網(wǎng)絡(luò)處理器的應(yīng)用

以指數(shù)級(jí)速率增長的Internet業(yè)務(wù)量，給現(xiàn)存帶寬提出了新要求，為改變傳統(tǒng)網(wǎng)格設(shè)備的頻繁更新，網(wǎng)絡(luò)處理器登上舞臺(tái)。

近年來，由于話音、圖像以及多媒體業(yè)務(wù)在Internet中的出現(xiàn)和廣泛應(yīng)用，Internet的業(yè)務(wù)量正以指數(shù)級(jí)的速率增長，自然這對(duì)已有的網(wǎng)絡(luò)帶寬提出了新的要求。一方面，各大網(wǎng)絡(luò)設(shè)備提供商紛紛將千兆/萬兆（1G/10G）級(jí)別以上的網(wǎng)絡(luò)設(shè)備的研發(fā)投入并迅速搶占市場; 另一方面，由于網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)設(shè)備的生命周期卻越來越短，導(dǎo)致頻繁更新已有設(shè)備的壓力越來越大。

什么是網(wǎng)絡(luò)處理器

網(wǎng)絡(luò)處理器（NP，Network Processor）正是在這樣的背景之下而誕生并且成長起來的。網(wǎng)絡(luò)處理器結(jié)合了ASIC (Applicaion Specific Integerated Circuit)和通用CPU的優(yōu)勢，可以為多種網(wǎng)絡(luò)應(yīng)用提供快速高效的解決方案并可通過編程滿足未來的網(wǎng)絡(luò)需求，因而受到人們的重視，成為研究的熱點(diǎn)。

網(wǎng)絡(luò)處理器一般由若干個(gè)微處理器引擎組成，通過并行操作完成分組的處理。網(wǎng)絡(luò)處理器具有協(xié)處理器（Coprocessor）標(biāo)準(zhǔn)化接口（如LA-1），支持與外部協(xié)處理器的共同操作，提供軟件編程的三個(gè)基本功能:

● Header parsing: 提取報(bào)文頭部的特定字段供后續(xù)模塊使用，如IP源地址、IP目的地址、源端口、目的端口等。

● Packet classification: 根據(jù)提取的字段對(duì)報(bào)文進(jìn)行分類，確定下一條IP地址、輸出端口、服務(wù)優(yōu)先級(jí)和安全準(zhǔn)則。

● Packet Modification: 更改報(bào)文中的特定字段，如IPv4中的TTL和Header checksum，然后將報(bào)文轉(zhuǎn)發(fā)給后續(xù)模塊。

網(wǎng)絡(luò)處理器的優(yōu)勢:

● 網(wǎng)絡(luò)處理器具有較高的性能，能夠保證線速的業(yè)務(wù)處理能力。

● 網(wǎng)絡(luò)處理器通過編程可以支持多種應(yīng)用，擴(kuò)展了設(shè)備的使用范圍，而且可滿足網(wǎng)絡(luò)協(xié)議不斷變化的需求，延長了設(shè)備的生命周期。

● 開發(fā)周期短，開發(fā)成本低，用戶可以利用軟件編譯平臺(tái)迅速開發(fā)新的應(yīng)用。

● 可以通過協(xié)處理器增強(qiáng)特定任務(wù)的處理性能，如路由查找和加解密。

可以說，網(wǎng)絡(luò)處理器是高速網(wǎng)絡(luò)設(shè)備（如路由器）執(zhí)行業(yè)務(wù)管理、安全與網(wǎng)絡(luò)監(jiān)控、QoS等網(wǎng)絡(luò)功能不可少的部件，也是各種新型網(wǎng)絡(luò)設(shè)備的處理核心。如果需要新的功能或新的標(biāo)準(zhǔn)，網(wǎng)絡(luò)處理器可通過編程來實(shí)現(xiàn)，以滿足各種各樣的網(wǎng)絡(luò)應(yīng)用，這點(diǎn)是與ASIC的最大不同。另外，它同通用CPU的不同之處在于，網(wǎng)絡(luò)處理器是為優(yōu)化分組處理而設(shè)計(jì)的，可將分組以其到達(dá)的速度（即線速）送到下一個(gè)節(jié)點(diǎn)，而通用CPU則面向范圍更廣的應(yīng)用，因此性能上受到限制。從表1和圖1可以清楚地看出網(wǎng)絡(luò)處理器相對(duì)于ASIC和CPU的優(yōu)勢。

