NP技術(shù)在安全產(chǎn)品中的具體應用

2019-11-03 08:59:50

字體：大中小

供稿：網(wǎng)友

作者：為億陽信通安全事業(yè)部技術(shù)人員林福生

　　近一兩年從國內(nèi)的安全廠商開始進軍高端網(wǎng)絡(luò)安全市場，NP這個名詞開始變得流行起來，不過雖然同是NP，但在技術(shù)細節(jié)上卻存在著很多不同的區(qū)分，這也直接影響到產(chǎn)品的性能和安全性，下面就讓我們NP以及NP的應用，進行一番剖析。

　　NP即網(wǎng)絡(luò)處理器，即專門用于做網(wǎng)絡(luò)數(shù)據(jù)處理的芯片。網(wǎng)絡(luò)處理器在處理器家族中屬于專用處理器，即專門為了特殊應用而設(shè)計的處理器，它有別于X86系列通用處理器。

　　目前提供NP芯片的廠家也很多，基本上都符合NPF指定的規(guī)范，就目前國內(nèi)市場上應用最為廣泛的是INTEL公司的IXPXXX系列芯片，包括IXP4XX、 IXP12XX、 IXP24XX 、IXP28XX等；

　　IXP系列NP處理器從體系結(jié)構(gòu)上看基本上都一樣，都是由一個RISC處理器加一個微引擎構(gòu)成，RISC處理器主要用于控制微引擎的運行，所以又稱為控制層面，微引擎完成對網(wǎng)絡(luò)數(shù)據(jù)包的處理，以實現(xiàn)高性能，所以又稱為數(shù)據(jù)層面；不同IXP系列處理器主要是RISC的型號和主頻，以及微引擎的個數(shù)有所不同；具體的性能參考表一。IXP系列的體系架構(gòu)雖然相同，但是在性能上卻有天壤之別，NP系統(tǒng)是一個更先進的系統(tǒng)，但是一些低端的NP系統(tǒng)卻就像最原始的汽車，可能連X86架構(gòu)下的馬車都不如。

　　下面就每一種NP芯片的具體特點及應用作一下詳細論述。

　　-　IXP4xx

　　IXP4xx的市場定位主要在中低端市場，因此使用基于IXP4xx芯片做出的網(wǎng)絡(luò)安全產(chǎn)品也主要定位在中低端市場中，特別需要注意的是，IXP425內(nèi)嵌了一個加密引擎，支持一些公開的密碼算法，如：3DES、AES、md5、SHA1；因此大量安全產(chǎn)商使用基于這種芯片的板卡做出低端的VPN/FW；不過4xx系列芯片產(chǎn)品存在一個致命缺陷，由于不能進行微碼編程，而Intel預置的微碼又沒有完成FW/VPN的處理，因此產(chǎn)商在開發(fā)FW/VPN功能的時候，實際上對ip報文的處理是通過533Mhz的Xscale來處理的，因而在性能上比基于X86架構(gòu)的安全產(chǎn)品性能上不會有太大變化，這可能也是一些國內(nèi)廠商采取變產(chǎn)品不變價格的策略的原因。

　　另外需要特別注意的是，使用這種芯片開發(fā)出來的網(wǎng)絡(luò)安全設(shè)備，不是每個網(wǎng)絡(luò)接口都是快速的。IXP4XX通過ME實現(xiàn)的Ethernet MAC只有兩個NPE A 和NPE B，一般板卡設(shè)計產(chǎn)商都會通過PCI Bridge擴展多個以太網(wǎng)口。從性能上考量，只有通過NPEA/NEPB的接口是比較快的，而通過PCIBridge擴展出來的網(wǎng)絡(luò)接口性能相對來說就比較低了；由于IXP4XX的結(jié)構(gòu)設(shè)計約束，在任何兩個網(wǎng)絡(luò)接口之間通信都必須通過Xscale進行交換（包括TCP/IP處理）,，正是由于了這個限制，基于IXP4XX開發(fā)網(wǎng)絡(luò)安全設(shè)備本質(zhì)上不會比基于X86開發(fā)的網(wǎng)絡(luò)安全設(shè)備在性能上有所提高，有的時候反而會更低；

　　-　IXP12XX

　　IXP從12XX系列開始已經(jīng)可以讓軟件開發(fā)人員根據(jù)不同的應用定制微引擎上的微碼，以實現(xiàn)不同的功能，不過由于IXP12XX其微引擎只有6個，每個微引擎上可以存儲條2k*32位的指令，12XX 系列NP只能用來做簡單的包轉(zhuǎn)發(fā)處理和QOS處理，至于用作較為復雜的防火墻處理，就顯得力不從心了，因此在國內(nèi)使用12XX系列做出的防火墻性能都不高，要不就是功能十分簡單；

　　-IXP24XX

　　從2003年開始，Intel公司推出了IXP24XX系列的網(wǎng)絡(luò)處理器，這款網(wǎng)絡(luò)處理器比12XX系列的網(wǎng)絡(luò)處理器在性能上有了質(zhì)的變化；同時基于IXP24XX系列的板卡設(shè)計上也復雜了很多；

　　目前國內(nèi)很多安全產(chǎn)商開始使用基于這款芯片的板卡來設(shè)計網(wǎng)絡(luò)安全設(shè)備，如防火墻，IDS；但是使用一個IXP2400是否可以做到千兆線速的防火墻呢？讓我們看一下下面這張表

　　參考自Intel? Internet Exchange Architecture Software Building Blocks applications

　　

Line rate for 4 Gig ports

上一篇：通訊變壓器用高磁導率低損耗MnZn鐵氧體TH10材料的開發(fā)

下一篇：MPEG-2編碼復用器中的FPGA邏輯設(shè)計