網絡處理器平臺之設計與應用

2019-11-03 19:24:00

字體：大中小

來源：轉載

供稿：網友

　　凌華科技通訊暨計算機產品事業部陳煒任
　　
　　摘要
　　
　　因特網、企業網絡等網絡應用的帶寬需求急劇上升，傳輸、檢查、拆分、組合、搜尋、內容比對、轉遞等ip封包運算處理動作，以往可以靠軟件程序在一般X86微處理器上完成，搭配以網卡做封包出入口。但是近年來這些封包的運算處理越來越復雜，將數據輸入處理單元，完成后再將結果送往輸出單元，慢速處理造成的時間延遲會嚴重影響到數據吞吐量，無法滿足Line Rate Operation的需求。Intel 公司提供的網絡處理器系列產品專門用來解決這樣的問題，IXP-4XX屬于較低端的系列，本文則集中探討IXP-2XXX系列高端網絡處理器，文中將以IXP-2400處理器在凌華科技cPCI-6240系列產品的設計為例做出說明。
　　
　　以下將先介紹IXP-2XXX處理器的功能特性，再探討處理器的平臺設計、應用開發，最后探討它在網絡安全領域的應用，以入侵檢測系統為實例做出說明。
　　
　　Intel IXP-2XXX 網絡處理器
　　
　　Intel XP-2XXX系列網絡處理器大致包含：IXP-2400、IXP-2800及IXP-2850，請參考表一的性能差異。除此之外，Intel還考慮比照了IXP-42X系列的做法，高度整合MACs等功能模塊，建造優異的性價比產品，使這一系列處理器的應用更普及化。

　　全系列IXP-2XXX網絡處理器都可拆分為『控制管道』(Control Plane)及『數據管道』(Data Plane)兩大部分。參考圖一 IXP-2400網絡處理器，它內建一顆600MHz 32-bit XScale來負責Control Plane的處理工作，XScale執行相當底層的控制工作，包括信息傳送，還有跟系統內其它處理器的溝通。Data Plane則由內建的八顆微處理引擎(Micro-Engine Version 2, MEv2)來做平行處理，MEv2是XScale精簡下來的 (Reduced) 可程序處理器，使用者可用Micro-Code匯編語言或是高端Micro-C語言撰寫應用程序，透過指令告訴這八顆MEv2怎樣處理封包運算，以達到應用目的。

　　

　　圖一是IXP-2400示意圖外觀，它有兩個信道的QDR SRAM接口，存放重要的數據結構，比如：Route Tables， Free Buffer Pools，Flow State Tables，Queue Descriptors等等重要的信息，其中一個信道還可以接一顆協處理器，做TCP/IP封包比對時的內存搜尋引擎，加速決定封包的協議屬性跟流向(Flow)。DDR DRAM則用來儲存封包以及大量的State tables，另外C-bus接口可以連接第二顆處理器，這是采用一進一出架構的雙處理器設計時用的。
　　
　　另兩個重要接口，一個是64-bit/66MHz PCI 2.2接口，作為Control Plane連通的Bus，可以透過此接口外掛控制處理器，像是PRPMC控制卡；另一個是Flash界面，是存取RedBoot的通道，Redboot相當于X86系統的BIOS；媒體及切換接口(Media and Switch Fabric Interface, MSF)是網絡封包進出處理器的主要途徑，視應用可以規劃為SPI-3、CSIX或是UTOPIA Level2接口。
　　
　　圖二是IXP-2400內部示意圖，內部的SHaC 是一個多功能控制單元，內含Hash單元，可以建立48-bit,64-bit或是128-bit寬的 Hash indices，XScale與MEv2可存取Hash來幫助Table的搜尋，特別是要搜尋的Keys很大時；第二個單元是16KB的Scratch Pad memory，這是處理器內第三個內存資源，XScale與MEv2可共同存取，三種內存資源可以讓海量存儲器存取同時間平行發生；第三個單元是Control and Status Register (CSR)，起到9顆處理器（1 * XScale + 8* MEv2）之間溝通的作用。
　　
　　除此之外，還有 XScale 外圍，包含中斷控制器、Timers, UART、GPIO等單元。在處理器內部，XScale、MEv2、DRAM Controller、SRAM Controller、T/R-Buffer之間透過 Chassis Bus，將 Data Plane 的路徑在處理器內部連通起來，這些控制單元可以共享 SRAM、DRAM 等內存資源做數據交換。