對(duì)分組處理器的具體實(shí)現(xiàn)有: 基于硬布線的處理器，其優(yōu)點(diǎn)是速度快，更容易達(dá)到線速，配置簡單，不需要復(fù)雜的軟件支持，但是靈活性差，可擴(kuò)展性不好，升級(jí)周期長; 基于復(fù)雜指令集的設(shè)計(jì)，類似于通用CPU的處理器，其優(yōu)點(diǎn)是具有完全的可編程性，在通用CPU的基礎(chǔ)上改動(dòng)不大。但是缺點(diǎn)是程序執(zhí)行效率低，難以達(dá)到線速; 基于精簡指令集的處理器(真正意義上的NP)，這是上述兩種網(wǎng)絡(luò)處理器的一種折衷，它的指令集針對(duì)各種網(wǎng)絡(luò)應(yīng)用做了優(yōu)化設(shè)計(jì)，并含有一些硬布線邏輯來實(shí)現(xiàn)比較復(fù)雜和固定的功能（如IPv4分組頭checksum校驗(yàn)），這種方案具有良好的可編程性和比較高的速度，因此是當(dāng)前網(wǎng)絡(luò)處理器的主流設(shè)計(jì)方向。

NP應(yīng)用場合

由于網(wǎng)絡(luò)處理器具有可編程和高性能的特點(diǎn)，因此適合用來構(gòu)建各種網(wǎng)絡(luò)設(shè)備，如路由器、防火墻、VPN、負(fù)載均衡服務(wù)器等等。

以網(wǎng)絡(luò)核心設(shè)備路由器為例，一代、二代路由器（如CISCO 2500）主要由單個(gè)通用中央處理器（CPU）和多個(gè)線路接口卡（線卡）組成，處理器和線卡通過一條共享總線連接。這種結(jié)構(gòu)的最大好處在于所有功能幾乎都可以由軟件來完成，因此增值業(yè)務(wù)僅僅通過系統(tǒng)軟件的升級(jí)就可以實(shí)現(xiàn)，這樣ISP就可以在同一套硬件系統(tǒng)中開發(fā)出靈活多樣的服務(wù)。但由于共享總線帶寬和通用CPU處理速度的限制，這樣的結(jié)構(gòu)不能用于構(gòu)建Gbps級(jí)的路由器。

第三代路由器采用空分結(jié)構(gòu)的交換網(wǎng)絡(luò)代替共享總線，ASIC代替通用CPU，如Cisco 12000。在這樣的結(jié)構(gòu)中，分組的解析和路由查找轉(zhuǎn)移到每個(gè)線卡上，并且采用ASIC來實(shí)現(xiàn)網(wǎng)絡(luò)處理功能。盡管基于ASIC芯片設(shè)計(jì)的路由器具有很高的處理速度，但喪失了通用CPU具有的可編程能力，一旦產(chǎn)品定型，就很難適應(yīng)不斷出現(xiàn)的網(wǎng)絡(luò)新服務(wù)和新標(biāo)準(zhǔn)。

現(xiàn)在，網(wǎng)絡(luò)新服務(wù)和新標(biāo)準(zhǔn)推出的間隔越來越短，這實(shí)際上縮短了基于ASIC芯片的路由器的生命周期; 另一方面，ASIC芯片的開發(fā)周期比較長（通常是18個(gè)月到2年時(shí)間），更難以跟上網(wǎng)絡(luò)新服務(wù)和新標(biāo)準(zhǔn)的步伐。網(wǎng)絡(luò)處理器的出現(xiàn)就是為了解決這一難題。各大網(wǎng)絡(luò)設(shè)備供養(yǎng)商紛紛在最新的路由器中采用網(wǎng)絡(luò)處理器替代ASIC和通用CPU，如Cisco的CRS1、華為3Com的NE80。

