| 出版日期:2003-02-24 总期号:1192 本年期号:11 |
|
 |
NP为网络安全加速
上海广电应确信陈博士 网络安全讲坛(八十四) 陈长松 网络处理器(Network Processor,简称NP)是一种可编程的设备(比较典型的是一种芯片),它经过专门设计和高度优化来完成各种网络功能。如今,它被认为是推动下一代网络发展的一项核心技术,并开始越来越多地受到业界的关注。 在网络发展初期,网络传输速率比较低,数据流量比较小,这个时期的网络设备一般是基于CPU的,即通过在CPU上运行相关软件来实现各种网络功能。其好处是具有很高的灵活性,只要通过更新软件,就可以很方便地完善原有功能或加入新的功能和服务特性。但其缺点也是很明显的,CPU除了要处理日常系统运算之外,还要处理网络应用的运算,因此,网络应用的处理速度往往就因为CPU的瓶颈而显得跟不上线路的传输速度和端口吞吐率。这一现象在包含大量复杂计算的网络安全应用中显得尤为明显,而且这一矛盾随着宽带网络和千兆网的广泛应用显得日益突出。 在这种情况下,高端网络设备开始更多地采用ASIC(Application Specific Integrated Circuit,特定用途集成电路)技术。ASIC通过把指令或计算逻辑固化到硬件中,可以获得很高的处理速度,因而能够很好地满足网络设备对性能的要求。然而,ASIC最大的缺点是缺乏灵活性,一旦指令或计算逻辑固化到硬件中,就很难修改升级、增加新的功能或提高性能,使得资源重用率很低。而且,ASIC的设计和制造周期长,研发费用高,也使得ASIC很难应对瞬息万变的网络新应用。 网络处理器则通过良好的体系结构设计和专门针对网络处理优化的部件,为上层提供了一个可编程控制的环境,可以很好地解决硬件加速和软件可扩展的折衷问题。一方面,网络处理器独立于CPU之外,是专门为进行网络分组处理而开发的,具有优化的体系结构和指令集,因此它比CPU有着更高的处理性能,能够满足网络高速发展的需求。另一方面,它具有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够很方便地开发各种应用,支持可扩展的服务,从而能够很好地满足网络业务多样化的发展趋势,比ASIC更灵活地应对日益更新的网络需求。 因此,国内外的许多公司和大学纷纷投入力量展开了对网络处理器的相关研究,并将其用于中高端网络设备之中,尤其是用在包含大量复杂运算的网络安全设备中,处理诸如加、解密或者安全策略匹配等核心计算。 上海广电应确信有限公司(www.svanetworks.com)作为一家专业的网络安全设备厂商,不断致力于网络安全前沿技术的研究和高端产品开发,也正对NP进行深入的研究。SVA近日即将推出的新一代中高端防火墙将全面使用网络处理器,将具有更加优越的性能。 |
||||||||||||||||||||||||||||
