设为首页收藏本站

新微赢技术网

 找回密码
 注册
搜索
热搜: 回贴
查看: 7972|回复: 1
打印 上一主题 下一主题

网络处理器的“安全”未来

[复制链接]
跳转到指定楼层
1#
发表于 2009-12-2 00:12:09 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
历史与定位
  最早提出网络处理器开发的时间是1997年,正式商用芯片于2000年面世。
  据国际网络处理器大会的定义:网络处理器是一种应用于特定通信领域的任务,如包处理、协议分析、路由查找、声音/数据的汇聚等的可编程器件。目前,比较典型的产品有Marvell(Intel)公司的IXP1200系列、IXP2400系列和IXP2800系列和Freescale(motorola)公司的C-5、Cisco公司的Toaster 2、Hifn(IBM)的NP 3G4S等。
  目前,NP 在网络系统总体结构中的角色包括:替代一个传统的CPU;附加在一个传统的CPU 上,由NP 完成特殊的任务;在网络接口卡的输入通路上,承担入口分组处理任务;在网络接口卡与交换矩阵之间作为网络接口卡和交换矩阵的中介;在交换矩阵和输出接口之间控制输出端口的访问;在网络接口卡的输出通路上承担出口分组处理任务;像其它端口一样连接在交换矩阵上作为一个中间站。
  从上述网络处理器的主要应用定位来看,可以看到NP的位置基本是处于网络的边沿。
  由于网络处理器是个复杂的器件,可能用于多种目的,因此设计NP面临着可编程性和处理速度、速度和功能、性能/数据速率、包速率和包的突发性的综合考虑、协处理器设计等各种挑战,这些挑战直接导致了现阶段NP的不成熟和相对有限的应用范围。
千兆安全力不从心
  现在用于安全的NP比较有代表性的是Hifn 的 4GS3和Marvell的 IXP2400。4GS3和IXP2400技术侧重点有所不同,前者侧重于2~3层的数据转发,主要面向路由器设计,并保留着一部分ASIC特性;而IXP2400面向的层次更多一些,更灵活一些。
  在国际NP技术论坛进行的一些性能基准测试中,IXP2400在MPLS VPN、IPv6数据包处理以及其他方面比NP4GS3有出色的性能表现。采用NP4GS3芯片千兆高端防火墙更多倾向于2~ 3层的数据转发,主要面向路由功能设计。作为防火墙的应用不仅要关注数据转发的性能,同时也要考虑兼顾分片报文重组,NAT,QoS,ARP处理,深度检测等能力。可以说NP4GS3芯片在防火墙应用方面的扩展有一定的局限性,而且目前还没有下一代产品的更新计划。
  在防火墙的性能方面,尽管NP4GS3和IXP2400的芯片可以使防火墙的数据包在纯粹转发性能上非常优秀,但是在每秒新建连接数这个环节和传统的x86构架的防火墙会有两倍以上的差距!
由此我们可以看到,网络处理器是性能与灵活性的一种折中,在不是十分复杂的高速网络应用中,网络处理器是比较适合的。网络处理器比较专注于2~ 4层数据转发,因此比较适合做网络设备的接入部分,这也是NP的发展方向。
  NP技术其优势在于网络底层数据的转发和处理,但如果要实现安全策略的控制和审核,特别是对于应用层的深度控制方面还需要做大量的研发工作,从现在的发展来看,今后3到5年内NP依然不适合千兆网络安全。当然,作为路由加速的NP肯定会与通用CPU、ASIC等技术长期共存,其技术也会进一步发展,我们相信,网络处理器必将开拓一片新的蓝海。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

申请友链|小黑屋|最新主题|手机版|新微赢技术网 ( 苏ICP备08020429号 )  

GMT+8, 2024-11-19 11:18 , Processed in 0.087216 second(s), 9 queries , Gzip On, Memcache On.

Powered by xuexi

© 2001-2013 HaiAn.Com.Cn Inc. 寰耽

快速回复 返回顶部 返回列表