防火墻和VPN網(wǎng)關(guān)等網(wǎng)絡(luò)安全產(chǎn)品面臨的一個(gè)重要問題是“如何在保持足夠安全性的同時(shí)提供盡可能高的速率”。目前國內(nèi)防火墻廠商基于Intel X86架構(gòu)的千兆防火墻由于受CPU處理能力和PCI總線帶寬的制約，不能達(dá)到高安全性和高性能的統(tǒng)一。而國內(nèi)的安全產(chǎn)品市場上，超過千兆的高端產(chǎn)品幾乎被國外巨頭壟斷。國外廠商憑借在集成電路方面的技術(shù)優(yōu)勢，已經(jīng)推出了基于ASIC的千兆線速防火墻和VPN產(chǎn)品，因ASIC的開發(fā)難度高、開發(fā)周期長、投資大等原因，國內(nèi)廠商無法在短期內(nèi)與其競爭。

隨著網(wǎng)絡(luò)處理器技術(shù)的成熟和發(fā)展，開發(fā)基于NP的網(wǎng)絡(luò)安全產(chǎn)品可以使國內(nèi)安全企業(yè)抓住產(chǎn)業(yè)更新?lián)Q代的機(jī)會(huì)，迅速打破國外企業(yè)基于ASIC技術(shù)控制高端安全產(chǎn)品市場的局面。例如，聯(lián)想采用IBM的NP3G4S-C網(wǎng)絡(luò)處理器開發(fā)了Super V－5000系列防火墻，東軟采用Intel IXP2400高性能網(wǎng)絡(luò)處理器開發(fā)了NetEye 5200防火墻等等。

市場前景

在對(duì)網(wǎng)絡(luò)帶寬巨大需求的刺激下，網(wǎng)絡(luò)處理器的市場在接下來的幾年中會(huì)有較大幅度的增長。有資料預(yù)測，2004～2008年中國網(wǎng)絡(luò)安全產(chǎn)品市場將以31.7%的年均復(fù)合增長率增長，市場規(guī)模將從2003年的23.57億元增長到2008年的93.2億元。第二代網(wǎng)絡(luò)處理器吸取了第一代的經(jīng)驗(yàn)教訓(xùn)，開始在結(jié)構(gòu)優(yōu)化、功能增強(qiáng)、性能提升、功耗控制和安全支持等方面下功夫。如Cisco公司推出的46 Tb/s核心路由器CRS-1中采用的網(wǎng)絡(luò)處理器包含188個(gè)微處理引擎，支持OC-768（40Gb/s）的線速處理能力。

根據(jù)IT咨詢業(yè)權(quán)威公司Metz International的預(yù)測，網(wǎng)絡(luò)處理器市場從2003年到2007年將有高于400％的增長。由網(wǎng)絡(luò)處理器帶動(dòng)的新產(chǎn)品在全世界將有高達(dá)數(shù)百億美元的市場。我國網(wǎng)絡(luò)產(chǎn)品市場在今后幾年會(huì)有800％以上的增長，直接和間接經(jīng)濟(jì)效益達(dá)上百億人民幣。

目前能夠提供NP芯片的廠家?guī)缀醵际敲绹母咝录夹g(shù)公司，我國迄今為止還沒有研制生產(chǎn)出獨(dú)立知識(shí)產(chǎn)權(quán)的NP芯片。但是我國的網(wǎng)絡(luò)發(fā)展速度非?？欤枰罅炕贜P的網(wǎng)絡(luò)設(shè)備。如我國正積極開展的以IPv6為代表的Internet-Ⅱ的科學(xué)實(shí)驗(yàn)，就迫切需要自己設(shè)計(jì)的NP平臺(tái)，以滿足各種新試驗(yàn)的需求。

