Cavium OCTEON網(wǎng)絡(luò)處理器的安全性能
掃描二維碼
隨時(shí)隨地手機(jī)看文章
在通信網(wǎng)絡(luò)日益復(fù)雜,新業(yè)務(wù)大量涌現(xiàn)的形勢(shì)下,對(duì)網(wǎng)絡(luò)業(yè)務(wù)流量的控制能力和網(wǎng)絡(luò)安全也提出了更高的要求,而作為網(wǎng)絡(luò)設(shè)備核心單元的網(wǎng)絡(luò)服務(wù)處理器勢(shì)必面臨著更大的挑戰(zhàn)。一方面,越來(lái)越多的接入用戶以及越來(lái)越多樣化的業(yè)務(wù)需求使得各種網(wǎng)絡(luò)設(shè)備必須提供足夠的吞吐量;另一方面,由于網(wǎng)絡(luò)應(yīng)用不斷更新和變化,新業(yè)務(wù)不斷涌現(xiàn),這就要求服務(wù)提供商能快速地滿足用戶的需求,增多盈利模式,從而鞏固和提高競(jìng)爭(zhēng)力。因此,一種編程簡(jiǎn)單、針對(duì)市場(chǎng)需求升級(jí)容易、而且能提供強(qiáng)大吞吐量的新一代處理器產(chǎn)品及解決方案便成為市場(chǎng)追逐的焦點(diǎn)。
作為專(zhuān)注于在安全、智能網(wǎng)絡(luò)領(lǐng)域的全面芯片解決方案的領(lǐng)先供應(yīng)商,Cavium公司當(dāng)然懂得商機(jī)的價(jià)值,不失時(shí)機(jī)地推出了OCTEON處理器系列,為網(wǎng)絡(luò)、無(wú)線、控制和存儲(chǔ)等應(yīng)用提供高度集成化和低成本的64位計(jì)算的解決方案。依托其經(jīng)驗(yàn)豐富的高端微處理器設(shè)計(jì)團(tuán)隊(duì)及嵌入式系統(tǒng)和應(yīng)用軟件團(tuán)隊(duì),Cavium公司新推出的OCTEON處理器被廣泛地設(shè)計(jì)進(jìn)了各種網(wǎng)絡(luò)設(shè)備,包括路由器、交換機(jī)、統(tǒng)一威脅管理(UTM,Unified Threat Managment)設(shè)備、應(yīng)用認(rèn)知(Application-aware)網(wǎng)關(guān)、三網(wǎng)合一(Triple-play)網(wǎng)關(guān)、無(wú)線局域網(wǎng)(WLAN)、3G接入和聚合設(shè)備以及網(wǎng)絡(luò)存儲(chǔ)設(shè)備等。其與眾不同的設(shè)計(jì)理念,包括:更關(guān)注于提供杰出的應(yīng)用性能;通過(guò)廣泛的、根據(jù)條件的時(shí)鐘控制來(lái)降低功耗;處理器核心內(nèi)建硬件加速器;使用多核技術(shù),而不是簡(jiǎn)單的提高CPU的頻率;一體化的針對(duì)不同應(yīng)用的專(zhuān)用協(xié)處理器;使用標(biāo)準(zhǔn)指令集的簡(jiǎn)單軟件模型。
為了突破下一代網(wǎng)絡(luò)、無(wú)線、控制和存儲(chǔ)應(yīng)用對(duì)特性和性?xún)r(jià)比的需求,新的SOC(System on Chip)集成了專(zhuān)門(mén)定制的MIPS64處理器和業(yè)界最先進(jìn)的多層應(yīng)用(multi-layer applications)加速和安全處理硬件,以及豐富的可配置的網(wǎng)絡(luò)接口。由于目前已有的處理沒(méi)有足夠的馬力來(lái)滿足現(xiàn)在網(wǎng)絡(luò)的需要,現(xiàn)在的解決方案都是使用一個(gè)吉赫茲(GHz)的處理器配上各種各樣的協(xié)處理器和FPGA,最終的結(jié)果是成本很高、功耗很大。Cavium公司推出的OCTEON CN31XX和CN30XX處理器則成功地滿足了下一代IPv4和IPv6網(wǎng)絡(luò)的各種需求,它集成了廣泛的從L3-L7的數(shù)據(jù)、內(nèi)容和安全服務(wù)硬件加速選項(xiàng),這些加速器分擔(dān)了MIPS CPU的很多任務(wù)、降低了獲得千兆線速所需要的CPU主頻,從而降低功耗和成本。OCTEON處理器的出現(xiàn)使得安全的應(yīng)用認(rèn)知型網(wǎng)絡(luò)成為普遍配置。
新推出的OCTEON產(chǎn)品家族包括:針對(duì)中小企業(yè)、企業(yè)級(jí)和控制層應(yīng)用的OCTEON 31XX處理器及針對(duì)SOHO/SME和控制層應(yīng)用的OCTEON 30XX處理器。OCTEON CN31XX和CN30XX處理器基于與目前已有的CN38XX和CN36XX同樣的定制的cnMIPS64 CPU核。CPU核心是專(zhuān)門(mén)針對(duì)最好的網(wǎng)絡(luò)和服務(wù)性能專(zhuān)門(mén)設(shè)計(jì)的,并且功耗非常小。cnMIPS核心是業(yè)界第一款 MIPS64第二版的實(shí)現(xiàn),5級(jí)流水線、雙指令超標(biāo)量體系結(jié)構(gòu),成熟的預(yù)取和優(yōu)化的緩存和內(nèi)存延時(shí)。每個(gè)處理器有1個(gè)或者2個(gè)帶有最多256KB L2緩存和豐富接口的cnMIPS核心,這些I/O接口包括千兆以太網(wǎng)接口、PCI/PCI-X、DDR2、SPI、UART 和擴(kuò)展總線。處理器的主頻從300MHz到550MHz,最大功耗的范圍是從2瓦特到7瓦特,同時(shí)性能范圍是從幾百兆到2Gbps的吞吐量。
