1、网络处理器及在网络安全中的应用,网络处理器特性,可编程性-programable ; 简单的编程模式 simple programming mode; 最大化系统灵活性 maximizing the systems flexibilities; 高处理能力 high performance; 高度功能集成 highly functionally integration; 开放的编程接口 open programming interface; 第三方支持能力 third supporting; David Husak 认为-,网络处理器的分类,全编程型 代表厂家为Intel、Cognigine
2、; 优点是灵活性强 ; 缺点是比较复杂,熟练掌握有难度 ; 流水并行处理型 代表厂家Agere和Ezchip 优点是实现数据层面功能比较简单 ;,网络处理器的分类,固定功能型 代表厂家AMCC ; 缺少灵活性,但效率高、易于实现 ; 多核通用处理SOC型 代表厂家是Broadcom 公司 ; 优点是灵活性强 ,便于掌握; 需要结合硬件进行系统优化;,IBM NP4GS3,遵循PowerNP体系 ; EPC(Embedded Processor complex ) 指令存储器 ; MAC ; Fabric接口 ; 固定功能逻辑 ; 16个picoprocessor; 多个加速器件 ; Power
3、PC 405处理器 ; 线程切换和包处理模式具有创造性 ; 2001年度“Microprocessor Report Analysts Choice Award ”,IBM NP4GS3,基于P4GS3的清晰的产品开发流程; 各种加速逻辑可以通过编写代码来整合 ; 提供了丰富的API和工具 ; 编制了详实的技术指导文档 ;,IXP2400/2800,内部包含一个通用600Mhz xscale RISC核; 初始化和管理层面的工作由xscale负责 ; 内部集成了8个微引擎(Microengine); 照四个一组分为两组 ; 每个微引擎可以启动多个线程 ; 微引擎可容纳4096条指令 ,每条指令
4、40比特宽,并通过校验防止错误 ; 硬件实现CRC校验、随机数发生器、乘法器和计时器功能 ;,IXP2400/2800,提供大量专用和通用寄存器、Hash逻辑 ; 拥有两个QDR SRAM接口 ; 通用内存控制器支持DDR DRAM,最大容量达1Gb ; 内嵌MSF(Media and Switch Fabric)接口 ; IXP2800微引擎增加到16个 ,并增加了加解密硬件 ;,BCM1250/1255/1280,集成三个10/100/1000兆以太MAC ; 双内存访问通道,带宽最高可达50Gbps ; HyperTransport高速端口能提供19.2Gbps的通讯能力 ; 1GHz条
5、件下,两个MIPS核具有4000MIPS或10Mpps的处理能力 ; 双核支持非对称配置; 面向网络分组处理优化的内部ZBus总线;,当前网络面临的挑战,带宽需求迅猛增长; 网络服务从简单的浏览到多媒体等高层次、交互式服务; 通用处理器的处理能力的增长远远不能满足数据层面的要求; 异构网络、多种接口形式; 性能、灵活性、兼容性; 快速开发和生存期延长的要求;,网络安全面临的挑战,个人的私密信息由于网络问题被泄漏; 各种关键数据的完整性受到来自网络内部、外部的威胁,如金融、证券等行业的交易数据; 网络中用户的身份鉴别问题; 网络服务和应用的授权问题; 网络活动的不合否认问题; 特定服务的有效性;
6、,网络安全产品,百兆、千兆防火墙设备 IDS系统; VPN软件、芯片和设备; 加解密软件、芯片和设备; 路由器、交换机和多服务接入设备等; 认证设备或系统;,网络处理的层次,数据层面 控制层面 管理层面,防火墙发展阶段,访问控制列表(Access control lists) 应用代理软件(Application proxies) 状态检测(Stateful inspection) 深度包检测,深度包检测,面向应用 面向数据流 需要进行特征匹配 甚至一个字节一个字节的匹配;防火墙需要在特征匹配方面具有高性能!,IDS产品的发展方向,降低漏报率和误报率; 协议分析 异常分析,安全功能和通用网络设
7、备的融合,VPN 加解密卡和认证系统 防火墙和IDS结合 面向路由器端口的防火墙应用; 防病毒墙 带有路由或交换功能的防火墙;,包处理流程,包分类的基本算法,Recursive Flow Classification Hierarchical tries Set-pruning tries Grid of tries Area-based quadtree(AQT) Hierachical intelligent cutting (HiCuts) *Fat inverted segment tree(FIST) Bitmap-Intersection Tuple space search,参考
8、 Xuehong Sun IP address lookup and packet classification,Algorithm Time Storage Linear search N(1000) *N(1000) *Ternary CAM *1 *N(1000) Hierarchical tries Wd(107) *NdW(105) Set-pruning tries *dW(100) Nd(1015) Grid-of-tries W(d-1)(106) *NdW(105) Cross-producting *dW(100) Nd(1015) *FIS-tree *(l+1)W(10
9、0) *lN(1+1/l)(104) RFC *d(5) Nd(1015) *Bitmap-intersection *d/W+N/men(100) *dN2(106) HiCuts *d(5) Nd(1015) Tuple space search N(1000) *N(1000),包分类的基本算法,N-prefix length;d-dimension;W-address length N=1000;d=5;w=32,包分类协处理器 IDT PAX.port 1200,不同应用的复杂度,功能对网络处理能力的要求,假设系统吞吐量为1.2Gb/s(其余的数据见表1), RTR 所需要的运算量为
10、1.2/8*2.1=315 MIPS, CAST 需要的运算量为1.2/8*104=15 600 MIPS. 网络处理器中单个处理元的处理能力仅为1500MIPS 左右, IBM 的NP2G 为1 596MPIS、 Intel的IXP1200 为1 396MIPS. 系统负载处理的开销是相当庞大的,并且处理的层次越高,开销越大.,摘自:谭章熹的网络处理器的分析与研究,需要什么样的处理器?,IA-32服务器型 P3,P4; XScale(ARM) 425,1200,2400 Motorola C5 AMCC nP7510 IBM NP4GS3 Broadcom 1250,State packet
11、 filter,NAT/PAT,Load Balance,AAA,HA,代理,IPS,硬件平台,VPN,网络处理器在安全领域应用的策略,主要承担数据层面的工作; 发挥多核优势,以流水和并行的方式处理数据包; 协调多核操作,优化调度策略; 将计算密集型的操作转移到协处理器上完成; 协调DMA和包处理过程;,性能瓶颈,CPUDDR SDRAM; P4-i875P-DDR 3.2GB/s Sb1-DDR 6.4GB/s EthernetDDR SDRAM/SRAM; DMA-i875P-DDR-L2; DMA-L2; DMA-SRAM-Register; InterBus(I/O Hub ZBus) Coordination (MEs , ARM),网络处理器参考框架,网络处理器应用的案例,NPFW1000防火墙硬件平台,