　　網絡處理器的『平臺設計』、『應用開發』
　　
　　(一) 平臺規劃、開發
　　
　　平臺規劃設計IXP-2XXX平臺首先要先為產品做準確的定位，定義平臺最終應用、帶寬需求、封包處理效能等級。若是想一半接到ATM網絡，則MSF接口有一半要規劃成Utopia Level 2接口，連接的ASIC像是Intel IXF-6012/6048 Cell/Packet Framer；若是要直接連IP網絡，則MSF接口規劃成SPI-3或是CSIX，連接像Intel IXF-1104 (Quad Giga-E MACs的ASIC)；或是接FIC(Fabric Interface Controller) 的ASIC。另外規劃時要全面考慮：Control Plane的處理效能、是否外掛輔助處理器、開機影像文件下載速度；Data Plane則須考慮SRAM大小、DRAM資源使用、是否須加密功能 (IXP-2850有)、是否外掛網絡搜尋加速器、是否外掛內容檢查加速器等、要多少個網絡接口。這些硬件規格要根據功能應用，做整體效能評估才行，在開案初期要審慎評估。
　　
　　平臺開發包括硬件、Redboot、系統支持套件(Board Supporting Package, BSP)，BSP內含組件驅動程序。其中硬件設計跟一般X86運算平臺沒什么兩樣，記得要預留軟件除錯端口，就像X86-CPU的 ITP Port一樣；Redboot則相當于X86 BIOS，系統初始化、自我測試、Boot Loader都包在Redboot內；Redboot及BSP可以藉由Intel IXA SDK得到幫忙，建立以XScale為處理核心的操作系統平臺，最后這三大要素即可建立一個完整的網絡處理器平臺。
　　
　　(二) 應用程序開發
　　
　　Intel 建立了IXA 軟件可攜式架構，讓今天花力氣辛辛苦苦在IXP-2400建立起來的軟件，明天在下一代IXP-2XXX仍然適用，而這個軟件架構可以簡單用圖三表示。
　　
　　應用程序的開發也可以藉由Intel IXA SDK得到幫忙，考慮到投資杠桿效應，Intel IXA軟件程序架構采用模塊化，SDK提供一些基本的microblocks，開發者再開發自有的microblocks，將這些microblocks視為基礎組件(Building Blocks)，去組合實現實際的功能應用，讓開發者的工作簡單化，也縮短TTM時間。

　　
　　網絡安全的需求
　　
　　據統計，2000年企業及政府部門遭受黑客(Hacker)攻擊的比率高達85%，而網絡安全的漏洞不是防止黑客入侵就解決了，其它像是遭窺探者竊取機密性數據，或是心懷不滿的員工蓄意破壞系統內重要檔案，警覺性不足的員工外泄重要密碼、不小心由Email引入計算機病毒等，都是威脅網絡安全的幾個危險因素。
　　
　　為了讓區域內網絡維持安全運作，建立一套安全防護網才是根本解決之道，較完整的防衛機制大概有三層：
　　
　?。ㄒ唬┨摂M私有網絡(VPN)
　　
　?。ǘ┓阑饓?Firewall)
　　
　?。ㄈ┤肭謾z測系統(Intrusion Detection System; IDS)。
　　
　　三種應用各有不同的系統規格需求，VPN 的系統需將信息全數打亂再丟到網絡上，透過加密機制在公開的網絡里建立起加密通道(Encrypted Tunnel)，接收端再解密取得真實信息，在浩瀚的因特網內建立起安全私密的虛擬局域網絡；Firewall則像大樓管理員，檢查來訪封包的通行許可證，包含檢查封包的來源、目的地、連接塊等字段，但是防火墻并沒有辦法擋掉所有的入侵者，此時就須要另一道防線IDS；IDS 就像網絡上的監控攝影機，可以分析流經的封包數據，偵測未經授權的行為，IDS大致區分為「網絡系統」跟「主機系統」兩類。基本上IDS需求的系統處理能力可以涵蓋VPN及Firewall的需求，因此接下來我們就以較復雜的IDS為例做IXP-2400的應用說明。
　　
　　入侵檢測系統的應用
　　
　　圖四是采用IXP-2400為核心建立的IDS系統結構圖，凌華采用IXP-2400內建的XScale去控制管理Control Plane的組件，內建的八顆MicroEngine去收送處理封包的分類及內容比對，處理Data Plane的運算。IXP-2400的QDR SRAM通道0也叫做LA-1(Look Aside Interface)接口，可以選擇接市面上現有的TCAM(Ternary Content Addressable Memory) 輔助處理器，幫忙做第三層以下封包數據搜尋比對的工作，幫IXP-2400處理器卸載(offload)一些運算負擔。

　　
　　網絡安全系統內最關鍵性的功能可以說是封包表頭辨識(Classification)及內容檢查(Content Inspection)，表頭辨識是針對其流向、連結、輸入端口及目的地址等做比對；內容檢查則有復雜的算法，處理帶寬及內存容量需求極高，很顯然內容檢查即將是此系統非常嚴重的交通瓶頸所在，這個運算將耗用大量IXP-2400網絡處理器的運算資源。因此必須采用另一顆處理器卸載此運算，有兩種方法可行，其一是如圖四：加入一顆可編程內容檢查引擎(Programmable CIE, Content Inspection Engine)，比如IDT PAX.port 2500 CIE；或是在封包經網絡處理器集結成較大封包后，進入一張專屬內容檢查的高速運算服務器，比如ADLINK cPCI-6860 Dual-Xeon Server Blade。加CIE的做法可以卸載95% 的MicroEngine資源使用量，刪除掉85%的MicroCode，同時削減75%內存帶寬使用量，成本可大大節省，TTM(Time to Market)時間可以顯著縮減。加一張專屬服務器則維持舊有軟件延續使用，節省軟件開發的時間及人力成本，兩者各有優點，但是CIE是純硬件運算所以效率較好，從長遠角度看應會成為較受歡迎的選擇。
　　
　　結論
　　
　　網絡處理器的時代已經來臨，它可以有效解決網絡交通擁塞的問題，也可以處理復雜的封包運算。無論如何，Inetel IXA架構已經正確的跨出第一步，接下來就須要更多的平臺設計者投入開發工作，以及更多的應用開發者投入資源，發展軟件程序，逐步建立完整的可攜式Microblocks。網絡興起、帶寬加速拓展，使整個網絡通訊的市場板塊不斷的在調整、挪動，凌華科技與Intel合作，共同推廣IXP-2XXX網絡處理器的應用，希望能有拋磚引玉之效。

　　由CHINA通信網組稿

上一篇：下一代網絡協議解析

下一篇：對SIP協議第三方呼叫控制的研究