什么是NP
NP是Network Processor的縮寫,意為網(wǎng)絡(luò)處理器。根據(jù)“國(guó)際網(wǎng)絡(luò)處理器會(huì)議”的定義:網(wǎng)絡(luò)處理器是一種可編程器件,它特定地應(yīng)用于通信領(lǐng)域的各種任務(wù),比如包處理、協(xié)議分析、路由查找、防火墻、QoS等。
網(wǎng)絡(luò)處理器器件內(nèi)部通常由若干個(gè)微碼處理器和若干硬件協(xié)處理器組成,且多個(gè)微碼處理器在NP內(nèi)部并行處理,通過(guò)預(yù)先編制的微碼來(lái)控制處理流程。對(duì)于某些復(fù)雜的標(biāo)準(zhǔn)操作,如內(nèi)存操作、路由表查找算法、QoS的擁塞控制算法、流量調(diào)度算法等,則采用硬件協(xié)處理器來(lái)進(jìn)一步提高處理性能,從而實(shí)現(xiàn)了業(yè)務(wù)靈活性和高性能的有機(jī)結(jié)合。
NP的多種產(chǎn)品形態(tài)
目前NP主要用于網(wǎng)絡(luò)骨干設(shè)備和網(wǎng)絡(luò)接入設(shè)備,用來(lái)開(kāi)發(fā)從網(wǎng)絡(luò)第2層到第7層的各種服務(wù)和應(yīng)用。目前,采用NP處理分組交換的廠家,既有第一梯隊(duì)的網(wǎng)絡(luò)公司,如思科、北電和朗訊等,也有不少后起之秀,如華為、中興、港灣等。但是,其NP用途卻不盡相同:思科寬帶匯聚系列產(chǎn)品使用了思科的并行快速轉(zhuǎn)發(fā)(PXF)NP,它被業(yè)內(nèi)稱為“NP的鼻祖”;華為在“第五代路由器”NE80/40/20系列產(chǎn)品中全面采用了NP;港灣的高端路由器、核心交換機(jī),如NetHammer G系列采用了NP相關(guān)技術(shù);UT斯達(dá)康公司選擇了Motorola的NP作為幾項(xiàng)3G無(wú)線接入網(wǎng)產(chǎn)品的封包轉(zhuǎn)發(fā)引擎……
哪種NP技術(shù)更適合防火墻
我們不難了解,由于各廠商所專注的NP技術(shù)領(lǐng)域不同,決定了NP產(chǎn)品之間的差異。目前,國(guó)內(nèi)多數(shù)安全廠商在NP技術(shù)上大都選擇了IBM或Intel的NP技術(shù)。其實(shí),具體選用哪種NP技術(shù)開(kāi)發(fā)防火墻,因素有很多,包括所選NP技術(shù)的性能和成熟度、提供NP技術(shù)的廠商實(shí)力和重視程度,以及NP技術(shù)廠商可提供的支持力度及價(jià)格。
IBM研發(fā)的Power NP系列芯片不僅支持多線程,且每個(gè)線程都有充足的指令空間,在一個(gè)線程里完成防火墻功能綽綽有余。其系列產(chǎn)品中,以NP4GS3為代表,該芯片最高端口速率可達(dá)OC-48,并具有4.5Mbps的報(bào)文處理能力和最大4G的端口容量,并且,其擁有IBM創(chuàng)新的帶寬分配技術(shù)(BAT),是進(jìn)行下一代系統(tǒng)設(shè)計(jì)的強(qiáng)大部件。而且,IBM還為開(kāi)發(fā)者提供了軟件架構(gòu)的解決方案和仿真平臺(tái),大大縮短了開(kāi)發(fā)難度和周期。目前,已經(jīng)有不少?gòu)S家采用IBM的芯片開(kāi)發(fā)高端防火墻產(chǎn)品,如聯(lián)想網(wǎng)御于2003年10月推出了國(guó)內(nèi)第一款基于NP技術(shù)的千兆線速防火墻;2005年,在解決了多項(xiàng)基于多NP協(xié)同工作的技術(shù)難題的基礎(chǔ)上,聯(lián)想網(wǎng)御成功推出了萬(wàn)兆級(jí)的超性能防火墻。
