複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/網絡處理器/5811988
複製
複製成功

網絡處理器

鎖定
網絡處理器(Network Processor,簡稱NP),根據國際網絡處理器會議(Network Processors Conference)的定義:網絡處理器是一種可編程器件,它特定的應用於通信領域的各種任務,比如包處理、協議分析路由查找、聲音/數據的匯聚、防火牆QoS等。
中文名
網絡處理器
外文名
Network Processor
簡    稱
NP
定    義
一種可編程器件
主要分類
Intel、SiByte

目錄

  1. 1 NP技術
  2. 2 優點
  3. 3 產品特點
  4. 4 主要分類
  5. 5 芯片廠家

網絡處理器NP技術

網絡處理器器件內部通常由若干個微碼處理器和若干硬件協處理器組成,多個微碼處理器在網絡處理器內部並行處理,通過預先編制的微碼來控制處理流程。而對於一些複雜的標準操作(如內存操作、路由表查找算法QoS擁塞控制算法、流量調度算法等)則採用硬件協處理器來進一步提高處理性能,從而實現了業務靈活性和高性能的有機結合。

網絡處理器優點

X86
基於X86架構防火牆,由於CPU處理能力和PCI總線速度的制約 ,在實際應用中,尤其在小包情況下,這種結構的千兆防火牆遠遠達不到千兆的轉發速度(64字節包長時,雙向轉發速率一般為百分之二十以下),難以滿足千兆骨幹網絡的應用要求。
採用NP架構的防火牆,各種算法可以通過硬件實現 ,在實現複雜的擁塞管理、隊列調度、流分類和QoS功能的前提下,還可以達到極高的查找、轉發性能,實現“硬轉發”。
ASIC
純硬件的ASIC防火牆缺乏可編程性,這使得它缺乏靈活性從而跟不上防火牆功能的快速發展。雖然現代的ASIC技術提高了可編程性,但從開發難度、開發成本和開發週期方面看,仍然困難重重。
NP完全支持編程,編程模式簡單,一旦有新的技術或者需求出現,可以很方便地通過微碼編程進行實現。提供了更快的技術、功能跟進和更加靈活的擴展能力,特別是在新規格、新標準的支持上 。
網絡處理器(NP)是專門為處理數據包而設計的可編程處理器,能夠直接完成網絡數據處理的一般性任務。硬件體系結構大多采用高速的接口技術和總線規範,具有較高的I/O能力,包處理能力得到了很大提升。網絡處理器一般具有以下特點:

網絡處理器產品特點

並行處理器: 採用多內核並行處理器結構。片內處理器按任務大致分為核心處理器和轉發引擎。
● 專用硬件協處理器: 對要求高速處理的通用功能模塊採用專用硬件實現以提高系統性能。
● 專用指令集: 轉發引擎通常採用專用的精簡指令集,並針對網絡協議處理特點優化。
● 分級存儲器組織: NP存儲器一般包含多種不同性能的存儲結構,對數據進行分類存儲以適應不同的應用目的。
● 高速I/O接口: NP具有豐富的高速I/O接口,包括物理鏈路接口、交換接口、存儲器接口、PCI總線接口等。通過內部高速總線連接在一起,提供很強的硬件並行處理能力。
可擴展性: 多個NP之間還可以互連,構成網絡處理器簇,以支持更為大型高速的網絡處理。 從網絡處理器以上特點可以看出,與通用處理器相比,網絡處理器在網絡分組數據處理上具有明顯的優勢。

網絡處理器主要分類

NP芯片都是由國外廠商設計製造的,從體系結構上主要分為兩大類:
Intel
一類是以Intel 的IXP系列產品為代表,分為控制和處理(或稱數據)兩個平面。如Intel公司的IXP1200,控制平面是一個ARM CORE,負責維護系統信息和協調處理部分工作,處理平面由多個微引擎(Micro Engine)和其他專用硬件組成,負責利用控制平面下發的微代碼和命令,直接處理網絡數據。這類產品在對數據包進行簡單過濾時性能較好,但是由於體系結構限制,尤其是微代碼的開發相對複雜,導致靈活性較差,難以滿足複雜多變的市場需求,一般適合3層(IP層)及以下網絡數據的處理。
SiByte
另一類產品以 SiByte的Mercurian系列產品為代表,它基於MIPS CPU設計,如SB1250。它一方面保持了基於通用CPU設計的靈活性,另一方面通過SOC(System On Chip)的方式消除了傳統CPU、總線、設備之間帶寬的瓶頸問題。這類產品靈活性較強,易於開發、升級和維護,適於構建速度可與專用ASIC相媲美的、完全可編程的網絡處理平台。

網絡處理器芯片廠家

提供NP芯片的廠家有很多,基本上都符合NPF指定的規範。國內使用比較廣泛的則是Intel公司的 IXP xxx系列,主要包括IXP4xx、IXP12xx、IXP24xx、IXP28xx等。
IXP系列NP處理器從體系結構上看基本上都一樣,都是由一個RISC處理器加一個微引擎構成的。其中,RISC處理器主要用於控制微引擎的運行,所以又稱為控制層面;微引擎完成對網絡數據包的處理,以實現高性能,所以又稱為數據層面。不同IXP系列處理器的RISC型號和主頻不同,微引擎的個數也有所不同,在性能上也有很大差別。
IXP4xx 的市場定位主要在中低端市場,因此基於IXP4xx芯片做出的防火牆也主要定位在中低端市場中。這裏需要特別提一下IXP425,它內嵌了一個加密引擎,支持一些公開的密碼算法,如3DESAES、MD5、SHA1,因此,許多安全廠商會使用它生產低端的VPN或防火牆。不過,4xx系列芯片產品並不能進行微碼編程,而Intel預置的微碼又沒有完成FW/VPN的處理,使得該芯片所對應的產品對IP報文的處理要通過 533MHz的Xscale來處理的,因而在性能上並沒有什麼優勢。這可能也是一些國內廠商採取變產品不變價格的策略的原因。
IXP12xx 從12xx系列開始已經可以讓軟件開發人員根據不同的應用定製微引擎上的微碼,以實現不同的功能。不過由於IXP12xx其微引擎只有6個,每個微引擎上可以存儲條2k×32位的指令,所以該系列NP芯片只能用來做簡單的包轉發處理和QoS處理,如果用作較為複雜的防火牆處理則會顯得力不從心了。因此,基於該系列NP芯片的防火牆要麼性能不高,要麼功能簡單。
IXP24xx 從2003年開始,Intel公司推出了IXP24xx系列的網絡處理器,它在性能上有了質的變化,開發起來也要複雜得多。使用它們做出的防火牆可能在單純包轉發上到達線速。
IXP28xx IXP28xx的NP處理器從性能上比IXP24XX的性能又增加了很大,單從芯片的性能指標上看,IXP28xx比IXP24xx更有可能做出千兆線速的網絡安全設備。不過,由於IXP2800板卡的設計要比IXP2400板卡設計要更加複雜,市場上還沒有能夠支持它得工板。
國內有不少廠商推出了低端基於INTEL IXP 425芯片的NP防火牆,面向百兆級用户。但NP最大的優點在於在高端,425芯片百兆上的處理能力沒有同級別X86防火牆性能高。具體可以參考 INTEL官方網站的425芯片的技術白皮書規格。而基於2400芯片的高端NP產品代表了業界的最高性能。國內最先推出的神州數碼DCFW-1800E -NP產品在千兆環境下的小包雙向吞吐率可以達到93%以上,真正的實現了骨幹網絡的高速安全。