《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 16核引領(lǐng)萬兆UTM突破性能瓶頸
16核引領(lǐng)萬兆UTM突破性能瓶頸
來源:啟明星辰
作者:VENUS
摘要: 啟明星辰公司的天清漢馬USG-10000E一體化安全網(wǎng)關(guān)正式通過該國家級權(quán)威測評,,成為國內(nèi)第一款通過該測評的萬兆級UTM產(chǎn)品,。
Abstract:
Key words :

啟明星辰公司的天清漢馬USG-10000E一體化安全網(wǎng)關(guān)正式通過該國家級權(quán)威測評,成為國內(nèi)第一款通過該測評的萬兆級UTM產(chǎn)品,。

作為網(wǎng)關(guān)安全設(shè)備的發(fā)展方向,,UTM集防火墻,、 VPN、AV,、IPS等多種功能于一身,,在國內(nèi)的應(yīng)用已越來越普遍。隨著啟明星辰本次通過萬兆UTM測評,,過去質(zhì)疑UTM高端應(yīng)用性能不足的說法已經(jīng)成為歷史,。萬兆UTM出現(xiàn),無疑會將UTM應(yīng)用帶入嶄新的時代,。那么,,萬兆UTM究竟如何才能突破性能瓶頸,滿足高端應(yīng)用呢?
帶著興奮和好奇,,記者采訪了啟明星辰從事萬兆UTM的系統(tǒng)設(shè)計人員,,專家告訴記者,滿足萬兆UTM應(yīng)用的關(guān)鍵在于16核多核技術(shù)的運(yùn)用,。
高性能的SOC多核硬件平臺
UTM產(chǎn)品具有3大技術(shù)特點(diǎn):吞吐密集,、運(yùn)算密集、應(yīng)用層特性匹配密集,。這3大特點(diǎn)對硬件平臺提出了極大的挑戰(zhàn),,也正是基于此,UTM過去飽嘗性能瓶頸之苦,,如:在X86架構(gòu)下,,UTM受制于總線帶寬普遍無法實(shí)現(xiàn)千兆線速;開啟AV、IPS功能后,,CPU占用率大幅升高,,整機(jī)性能通常下降80%以上。
綜合考慮了這些問題之后,,啟明星辰經(jīng)過詳細(xì)的技術(shù)調(diào)研,、產(chǎn)品預(yù)研,最終選擇了基于Cavium公司16核CPU的硬件平臺承載萬兆UTM應(yīng)用。單就 CPU核數(shù)而言,,是X86 CPU的4倍以上,。并且,Cavium公司OCTEON系列多核芯片,,專為UTM等安全產(chǎn)品的應(yīng)用量身內(nèi)置了一系列專用硬件,,使得最終構(gòu)建出的產(chǎn)品在性能、穩(wěn)定性上很容易實(shí)現(xiàn)電信級標(biāo)準(zhǔn),。
據(jù)介紹,,Cavium的16核CPU采用了"軟件硬件化"的設(shè)計理念,在CPU片內(nèi)集成了DFA,、包收發(fā)模塊等專用硬件,,從而提升硬件平臺的整體性能。如圖1所示:
 
