摘要
因特網(wǎng)、企業(yè)網(wǎng)絡(luò )等網(wǎng)絡(luò )應用的帶寬需求急劇上升,傳輸、檢查、拆分、組合、搜尋、內容比對、轉遞等IP封包運算處理動(dòng)作,以往可以靠軟件程序在一般X86微處理器上完成,搭配以網(wǎng)卡做封包出入口。
但是近年來(lái)這些封包的運算處理越來(lái)越復雜,將數據輸入處理單元,完成后再將結果送往輸出單元,慢速處理造成的時(shí)間延遲會(huì )嚴重影響到數據吞吐量,無(wú)法滿(mǎn)足Line
Rate Operation的需求。Intel 公司提供的網(wǎng)絡(luò )處理器系列產(chǎn)品專(zhuān)門(mén)用來(lái)解決這樣的問(wèn)題,IXP-4XX屬于較低端的系列,本文則集中探討IXP-2XXX系列高端網(wǎng)絡(luò )處理器,文中將以IXP-2400處理器在凌華科技cPCI-6240系列產(chǎn)品的設計為例做出說(shuō)明。
以下將先介紹IXP-2XXX處理器的功能特性,再探討處理器的平臺設計、應用開(kāi)發(fā),最后探討它在網(wǎng)絡(luò )安全領(lǐng)域的應用,以入侵檢測系統為實(shí)例做出說(shuō)明。
Intel IXP-2XXX 網(wǎng)絡(luò )處理器
Intel XP-2XXX系列網(wǎng)絡(luò )處理器大致包含:IXP-2400、IXP-2800及IXP-2850,請參考表一的性能差異。除此之外,Intel還考慮比照了IXP-42X系列的做法,高度整合MACs等功能模塊,建造優(yōu)異的性?xún)r(jià)比產(chǎn)品,使這一系列處理器的應用更普及化。
 |
表一、IXP-2XXX系列比較表 |
全系列IXP-2XXX網(wǎng)絡(luò )處理器都可拆分為『控制管道』(Control
Plane)及『數據管道』(Data Plane)兩大部分。參考圖一 IXP-2400網(wǎng)絡(luò )處理器,它內建一顆600MHz
32-bit XScale來(lái)負責Control Plane的處理工作,XScale執行相當底層的控制工作,包括信息傳送,還有跟系統內其它處理器的溝通。Data
Plane則由內建的八顆微處理引擎(Micro-Engine Version 2, MEv2)來(lái)做平行處理,MEv2是XScale精簡(jiǎn)下來(lái)的
(Reduced) 可程序處理器,使用者可用Micro-Code匯編語(yǔ)言或是高端Micro-C語(yǔ)言撰寫(xiě)應用程序,透過(guò)指令告訴這八顆MEv2怎樣處理封包運算,以達到應用目的。
 |
圖一:IXP-2400的外部接口 |
圖一是IXP-2400示意圖外觀(guān),它有兩個(gè)信道的QDR
SRAM接口,存放重要的數據結構,比如:Route Tables, Free Buffer
Pools,Flow State Tables,Queue Descriptors等等重要的訊息,其中一個(gè)信道還可以接一個(gè)協(xié)處理器,做TCP/IP封包比對時(shí)的內存搜尋引擎,加速決定封包的協(xié)議屬性跟流向(Flow)。DDR
DRAM則用來(lái)儲存封包以及大量的State tables,另外C-bus接口可以連接第二個(gè)處理器,這是采用一進(jìn)一出架構的雙處理器設計時(shí)用的。
另兩個(gè)重要接口,一個(gè)是64-bit/66MHz PCI
2.2接口,作為Control Plane連通的Bus,可以透過(guò)此接口外掛控制處理器,像是PrPMC控制卡;另一個(gè)是Flash界面,是存取RedBoot韌體的通道,Redboot相當于X86系統的BIOS;媒體及切換接口(Media
and Switch Fabric Interface, MSF)是網(wǎng)絡(luò )封包進(jìn)出處理器的主要途徑,視應用可以規劃為SPI-3、CSIX或是UTOPIA
Level2接口。
圖二是IXP-2400內部示意圖,內部的SHaC
是一個(gè)多功能控制單元,內含Hash單元,可以建立48-,64-或是128-bit寬的 Hash
indices,XScale與MEv2可存取Hash來(lái)幫助Table的搜尋,特別是要搜尋的Keys很大時(shí);第二個(gè)單元是16KB的Scratch