Intel推出的IXP2000系列芯片支持微碼開(kāi)發(fā),在性能上有了長(zhǎng)足的提高,如IXP2400理論上最多可支持2.5Gbps的應(yīng)用,IXP2800則支持10Gbps以上的應(yīng)用。其SDK開(kāi)發(fā)包一般功能十分齊全,模塊化很好,便于開(kāi)發(fā)人員控制。不足的是,IXP2400每個(gè)微引擎僅能存儲(chǔ)4k*32位的指令,比較適合開(kāi)發(fā)路由器和交換機(jī)這類產(chǎn)品;IXP2800每個(gè)微引擎能存儲(chǔ)8k*32位的指令,基本可以滿足防火墻功能開(kāi)發(fā)的需要,但是,由于其性能提高帶來(lái)了產(chǎn)品設(shè)計(jì)與應(yīng)用復(fù)雜度的成倍提高,造成價(jià)格十分昂貴。此外,該系列產(chǎn)品的硬件查表功能比較弱,這對(duì)于防火墻這類需要大量查表操作的設(shè)備來(lái)講,是致命的弱點(diǎn)。
NP防火墻將大步前行
隨著新一代網(wǎng)絡(luò)的繼續(xù)發(fā)展,NP將更加倚重線速、智能化的包處理技術(shù),而不僅僅是簡(jiǎn)單的基本性能,NP技術(shù)的發(fā)展將直接影響到NP防火墻的發(fā)展。據(jù)業(yè)內(nèi)專家調(diào)查分析,NP技術(shù)將向著更高的性能、更多功能支持、多種技術(shù)并存和標(biāo)準(zhǔn)化等特征發(fā)展,基于NP的防火墻產(chǎn)品將隨著NP的發(fā)展大步前行。
更高的性能
五年來(lái),網(wǎng)絡(luò)的傳輸速度每年翻一番,幾年前的主干網(wǎng)速度是155Mb/s,現(xiàn)在已經(jīng)到了10Gb/s,兩到三年內(nèi)又會(huì)提高到40Gb/s,網(wǎng)絡(luò)處理器也必須滿足這種變化。NP性能的提高,將直接推動(dòng)防火墻性能的提高。
更多的功能支持
隨著網(wǎng)絡(luò)處理器在更多領(lǐng)域中的應(yīng)用,網(wǎng)絡(luò)處理器必須具有更多的功能支持,如深度內(nèi)容處理和IPV6協(xié)議識(shí)別,以能適應(yīng)防火墻等安全設(shè)備的需求。
多種技術(shù)并存
NP不是萬(wàn)能的,它并不會(huì)完全取代通用處理器和ASIC在網(wǎng)絡(luò)設(shè)備中的應(yīng)用。在對(duì)處理性能需求很高的高端設(shè)備中,ASIC仍然具有很強(qiáng)的生命力,可以預(yù)見(jiàn)的是,在數(shù)據(jù)層面、控制層面和管理層,通用處理器、NP和ASIC將各司其職,共同為防火墻應(yīng)用提供靈活的服務(wù)。
實(shí)現(xiàn)標(biāo)準(zhǔn)化
NP技術(shù)的開(kāi)發(fā)與應(yīng)用直接促成了網(wǎng)絡(luò)處理器論壇(NPF)的誕生。NPF的成立,將進(jìn)一步推動(dòng)NP的發(fā)展,實(shí)現(xiàn)標(biāo)準(zhǔn)化,解決產(chǎn)品互連互通和軟件可移植性等問(wèn)題。
涌現(xiàn)龐大的第三方開(kāi)發(fā)隊(duì)伍
隨著標(biāo)準(zhǔn)化工作的深入,再加上網(wǎng)絡(luò)處理器本身具有模塊化結(jié)構(gòu)的特點(diǎn),將涌現(xiàn)出一支龐大的第三方隊(duì)伍,在硬件組件、NP操作系統(tǒng)、開(kāi)發(fā)工具、軟件應(yīng)用等方面努力。
總之,防火墻技術(shù)與NP技術(shù)開(kāi)始緊密地聯(lián)系在一起,NP技術(shù)的變革將推動(dòng)防火墻技術(shù)向著更高性能、更多功能以及標(biāo)準(zhǔn)化的方向發(fā)展。
附表 主要NP技術(shù)的比較