16核引領(lǐng)萬兆UTM突破性能瓶頸
下面我們從帶寬,、收發(fā)包模塊,、包處理指令集等方面來分別了解一下這一硬件平臺。
高總線帶寬:高達(dá)640Gbps的內(nèi)部總線帶寬,,是Intel 4核CPU的6倍!就好像一條是雙向六車道的高速公路,,而另一條只是單車道的普通公路,在基礎(chǔ)設(shè)施層面便已立分高下,。
硬件收發(fā)包模塊:芯片內(nèi)集成了硬件收發(fā)包模塊,、千兆/萬兆等的線速接口器件,與總線直連,,充分保障各業(yè)務(wù)接口的線速性能,,并最大限度地減少了CPU在此方面的開銷。
集成內(nèi)存控制器:我們知道,,傳統(tǒng)X86架構(gòu)除CPU外,,尚需額外的北橋芯片、內(nèi)存控制器的配合才能實(shí)現(xiàn)內(nèi)存操作,,此部分往往成為整個平臺性能提升的瓶頸;而Cavium16核CPU片內(nèi)集成了內(nèi)存控制器,,且無需額外的北橋芯片,避免了內(nèi)存操作成為平臺性能提升的瓶頸,。
壓縮/解壓縮硬件引擎:AV業(yè)務(wù)需對進(jìn)出網(wǎng)關(guān)的文件進(jìn)行病毒掃描,,而很多文件是壓縮的、并且是多級壓縮,。對此類文件的掃描,,必須先將文件解壓縮后再進(jìn)行與病毒庫文件的匹配運(yùn)算。X86架構(gòu)下,,此項運(yùn)算都是由CPU進(jìn)行的,,極耗費(fèi)資源,,文件壓縮/解壓縮成為導(dǎo)致AV性能瓶頸的重要因素。 Cavium 16核CPU內(nèi)置一個專用壓縮/解壓縮硬件引擎,,用于AV文件的壓縮/解壓縮操作,,極大提高了AV業(yè)務(wù)的性能,,減輕了對CPU資源的消耗,。
專用包處理指令集: AV、IPS,、上網(wǎng)行為管理等業(yè)務(wù)主要做的是應(yīng)用層包處理,,運(yùn)算量大、運(yùn)算復(fù)雜,,并且需要進(jìn)行頻繁的業(yè)務(wù)調(diào)度與切換,,只能由CPU進(jìn)行處理,從而使CPU 成為性能提升的瓶頸之一,。Cavium 16核CPU創(chuàng)新的在每個CPU核內(nèi)集成了一個專門針對包處理應(yīng)用特點(diǎn)而開發(fā)的指令集,,可通過指令直接進(jìn)行位域操作、面向字節(jié)的操作等,,不必再像X86那樣靠多條指令實(shí)現(xiàn)一個功能,,結(jié)合RISC短指令集的效率優(yōu)勢,運(yùn)算效率整體提高了3倍,。
硬件DFA內(nèi)容匹配引擎:AV,、IPS等業(yè)務(wù)也是應(yīng)用層特性密集的業(yè)務(wù)。某種程度上,,UTM的性能就取決于產(chǎn)品對業(yè)務(wù)特征的匹配速度,。X86架構(gòu)下,CPU既需要進(jìn)行內(nèi)容匹配運(yùn)算,,又需要進(jìn)行設(shè)備的控制操作,、業(yè)務(wù)調(diào)度等,CPU負(fù)荷重并且效率低,。Cavium16核CPU針對此應(yīng)用特點(diǎn),,在片內(nèi)集成了一個硬件DFA內(nèi)容匹配引擎,直接對特征數(shù)據(jù)匹配進(jìn)行硬件運(yùn)算,,將匹配運(yùn)算結(jié)果交由CPU核進(jìn)一步處理,,這樣就極大提高了內(nèi)容匹配速度,減輕了對 CPU資源的消耗,。CPU從此不再成為AV,、IPS等業(yè)務(wù)的處理瓶頸。
多核軟件體系設(shè)計
在采訪中我們得知,,萬兆多核的軟件架構(gòu)設(shè)計與X86架構(gòu)下的設(shè)計完全不同,,無法進(jìn)行簡單的代碼移植,,必須配合硬件平臺進(jìn)行針對性的設(shè)計與優(yōu)化。啟明星辰為此全新設(shè)計了UTM專用的64位操作系統(tǒng),,這也是萬兆UTM產(chǎn)品化過程中工作難度最大,、工作量最多的部分。
我們首先遇到的難題就是性能不隨核數(shù)增長而線性增長的問題",,啟明星辰的專家告訴記者,。
據(jù)了解,在采用Cavium多核硬件平臺進(jìn)行了相應(yīng)的軟件開發(fā)后,,啟明星辰在萬兆UTM預(yù)研初期,,就實(shí)現(xiàn)了4核情況下3G的防火墻性能,但在隨后進(jìn)一步的研究中,,發(fā)現(xiàn)性能提升似乎到了極限,,隨著核數(shù)的提升性能并不相應(yīng)的線性增長。如圖2所示,,問題出在哪里呢?
 
16核引領(lǐng)萬兆UTM突破性能瓶頸
硬件平臺多達(dá)16個CPU核在同時進(jìn)行并行業(yè)務(wù)處理,,對各CPU核的業(yè)務(wù)調(diào)度與控制尤為重要。在傳統(tǒng)的X86架構(gòu)下的,,CPU最多4核,,對 CPU核的調(diào)度問題并不突出,而在16核情況下,,該問題便暴露出來,。為攻克此問題,啟明星辰集中了研發(fā)體系的所有優(yōu)勢資源,,成立了技術(shù)攻關(guān)小組,,并貫穿產(chǎn)品化始終,從挖掘硬件資源,、業(yè)務(wù)鎖等多個方向進(jìn)行優(yōu)化,,軟件人員與硬件驅(qū)動人員通力配合,共同尋找提高性能的途徑,,逐一優(yōu)化,,一個核一個核的攻。最終,,實(shí)現(xiàn)了業(yè)務(wù)性能的線性化增長,。隨著核數(shù)的增多,性能曲線基本保持線性增長的態(tài)勢,。
當(dāng)然,,在軟件體系架構(gòu)設(shè)計中遇到的大小問題還有很多,如:在持續(xù)引入新的業(yè)務(wù)新特性情況下,,如何保證性能不下降?產(chǎn)品的可調(diào)試性等等,。最終,,啟明星辰依靠研發(fā)技術(shù)優(yōu)勢,集中攻關(guān),,把這些問題逐一解決,,實(shí)現(xiàn)了高性能萬兆UTM的成功商用。
就全球應(yīng)用趨勢來看,,多核UTM已成為客戶在網(wǎng)關(guān)位置安全產(chǎn)品的首要選擇,。國際主流廠家Cisco、Juniper,、CheckPoint,、 WatchGuard、華為等均已全力投入UTM方向,,并且都選擇了Cavium多核作為硬件平臺,相繼發(fā)布了多核UTM產(chǎn)品,。啟明星辰作為中國UTM市場連續(xù)兩年份額第一的國內(nèi)廠家,,在2007年就選擇了Cavium多核方向投入研發(fā),并于2008年6月在國內(nèi)率先發(fā)布了高性能萬兆UTM平臺,。截至目前,,啟明星辰萬兆UTM產(chǎn)品已服務(wù)于多家大型企業(yè)、政府等單位的骨干節(jié)點(diǎn),,為客戶提供高性能的安全業(yè)務(wù)保障,。
我們看到,隨著啟明星辰天清漢馬萬兆UTM的成功應(yīng)用,,阻礙UTM發(fā)展的性能瓶頸問題已徹底解決,,相信中國UTM市場必將迎來新一輪的快速增長。
此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。