Pad memory,這是處理器內第三個(gè)內存資源,XScale與MEv2可共同存取,三種內存資源可以讓海量存儲器存取同時(shí)間平行發(fā)生;第三個(gè)單元是Control
and Status Register (CSR),提供9顆個(gè)處理器(1 * XScale
+ 8* MEv2)互相之間溝通用途。
除此之外,還有 XScale 外圍,包含中斷控制器、Timers,
UART、GPIO等單元。在處理器內部,XScale、MEv2、DRAM Controller、SRAM
Controller、T/R-Buffer之間透過(guò) Chassis Bus,將 Data Plane
的路徑在處理器內部連通起來(lái),這些控制單元可以共享 SRAM、DRAM 等內存資源做數據交換。
 |
圖二:IXP-2400功能單元及數據信道
(取材自Intel IXA架構及應用一書(shū)) |
網(wǎng)絡(luò )處理器的『平臺設計』、『應用開(kāi)發(fā)』
(一)
平臺規劃、開(kāi)發(fā)
平臺規劃
設計IXP-2XXX平臺首先要先為產(chǎn)品做準確的定位,定義平臺最終應用、頻寬需求、封包處理效能等級。若是想一半接到ATM網(wǎng)絡(luò ),則MSF接口有一半要規劃成Utopia
Level 2接口,連接的ASIC像是Intel IXF-6012/6048 Cell/Packet
Framer;若是要直接連IP網(wǎng)絡(luò ),則MSF接口規劃成SPI-3或是CSIX,連接像Intel
IXF-1104 (Quad Giga-E MACs的ASIC);或是接FIC(Fabric
Interface Controller) 的ASIC。另外規劃時(shí)要全面考慮:Control
Plane的處理效能、是否外掛輔助處理器、開(kāi)機影像文件下載速度;Data Plane則須考慮SRAM大小、DRAM資源使用、是否須加密功能
(IXP-2850有)、是否外掛網(wǎng)絡(luò )搜尋加速器、是否外掛內容檢查加速器等、要多少個(gè)網(wǎng)絡(luò )接口。這些硬件規格要根據功能應用,做整體效能評估才行,在開(kāi)案初期要審慎評估。
平臺開(kāi)發(fā)
包括硬件、韌體(Redboot)、系統支持套件(Board Supporting Package,
BSP),BSP內含組件驅動(dòng)程序。其中硬件設計跟一般X86運算平臺沒(méi)什么兩樣,記得要預留軟件除錯端口,就像X86-CPU的
ITP Port一樣;Redboot韌體則相當于X86 BIOS,系統初始化、自我測試、Boot
Loader都包在Redboot內;Redboot及BSP可以通過(guò)Intel IXA SDK得到幫忙,建立以XScale為處理核心的操作系統平臺,最后這三大要素即可建立一個(gè)完整的網(wǎng)絡(luò )處理器平臺。
(二)
應用程序開(kāi)發(fā)
Intel 建立了IXA 軟件可攜式架構,讓今天花力氣辛辛苦苦在IXP-2400建立起來(lái)的軟件,明天在下一代IXP-2XXX仍然適用,而這個(gè)軟件架構可以簡(jiǎn)單用圖三表示。
應用程序的開(kāi)發(fā)也可以通過(guò)Intel IXA SDK得到幫忙,考慮到投資杠桿效應,Intel
IXA軟件程序架構采模塊化,SDK提供一些基本的microblocks,開(kāi)發(fā)者再開(kāi)發(fā)自有的microblocks,將這些microblocks視為基礎組件(Building
Blocks),去組合實(shí)現實(shí)際的功能應用,讓開(kāi)發(fā)者的工作簡(jiǎn)單化,也縮短TTM時(shí)間。
 |
圖三:Intel IXA 可攜式軟件架構
(取材自Intel IXA架構及應用一書(shū)) |
網(wǎng)絡(luò )安全的需求
據統計,2000年企業(yè)及政府部門(mén)遭受黑客(Hacker)攻擊的比率高達85%,而網(wǎng)絡(luò )安全的漏洞不是防止黑客入侵就解決了,其它像是遭窺探者竊取機密性數據,或是心懷不滿(mǎn)的員工蓄意破壞系統內重要檔案,警覺(jué)性不足的員工外泄重要密碼、不小心由Email引入計算機病毒等,都是威脅網(wǎng)絡(luò )安全的幾個(gè)危險因素。
為了讓區域內網(wǎng)絡(luò )維持安全運作,建立一套安全防護網(wǎng)才是根本解決之道,較完整的防衛機制大概有三層:
(一)虛擬私有網(wǎng)絡(luò )(VPN)
