千兆防火墻技術(shù)名詞陷阱

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

2003年國(guó)內(nèi)廠商紛紛推出基于NP或ASIC架構(gòu)的千兆防火墻系統(tǒng)，而用戶面對(duì)“線速千兆”、“自主研發(fā)”、“純硬件”、“NP”、“ASIC”等大量字眼極其困惑。是否國(guó)內(nèi)大部分廠商都擁有自主研發(fā)基于NP或設(shè)計(jì)ASIC芯片的能力？是否采用了NP或ASIC架構(gòu)就一定帶來高性能？什么樣的可以被叫做線速千兆防火墻系統(tǒng)，衡量標(biāo)準(zhǔn)是什么？

陷阱一：千兆線速

性能對(duì)于千兆防火墻而言是很重要的一個(gè)指標(biāo)，但是大量廠商均號(hào)稱自己的千兆防火墻為“千兆線速”，因此對(duì)于用戶而言很難從本質(zhì)上了解千兆防火墻的性能指標(biāo)，而僅僅通過并發(fā)連接數(shù)等指標(biāo)考察產(chǎn)品性能，其實(shí)這是一個(gè)很大的誤區(qū)。

吞吐量測(cè)試數(shù)據(jù)、丟包率測(cè)試數(shù)據(jù)和延遲測(cè)試數(shù)據(jù)才是衡量一個(gè)千兆防火墻性能的指標(biāo)參數(shù)。以太網(wǎng)吞吐量最大理論值稱為線速，即指網(wǎng)絡(luò)設(shè)備有足夠的能力以全速處理最小的數(shù)據(jù)封包轉(zhuǎn)發(fā)。因此一個(gè)千兆防火墻系統(tǒng)要達(dá)到千兆線速，必須在全速處理最小的數(shù)據(jù)封包（64字節(jié)）轉(zhuǎn)發(fā)時(shí)可達(dá)到100%吞吐率。

然而目前還沒有一款千兆防火墻在64字節(jié)幀長(zhǎng)時(shí)可以達(dá)到100%的吞吐率（最好的測(cè)試數(shù)據(jù)僅為72%）。因此號(hào)稱“千兆線速”的防火墻也僅僅是在幀長(zhǎng)為128字節(jié)時(shí)可能達(dá)到100%，然而根據(jù)RFC定義，這樣的設(shè)備并不能稱為“線速”。

因此用戶在選購(gòu)千兆防火墻設(shè)備時(shí)，不要被廠商的市場(chǎng)宣傳字眼迷惑，考慮性能時(shí)必須從吞吐量、延遲、丟包率等數(shù)據(jù)確定產(chǎn)品的性能。

陷阱二：“基于NP或ASIC結(jié)構(gòu)”

一些網(wǎng)絡(luò)安全廠商在市場(chǎng)宣傳上大幅度強(qiáng)調(diào)采用了NP或ASIC架構(gòu)，然而對(duì)于用戶而言，采用何種結(jié)構(gòu)并不是關(guān)鍵點(diǎn)，如果采用NP架構(gòu)設(shè)計(jì)的千兆防火墻在性能上同Intel X86架構(gòu)的千兆防火墻一樣，那么對(duì)于用戶而言就沒有任何的價(jià)值可取。

無論采用哪種結(jié)構(gòu)（Intel X86、NP、ASIC），只是在數(shù)據(jù)處理方式方面有所不同，并不能確定采用了NP或者ASIC設(shè)計(jì)的千兆防火墻在性能上就一定優(yōu)越于通用CPU結(jié)構(gòu)的千兆防火墻。就拿NP架構(gòu)的千兆防火墻而言，必須在微碼的優(yōu)化、中間判斷環(huán)節(jié)的減少、策略決策模塊同執(zhí)行模塊的分離上面進(jìn)行技術(shù)優(yōu)化，這樣設(shè)計(jì)出來的千兆防火墻在性能上才能很大程度地優(yōu)于通用CPU架構(gòu)的防火墻系統(tǒng)。例如國(guó)內(nèi)的清華紫光比威自主研發(fā)的雙NP架構(gòu)千兆防火墻系統(tǒng)，通過兩片網(wǎng)絡(luò)處理器協(xié)同工作，使性能在64字節(jié)時(shí)吞吐率可達(dá)80%左右。

背景資料：千兆防火墻的硬件實(shí)現(xiàn)技術(shù)主要有三種：Intel X86架構(gòu)工控機(jī)、ASIC硬件加速技術(shù)和NP加速技術(shù)。

Intel X86架構(gòu) 曾經(jīng)以其高靈活性和擴(kuò)展性在百兆防火墻上獲得過巨大的成功，然而對(duì)于千兆網(wǎng)來說，X86架構(gòu)的CPU由于考慮了各種應(yīng)用的需要，具有一般化的通用體系結(jié)構(gòu)和指令集，以求支持復(fù)雜的運(yùn)算并容易開發(fā)新的功能，所以其處理速度相對(duì)較慢，很難滿足千兆網(wǎng)絡(luò)對(duì)于高線速的需求。

ASIC架構(gòu) 通過把指令或計(jì)算邏輯固化到硬件中，可以獲得很高的處理能力。但是ASIC將指令或計(jì)算邏輯固化到了硬件中，缺乏靈活性，也不便于修改和升級(jí)；深層次包分析（L4+）增加ASIC的復(fù)雜度；ASIC的開發(fā)周期長(zhǎng)，典型設(shè)計(jì)周期18個(gè)月；ASIC設(shè)計(jì)費(fèi)用昂貴且風(fēng)險(xiǎn)較大。

NP（網(wǎng)絡(luò)處理器）采用微碼編程，是專門為進(jìn)行網(wǎng)絡(luò)分組處理而開發(fā)的，具有優(yōu)化的體系結(jié)構(gòu)和指令集，所以比X86 CPU具備更高的處理性能；而且NP有專門的指令集和配套的軟件開發(fā)系統(tǒng)，具有很強(qiáng)的編程能力，能夠方便地開發(fā)各種應(yīng)用，支持可擴(kuò)展的服務(wù)，因而比ASIC更具靈活性。

來源：每周電腦報(bào)