,IXP2400具有强大的处理能力,同时具有很好的技术延续性。在国际NP技术论坛(www.npforum.org)进行的一些性能基准测试中,IXP2400在防火墙处理、MPLS VPN、IPv6数据包处理以及VPN加解密方面都具有非常出色的性能表现。
部分内容及数据源自赛迪网http://tech.ccidnet.com及国际NP技术论坛(www.npforum.org)
东软网络安全 微信号:Neusoft_NetEye