另外,CN31XX和 CN30XX處理器還有豐富的硬件加速選項(xiàng),每個(gè)處理器有CP(通信處理器,Communication Processor)、SCP(安全通信處理器,Secure Communication Processor)和NSP(網(wǎng)絡(luò)服務(wù)處理器,Network Services Processor,僅 CN31XX 有 NSP 版本)三個(gè)版本。CP版本包括針對(duì)包處理(Packet Processing)、TCP、隊(duì)列/調(diào)度(Queuing/Scheduling)和服務(wù)質(zhì)量(QoS)等硬件加速功能,SCP添加了對(duì)IPsec/SSL、SRTP和WLAN安全的加速功能,NSP版本增加了針對(duì)深度包檢查(Deep Packet Inspection)和壓縮/解壓縮(Compression/Decompression)的加速。
具體的應(yīng)用加速功能如下:
· 豐富針對(duì)IPv4和IPv6數(shù)據(jù)包的L2-L4基于硬件的包處理和緩沖區(qū)管理(Buffer Management)引擎
· TCP硬件加速包括全面的檢查、標(biāo)簽產(chǎn)生(tag-generation)、校驗(yàn)和(checksum)、定時(shí)器(timer)和緩沖區(qū)管理
· 隊(duì)列/調(diào)度和服務(wù)質(zhì)量硬件實(shí)現(xiàn)了針對(duì)輸入包的基于diffserv、QoS/ToS、輸入端口或以上組合的隊(duì)列/調(diào)度,針對(duì)輸出包的基于固定優(yōu)先級(jí)(fixed prioritization)或加權(quán)公平隊(duì)列(weighted fair queuing, WFQ)
· 安全硬件加速完全分擔(dān)(full offload)針對(duì)IPsec、SSL、SRTP和WLAN 802.11i 安全的協(xié)議處理,支持所有的標(biāo)準(zhǔn)算法包括DES/3DES、AES最多支持256bit、AES-GCM、AES-XCBC、ARC4、MD5、SHA-1、SHA-2 最多支持 SHA-512、RSA 最多支持 4096bit、Diffie-Hellman和真正的硬件隨機(jī)數(shù)產(chǎn)生器
· 壓縮/解壓縮硬件加速實(shí)現(xiàn)了GZIP、PKZIP和各種協(xié)議,以提供業(yè)界最好的幾吉比特的壓縮率
· 深度包檢查通過(guò)8個(gè)模式匹配硬件加速引擎實(shí)現(xiàn)的,這些引擎可以用來(lái)針對(duì)入侵檢測(cè)、反病毒和基于內(nèi)容的交換、路由和過(guò)濾應(yīng)用提供狀態(tài)模式分析(stateful pattern analysis)。
OCTEON處理器支持LinuxÒ、MontaVistaÒ Linux和Wind RiverÒ VxWorksÒ這些標(biāo)準(zhǔn)操作系統(tǒng),并且支持一個(gè)針對(duì)數(shù)據(jù)層面(data-plane)快速通道(fast-path)軟件的瘦執(zhí)行系統(tǒng)(thin executive)。Cavium Networks提供了完整的軟件開(kāi)發(fā)套件,包括 Linux、軟件例子、GNU工具鏈、GDB開(kāi)發(fā)環(huán)境和第三方的工具鏈與開(kāi)發(fā)支持,使得成千上萬(wàn)的MIPS32、MIPS64和其他C/C++應(yīng)用可以很輕松的被移植到OCTEON上。另外,Cavium Networks還提供針對(duì)IPsec、SSL和TCP協(xié)議棧的API和軟件工具集,使快速面市成為可能。
OCTEON 系列網(wǎng)絡(luò)服務(wù)處理器面向高速數(shù)據(jù)流 L4-L7 處理,通過(guò)對(duì)執(zhí)行環(huán)境、內(nèi)存、硬件加速器、總線結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用開(kāi)發(fā)接口的綜合優(yōu)化,具有靈活軟件體系提供硬件級(jí)處理性能的關(guān)鍵特性。以網(wǎng)絡(luò)服務(wù)處理器為核心的下一代網(wǎng)絡(luò)設(shè)備具備高性能和靈活性特點(diǎn),較好地滿足了未來(lái)網(wǎng)絡(luò)和市場(chǎng)對(duì)網(wǎng)絡(luò)設(shè)備的技術(shù)需求,具有巨大的發(fā)展空間,作為智能網(wǎng)絡(luò)領(lǐng)域的全面芯片解決方案的領(lǐng)先供應(yīng)商Cavium Networks必將在這一領(lǐng)域搏擊長(zhǎng)空,分得屬于自己的一杯羹。