(二)防火墻(Firewall)
(三)入侵檢測系統(Intrusion Detection System; IDS)。
三種應用各有不同的系統規格需求,VPN 的系統需將信息全數打亂再丟到網(wǎng)絡(luò )上,透過(guò)加密機制在公開(kāi)的網(wǎng)絡(luò )里建立起加密通道(Encrypted
Tunnel),接收端再解密取得真實(shí)信息,在浩瀚的因特網(wǎng)內建立起安全私密的虛擬局域網(wǎng)絡(luò );Firewall則像大樓管理員,檢查來(lái)訪(fǎng)封包的通行許可證,包含檢查封包的來(lái)源、目的地、連接塊等字段,但是防火墻并沒(méi)有辦法擋掉所有的入侵者,此時(shí)就須要另一道防線(xiàn)IDS;IDS
就像網(wǎng)絡(luò )上的監控攝影機,可以分析流經(jīng)的封包數據,偵測未經(jīng)授權的行為,IDS大致區分為「網(wǎng)絡(luò )系統」跟「主機系統」兩類(lèi)。基本上IDS需求的系統處理能力可以涵蓋VPN及Firewall的需求,因此接下來(lái)我們就以較復雜的IDS為例做IXP-2400的應用說(shuō)明。
入侵檢測系統的應用
圖四是采用IXP-2400為核心建立的IDS系統結構圖,凌華采用IXP-2400內建的XScale去控制管理Control
Plane的組件,內建的八顆MicroEngine去收送處理封包的分類(lèi)及內容比對,處理Data
Plane的運算。IXP-2400的QDR SRAM通道0也叫做LA-1(Look Aside
Interface)接口,可以選擇接市面上現有的TCAM(Ternary Content Addressable
Memory) 輔助處理器,幫忙做第三層以下封包數據搜尋比對的工作,幫IXP-2400處理器卸載(offload)一些運算負擔。
 |
圖四 IXP-2400在網(wǎng)絡(luò )安全的應用-『入侵偵測系統』方塊圖 |
 |
圖五 ADLINK cPCI-6240系列網(wǎng)絡(luò )安全平臺 |
網(wǎng)絡(luò )安全系統內最關(guān)鍵性的功能可以說(shuō)是封包表頭辨識(Classification)及內容檢查(Content
Inspection),表頭辨識系針對其流向、連結、輸入端口及目的地址等做比對;內容檢查則有復雜的算法,處理頻寬及內存容量需求極高,很顯然內容檢查即將是此系統非常嚴重的交通瓶頸所在,這個(gè)運算將耗用大量IXP-2400網(wǎng)絡(luò )處理器的運算資源。因此必須采用另一個(gè)處理器卸載此運算,有兩種方法可行,其一是如圖四:加入一顆個(gè)可程序內容檢查引擎(Programmable
CIE, Content Inspection Engine),比如IDT PAX.port
2500 CIE;或是在封包經(jīng)網(wǎng)絡(luò )處理器集結成較大封包后,進(jìn)入一張專(zhuān)屬內容檢查的高速運算服務(wù)器,比如ADLINK
cPCI-6860 Dual-Xeon Server Blade。加CIE的做法可以卸載95%
的MicroEngine資源使用量,刪除掉85%的MicroCode,同時(shí)削減75%內存頻寬使用量,成本可大大節省,TTM(Time
to Market)時(shí)間可以顯著(zhù)縮減。加一張專(zhuān)屬服務(wù)器則維持舊有軟件延續使用,節省軟件開(kāi)發(fā)的時(shí)間及人力成本,兩者各有優(yōu)點(diǎn),但是CIE是純硬件運算所以效率較好,長(cháng)期來(lái)看應會(huì )成為較受歡迎的選擇。
結論
網(wǎng)絡(luò )處理器的時(shí)代已經(jīng)來(lái)臨,它可以有效解決網(wǎng)絡(luò )交通擁塞的問(wèn)題,也可以處理復雜的封包運算。無(wú)論如何,Inetel
IXA架構已經(jīng)正確的跨出第一步,接下來(lái)就須要更多的平臺設計者投入開(kāi)發(fā)工作,以及更多的應用開(kāi)發(fā)者投入資源,發(fā)展軟件程序,逐步建立完整的可攜式Microblocks。網(wǎng)絡(luò )興起、帶寬加速拓展,使整個(gè)網(wǎng)絡(luò )通訊的市場(chǎng)板塊不斷的在調整、挪動(dòng),凌華科技與Intel合作,共同推廣IXP-2XXX網(wǎng)絡(luò )處理器的應用,希望能有拋磚引玉之效。
|