在很多應(yīng)用領(lǐng)域，NP與網(wǎng)絡(luò)安全密切相關(guān)，但對(duì)那些具有增強(qiáng)的安全功能的NP產(chǎn)品，美國對(duì)中國實(shí)施禁運(yùn)政策，中國用戶很難有機(jī)會(huì)公開購買到這樣的芯片，況且對(duì)國外安全NP的使用總會(huì)有所顧慮。因此，設(shè)計(jì)出性價(jià)比高、市場競爭力強(qiáng)、滿足更多用戶使用的網(wǎng)絡(luò)處理器不僅具有經(jīng)濟(jì)利益，而且對(duì)我國的網(wǎng)絡(luò)安全也具有不可替代的戰(zhàn)略意義。

清華天行NP技術(shù)特點(diǎn)

2005年12月，清華天行“THNPU-1網(wǎng)絡(luò)處理器芯片原型”通過了由教育部主持的技術(shù)鑒定，該網(wǎng)絡(luò)處理器原型具有如下技術(shù)特點(diǎn):

1. 具有面向網(wǎng)絡(luò)應(yīng)用優(yōu)化的指令系統(tǒng)、多處理器核和任務(wù)級(jí)流水結(jié)構(gòu)，其中基于硬件鏈表的聚合流保序與流量分發(fā)技術(shù)，能保持負(fù)載均衡且保證分組的順序。

2. 可實(shí)現(xiàn)IPv4/IPv6/MPLS等多種協(xié)議報(bào)文在全部最短包輸入下的全雙工OC-48(2.5Gb/s)線速率轉(zhuǎn)發(fā); 通過集成化硬件查找協(xié)處理器，能完成現(xiàn)有協(xié)議的快速路由/路徑查找及報(bào)文分類，用戶通過編程可在保證線速轉(zhuǎn)發(fā)的前提下靈活支持新出現(xiàn)的網(wǎng)絡(luò)協(xié)議以及ACL控制、URL過濾、報(bào)文截獲等安全應(yīng)用。

3. 集成了業(yè)務(wù)量管理引擎（Traffic Management Engine），可實(shí)現(xiàn)優(yōu)先級(jí)調(diào)度和主動(dòng)隊(duì)列管理等功能，其中快速通道技術(shù)能自適應(yīng)地保證高優(yōu)先級(jí)業(yè)務(wù)的服務(wù)質(zhì)量，動(dòng)態(tài)流管理技術(shù)可降低系統(tǒng)物理隊(duì)列的數(shù)量。

4. 支持SPI-3.0、CSIX、PCI 2.2、RL-DRAM Ⅱ、QDR Ⅱ、ZBT SRAM、GMⅡ、LA-1等標(biāo)準(zhǔn)化接口。

5. 具有配套的GNU開發(fā)工具鏈，包括匯編器、反匯編器、調(diào)試器等工具，能為用戶提供靈活、方便的開發(fā)手段。

考慮到應(yīng)用面和實(shí)現(xiàn)技術(shù)等多方面的因素，清華天行選擇首先在FPGA上實(shí)現(xiàn)支持OC-48接口2.5Gbps的網(wǎng)絡(luò)處理器的芯片原型，其主要的難點(diǎn)在于單個(gè)處理器核心的處理能力存在瓶頸（由原型機(jī)發(fā)展成的商業(yè)產(chǎn)品可勝任10Gb/s接口線速轉(zhuǎn)發(fā)的要求）。首先，單一指令執(zhí)行機(jī)構(gòu)計(jì)算能力不足。雖然目前用130nm工藝生產(chǎn)的CPU最高頻率已能達(dá)到3.2GHz(Pentium IV)，但在130nm工藝下生產(chǎn)的FPGA上實(shí)現(xiàn)的CPU原型卻只能跑100MHz左右。

其次，由于最壞情況下（OC-48接口到達(dá)的所有報(bào)文長度均為40字節(jié)）包到達(dá)速率為7.8Mpps，如果只用一個(gè)RISC core要滿足線速處理要求，則對(duì)每個(gè)報(bào)文進(jìn)行處理的指令條數(shù)不能超過100/7.8＝12.82條。另外，總線帶寬不足。由于定位在OC-48的速率接口，需要完成100％流量強(qiáng)度的轉(zhuǎn)發(fā)需要輸入輸出帶寬為5Gbps (2.5Gbps×2)，而一條32bits寬、時(shí)鐘頻率200MHz的總線的理論最大吞吐量為32×200＝6.4Gbps。

基于這個(gè)原因，其解決方法是: 面向常用操作優(yōu)化，節(jié)省指令周期。包括優(yōu)化指令集和為基本操作設(shè)置協(xié)處理器; 面向IO和存儲(chǔ)吞吐量優(yōu)化。通過設(shè)置專用數(shù)據(jù)通路和采用硬件多線程技術(shù)，提高處理器利用率和總線帶寬利用率，以提高吞吐量; 使用并行和流水技術(shù)。根據(jù)網(wǎng)絡(luò)處理任務(wù)特征劃分流水段，開發(fā)包級(jí)并行性及任務(wù)級(jí)并行性。

任務(wù)流水處理結(jié)構(gòu) 采用了流水結(jié)構(gòu)之后，可以有效提高總線帶寬，同時(shí)各流水段可根據(jù)所完成的特殊任務(wù)進(jìn)行結(jié)構(gòu)優(yōu)化。第一流水段使用報(bào)文解析引擎，具有增強(qiáng)比特操作功能的多處理器陣列; 第二流水段集成路由查找與流分類引擎，使用基于TCAM的查找協(xié)處理器; 第三流水段的報(bào)文處理與修改引擎同樣使用增強(qiáng)比特操作與IO功能的多處理器陣列; 第四流水段集成業(yè)務(wù)量管理引擎，提供業(yè)務(wù)流在DDR和SRAM中的緩存調(diào)度管理和擁塞控制。

多處理器陣列 多處理器陣列是網(wǎng)絡(luò)處理器的核心機(jī)構(gòu)之一，在上述的第一和第三流水段中被用來進(jìn)行報(bào)文的解析和報(bào)文的處理，其結(jié)構(gòu)如附圖所示。圖中每個(gè)微處理引擎（PE，processing engine）都與其附近的一個(gè)RAM單元和一個(gè)Bridge用一條IPE Bus連接起來，形成一個(gè)基本處理單元。多處理器陣列中共有四個(gè)這樣的基本處理單元，一條Global IPE Bus把流量分配與集中器以及四個(gè)基本處理單元連接起來。Global IP Bus和四條局部的IPE Bus組合起來，將報(bào)文處理與修改引擎分割成5個(gè)總線域，在保證互聯(lián)性的同時(shí)提高了總線的吞吐量。通過總線橋接的方式，每個(gè)PE和流量分配集中器（DA）之間都可以互相通信。

集成硬件查找協(xié)處理器 查找協(xié)處理器是一個(gè)集成的查找引擎，實(shí)現(xiàn)高速路由查找和IP分組分類查找，為分組轉(zhuǎn)發(fā)提供良好服務(wù)。它可以配置為單純的路由查找協(xié)處理器，或者IP分組分類器，也可以實(shí)現(xiàn)兩種功能的組合，適合多種應(yīng)用。

集成業(yè)務(wù)量管理引擎 業(yè)務(wù)量管理引擎（TME）的主要功能是在Internet中網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備（如路由器和網(wǎng)關(guān)等）中對(duì)業(yè)務(wù)量進(jìn)行管理和控制，進(jìn)而提供對(duì)服務(wù)質(zhì)量（QoS）的保證。

·小貼士·

網(wǎng)絡(luò)設(shè)備提供商要保住自己的競爭優(yōu)勢，需要從下面的兩方面來提高自身的生存力:

● 盡可能地縮短網(wǎng)絡(luò)設(shè)備的開發(fā)周期，迅速推出種類更多、性能更高的產(chǎn)品。

● 盡可能地增加設(shè)備的可擴(kuò)展性和易升級(jí)性，使網(wǎng)絡(luò)設(shè)備能處理更多任務(wù)，以延長設(shè)備的生命周期。