摘要
因特网、企业网络等网络应用的带宽需求急剧上升,传输、检查、拆分、组合、搜寻、内容比对、转递等IP封包运算处理动作,以往可以靠软件程序在一般X86微处理器上完成,搭配以网卡做封包出入口。但是近年来这些封包的运算处理越来越复杂,将数据输入处理单元,完成后再将结果送往输出单元,慢速处理造成的时间延迟会严重影响到数据吞吐量,无法满足Line Rate Operation的需求。Intel 公司提供的网络处理器系列产品专门用来解决这样的问题,IXP-4XX属于较低端的系列,本文则集中探讨IXP-2XXX系列高端网络处理器,文中将以IXP-2400处理器在凌华科技cPCI-6240系列产品的设计为例做出说明。
以下将先介绍IXP-2XXX处理器的功能特性,再探讨处理器的平台设计、应用开发,最后探讨它在网络安全领域的应用,以入侵检测系统为实例做出说明。
Intel IXP-2XXX 网络处理器
Intel XP-2XXX系列网络处理器大致包含:IXP-2400、IXP-2800及IXP-2850,请参考表一的性能差异。除此之外,Intel还考虑比照了IXP-42X系列的做法,高度整合MACs等功能模块,建造优异的性价比产品,使这一系列处理器的应用更普及化。
表一、IXP-2XXX系列比较表
全系列IXP-2XXX网络处理器都可拆分为『控制管道』(Control Plane)及『数据管道』(Data Plane)两大部分。参考图一 IXP-2400网络处理器,它内建一颗600MHz 32-bit XScale来负责Control Plane的处理工作,XScale执行相当底层的控制工作,包括信息传送,还有跟系统内其它处理器的沟通。Data Plane则由内建的八颗微处理引擎(Micro-Engine Version 2, MEv2)来做平行处理,MEv2是XScale精简下来的 (Reduced) 可程序处理器,使用者可用Micro-Code汇编语言或是高端Micro-C语言撰写应用程序,透过指令告诉这八颗MEv2怎样处理封包运算,以达到应用目的。
图一:IXP-2400的外部接口
图一是IXP-2400示意图外观,它有两个信道的QDR SRAM接口,存放重要的数据结构,比如:Route Tables, Free Buffer Pools,Flow State Tables,Queue Descriptors等等重要的信息,其中一个信道还可以接一颗协处理器,做TCP/IP封包比对时的内存搜寻引擎,加速决定封包的协议属性跟流向(Flow)。DDR DRAM则用来储存封包以及大量的State tables,另外C-bus接口可以连接第二颗处理器,这是采用一进一出架构的双处理器设计时用的。
图二:IXP-2400功能单元及数据信道
图三:Intel IXA 可携式软件架构
图五 ADLINK cPCI-6240系列网络安全平台
网络安全系统内最关键性的功能可以说是封包表头辨识(Classification)及内容检查(Content Inspection),表头辨识是针对其流向、连结、输入端口及目的地址等做比对;内容检查则有复杂的算法,处理带宽及内存容量需求极高,很显然内容检查即将是此系统非常严重的交通瓶颈所在,这个运算将耗用大量IXP-2400网络处理器的运算资源。因此必须采用另一颗处理器卸载此运算,有两种方法可行,其一是如图四:加入一颗可编程内容检查引擎(Programmable CIE, Content Inspection Engine),比如IDT PAX.port 2500 CIE;或是在封包经网络处理器集结成较大封包后,进入一张专属内容检查的高速运算服务器,比如ADLINK cPCI-6860 Dual-Xeon Server Blade。加CIE的做法可以卸载95% 的MicroEngine资源使用量,删除掉85%的MicroCode,同时削减75%内存带宽使用量,成本可大大节省,TTM(Time to Market)时间可以显著缩减。加一张专属服务器则维持旧有软件延续使用,节省软件开发的时间及人力成本,两者各有优点,但是CIE是纯硬件运算所以效率较好,从长远角度看应会成为较受欢迎的选择。
网络处理器的时代已经来临,它可以有效解决网络交通拥塞的问题,也可以处理复杂的封包运算。无论如何,Inetel IXA架构已经正确的跨出第一步,接下来就须要更多的平台设计者投入开发工作,以及更多的应用开发者投入资源,发展软件程序,逐步建立完整的可携式Microblocks。网络兴起、带宽加速拓展,使整个网络通讯的市场板块不断的在调整、挪动,凌华科技与Intel合作,共同推广IXP-2XXX网络处理器的应用,希望能有抛砖引玉之效。
凌华科技公司供稿 CTI论坛编辑
相关阅读:
