NP带来防火墙变革------深入学习NP技术原理

network

NP带来防火墙变革

阅读提示：防火墙技术与NP技术开始紧密地联系在一起，NP技术的变革将推动防火墙技术向着更高性能、更多功能以及标准化的方向发展。
随着国内安全厂商越来越多地涌入网络安全高端市场，NP（Network Processor）技术变得越来越流行。国内许多防火墙公司纷纷投入力量开展相关研究，NP成为网络安全的热门话题。

什么是NP

NP是Network Processor的缩写，意为网络处理器。根据“国际网络处理器会议”的定义：网络处理器是一种可编程器件，它特定地应用于通信领域的各种任务，比如包处理、协议分析、路由查找、防火墙、QoS等。

网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，且多个微码处理器在NP内部并行处理，通过预先编制的微码来控制处理流程。对于某些复杂的标准操作，如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等，则采用硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。

NP的多种产品形态

目前NP主要用于网络骨干设备和网络接入设备，用来开发从网络第2层到第7层的各种服务和应用。目前，采用NP处理分组交换的厂家，既有第一梯队的网络公司，如思科、北电和朗讯等，也有不少后起之秀，如华为、中兴、港湾等。但是，其NP用途却不尽相同：思科宽带汇聚系列产品使用了思科的并行快速转发（PXF）NP，它被业内称为“NP的鼻祖”；华为在“第五代路由器”NE80/40/20系列产品中全面采用了NP；港湾的高端路由器、核心交换机，如NetHammer G系列采用了NP相关技术；UT斯达康公司选择了Motorola的NP作为几项3G无线接入网产品的封包转发引擎……

哪种NP技术更适合防火墙

我们不难了解，由于各厂商所专注的NP技术领域不同，决定了NP产品之间的差异。目前，国内多数安全厂商在NP技术上大都选择了IBM或Intel的NP技术。其实，具体选用哪种NP技术开发防火墙，因素有很多，包括所选NP技术的性能和成熟度、提供NP技术的厂商实力和重视程度，以及NP技术厂商可提供的支持力度及价格。

IBM研发的Power NP系列芯片不仅支持多线程，且每个线程都有充足的指令空间，在一个线程里完成防火墙功能绰绰有余。其系列产品中，以NP4GS3为代表，该芯片最高端口速率可达OC-48，并具有4.5Mbps的报文处理能力和最大4G的端口容量，并且，其拥有IBM创新的带宽分配技术(BAT)，是进行下一代系统设计的强大部件。而且，IBM还为开发者提供了软件架构的解决方案和仿真平台，大大缩短了开发难度和周期。目前，已经有不少厂家采用IBM的芯片开发高端防火墙产品，如联想网御于2003年10月推出了国内第一款基于NP技术的千兆线速防火墙；2005年，在解决了多项基于多NP协同工作的技术难题的基础上，联想网御成功推出了万兆级的超性能防火墙。

Intel推出的IXP2000系列芯片支持微码开发，在性能上有了长足的提高，如IXP2400理论上最多可支持2.5Gbps的应用，IXP2800则支持10Gbps以上的应用。其SDK开发包一般功能十分齐全，模块化很好，便于开发人员控制。不足的是，IXP2400每个微引擎仅能存储4k*32位的指令，比较适合开发路由器和交换机这类产品；IXP2800每个微引擎能存储8k*32位的指令，基本可以满足防火墙功能开发的需要，但是，由于其性能提高带来了产品设计与应用复杂度的成倍提高，造成价格十分昂贵。此外，该系列产品的硬件查表功能比较弱，这对于防火墙这类需要大量查表操作的设备来讲，是致命的弱点。

NP防火墙将大步前行

随着新一代网络的继续发展，NP将更加倚重线速、智能化的包处理技术，而不仅仅是简单的基本性能，NP技术的发展将直接影响到NP防火墙的发展。据业内专家调查分析，NP技术将向着更高的性能、更多功能支持、多种技术并存和标准化等特征发展，基于NP的防火墙产品将随着NP的发展大步前行。

更高的性能

五年来，网络的传输速度每年翻一番，几年前的主干网速度是155Mb/s，现在已经到了10Gb/s，两到三年内又会提高到40Gb/s，网络处理器也必须满足这种变化。NP性能的提高，将直接推动防火墙性能的提高。

更多的功能支持

随着网络处理器在更多领域中的应用，网络处理器必须具有更多的功能支持，如深度内容处理和IPV6协议识别，以能适应防火墙等安全设备的需求。

多种技术并存

NP不是万能的，它并不会完全取代通用处理器和ASIC在网络设备中的应用。在对处理性能需求很高的高端设备中，ASIC仍然具有很强的生命力，可以预见的是，在数据层面、控制层面和管理层，通用处理器、NP和ASIC将各司其职，共同为防火墙应用提供灵活的服务。

实现标准化

NP技术的开发与应用直接促成了网络处理器论坛（NPF）的诞生。NPF的成立，将进一步推动NP的发展，实现标准化，解决产品互连互通和软件可移植性等问题。

涌现庞大的第三方开发队伍

随着标准化工作的深入，再加上网络处理器本身具有模块化结构的特点，将涌现出一支庞大的第三方队伍，在硬件组件、NP操作系统、开发工具、软件应用等方面努力。

总之，防火墙技术与NP技术开始紧密地联系在一起，NP技术的变革将推动防火墙技术向着更高性能、更多功能以及标准化的方向发展。

附表 主要NP技术的比较

network

一个NP处理器图



Cavium的可以处理OSI第7层的NP。图：

2-16个MIPS核，
包含Packet I/O processors 可以分担（ offload） CPU的负荷。

network

网络处理器（Network Processor，简称NP）的定义——单独拿出来 NP技术: 网络处理器（Network Processor，简称NP），根据国际网络处理器会议（Network Processors Conference）的定义：网络处理器是一种可编程器件，它特定的应用于通信领域的各种任务，比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QoS等。
网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，多个微码处理器在网络处理器内部并行处理，通过预先编制的微码来控制处理流程。而对于一些复杂的标准操作(如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等)则采用硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。
面对X86的优点: 基于X86架构的防火墙，由于CPU处理能力和PCI总线速度的制约 ，在实际应用中，尤其在小包情况下，这种结构的千兆防火墙远远达不到千兆的转发速度（64字节包长时，双向转发速率一般为百分之二十以下），难以满足千兆骨干网络的应用要求。

采用NP架构的防火墙，各种算法可以通过硬件实现 ，在实现复杂的拥塞管理、队列调度、流分类和QoS功能的前提下，还可以达到极高的查找、转发性能，实现“硬转发”。
面对ASIC的优点: 纯硬件的ASIC防火墙缺乏可编程性，这使得它缺乏灵活性从而跟不上防火墙功能的快速发展。虽然现代的ASIC技术提高了可编程性，但从开发难度、开发成本和开发周期方面看，仍然困难重重。 NP完全支持编程，编程模式简单，一旦有新的技术或者需求出现，可以很方便地通过微码编程进行实现。提供了更快的技术、功能跟进和更加灵活的扩展能力，特别是在新规格、新标准的支持上 。
网络处理器（NP）是专门为处理数据包而设计的可编程处理器，能够直接完成网络数据处理的一般性任务。硬件体系结构大多采用高速的接口技术和总线规范，具有较高的I/O能力，包处理能力得到了很大提升。
网络处理器一般具有以下特点： 　　
● 并行处理器: 采用多内核并行处理器结构。片内处理器按任务大致分为核心处理器和转发引擎。
● 专用硬件协处理器: 对要求高速处理的通用功能模块采用专用硬件实现以提高系统性能。 　　
● 专用指令集: 转发引擎通常采用专用的精简指令集，并针对网络协议处理特点优化。 　　
● 分级存储器组织: NP存储器一般包含多种不同性能的存储结构，对数据进行分类存储以适应不同的应用目的。 　　
● 高速I/O接口: NP具有丰富的高速I/O接口，包括物理链路接口、交换接口、存储器接口、PCI总线接口等。通过内部高速总线连接在一起，提供很强的硬件并行处理能力。 　　
● 可扩展性: 多个NP之间还可以互连，构成网络处理器簇，以支持更为大型高速的网络处理。
从网络处理器以上特点可以看出，与通用处理器相比，网络处理器在网络分组数据处理上具有明显的优势。 　　
目前，NP芯片都是由国外厂商设计制造的，从体系结构上主要分为两大类： 　　
一类是以Intel 的IXP系列产品为代表，分为控制和处理（或称数据）两个平面。如Intel公司的IXP1200，控制平面是一个ARM CORE，负责维护系统信息和协调处理部分工作，处理平面由多个微引擎（Micro Engine）和其他专用硬件组成，负责利用控制平面下发的微代码和命令，直接处理网络数据。这类产品在对数据包进行简单过滤时性能较好，但是由于体系结构限制，尤其是微代码的开发相对复杂，导致灵活性较差，难以满足复杂多变的市场需求，一般适合3层（IP层）及以下网络数据的处理。 　　
另一类产品以 SiByte的Mercurian系列产品为代表，它基于MIPS CPU设计，如SB1250。它一方面保持了基于通用CPU设计的灵活性，另一方面通过SOC（System On Chip）的方式消除了传统CPU、总线、设备之间带宽的瓶颈问题。这类产品灵活性较强，易于开发、升级和维护，适于构建速度可与专用ASIC相媲美的、完全可编程的网络处理平台。
目前提供NP芯片的厂家有很多，基本上都符合NPF指定的规范。
国内使用比较广泛的则是Intel公司的 IXP xxx系列，主要包括IXP4xx、IXP12xx、IXP24xx、IXP28xx等。 　　
IXP系列NP处理器从体系结构上看基本上都一样，都是由一个RISC处理器加一个微引擎构成的。其中，RISC处理器主要用于控制微引擎的运行，所以又称为控制层面；微引擎完成对网络数据包的处理，以实现高性能，所以又称为数据层面。不同IXP系列处理器的RISC型号和主频不同，微引擎的个数也有所不同，在性能上也有很大差别。　　
IXP4xx　的市场定位主要在中低端市场，因此基于IXP4xx芯片做出的防火墙也主要定位在中低端市场中。这里需要特别提一下IXP425，它内嵌了一个加密引擎，支持一些公开的密码算法，如3DES、AES、MD5、SHA1，因此，许多安全厂商会使用它生产低端的VPN或防火墙。 　　不过， 4xx系列芯片产品并不能进行微码编程，而Intel预置的微码又没有完成FW/VPN的处理，使得该芯片所对应的产品对IP报文的处理要通过 533MHz的Xscale来处理的，因而在性能上并没有什么优势。这可能也是一些国内厂商采取变产品不变价格的策略的原因。　

　IXP12xx 　从12xx系列开始已经可以让软件开发人员根据不同的应用定制微引擎上的微码，以实现不同的功能。不过由于IXP12xx其微引擎只有6个，每个微引擎上可以存储条2k×32位的指令，所以该系列NP芯片只能用来做简单的包转发处理和QoS处理，如果用作较为复杂的防火墙处理则会显得力不从心了。因此，基于该系列NP芯片的防火墙要么性能不高，要么功能简单。　　

IXP24xx　从2003年开始，Intel公司推出了IXP24xx系列的网络处理器，它在性能上有了质的变化,开发起来也要复杂得多。使用它们做出的防火墙可能在单纯包转发上到达线速. 　　
IXP28xx　IXP28xx的NP处理器从性能上比IXP24XX的性能又增加了很大，单从芯片的性能指标上看，IXP28xx比IXP24xx更有可能做出千兆线速的网络安全设备。不过，由于IXP2800板卡的设计要比IXP2400板卡设计要更加复杂，目前市场上还没有能够支持它得工板。

国内有不少厂商推出了低端基于INTEL IXP 425芯片的NP防火墙,面向百兆级用户.但NP最大的优点在于在高端,425芯片百兆上的处理能力没有同级别X86防火墙性能高.具体可以参考 INTEL官方网站的425芯片的技术白皮书规格.而基于2400芯片的高端NP产品代表了业界的最高性能.国内最先推出的神州数码DCFW-1800E -NP产品在千兆环境下的小包双向吞吐率可以达到93%以上.真正的实现了骨干网络的高速安全.

network

剖析NP以及NP技术在安全产品中的具体应用
近一两年从国内的安全厂商开始进军高端网络安全市场，NP这个名词开始变得流行起来，不过虽然同是NP，但在技术细节上却存在着很多不同的区分，这也直接影响到产品的性能和安全性，下面就让我们NP以及NP的应用，进行一番剖析。
NP即网络处理器，即专门用于做网络数据处理的芯片。网络处理器在处理器家族中属于专用处理器，即专门为了特殊应用而设计的处理器，它有别于X86系列通用处理器。

目前提供NP芯片的厂家也很多，基本上都符合NPF指定的规范，就目前国内市场上应用最为广泛的是INTEL公司的IXPXXX系列芯片，包括IXP4XX、 IXP12XX、 IXP24XX 、IXP28XX等；

IXP系列NP处理器从体系结构上看基本上都一样，都是由一个RISC处理器加一个微引擎构成，RISC处理器主要用于控制微引擎的运行，所以又称为控制层面，微引擎完成对网络数据包的处理，以实现高性能，所以又称为数据层面；不同IXP系列处理器主要是RISC的型号和主频，以及微引擎的个数有所不同；具体的性能参考表一。IXP系列的体系架构虽然相同，但是在性能上却有天壤之别，NP系统是一个更先进的系统，但是一些低端的NP系统却就像最原始的汽车，可能连X86架构下的马车都不如。

下面就每一种NP芯片的具体特点及应用作一下详细论述。

* IXP4xx

IXP4xx的市场定位主要在中低端市场，因此使用基于IXP4xx芯片做出的网络安全产品也主要定位在中低端市场中，特别需要注意的是，IXP425内嵌了一个加密引擎，支持一些公开的密码算法，如：3DES、AES、MD5、SHA1；因此大量安全产商使用基于这种芯片的板卡做出低端的VPN/FW；不过4xx系列芯片产品存在一个致命缺陷，由于不能进行微码编程，而Intel预置的微码又没有完成FW/VPN的处理，因此产商在开发FW/VPN功能的时候，实际上对IP报文的处理是通过533Mhz的Xscale来处理的，因而在性能上比基于X86架构的安全产品性能上不会有太大变化，这可能也是一些国内厂商采取变产品不变价格的策略的原因。

另外需要特别注意的是，使用这种芯片开发出来的网络安全设备，不是每个网络接口都是快速的。IXP4XX通过ME实现的Ethernet MAC只有两个NPE A 和NPE B，一般板卡设计产商都会通过PCI Bridge扩展多个以太网口。从性能上考量，只有通过NPEA/NEPB的接口是比较快的，而通过PCIBridge扩展出来的网络接口性能相对来说就比较低了；由于IXP4XX的结构设计约束，在任何两个网络接口之间通信都必须通过Xscale进行交换（包括TCP/IP处理）,，正是由于了这个限制，基于IXP4XX开发网络安全设备本质上不会比基于X86开发的网络安全设备在性能上有所提高，有的时候反而会更低；

* IXP12XX

IXP从12XX系列开始已经可以让软件开发人员根据不同的应用定制微引擎上的微码，以实现不同的功能，不过由于IXP12XX其微引擎只有6个，每个微引擎上可以存储条2k*32位的指令，12XX 系列NP只能用来做简单的包转发处理和QOS处理，至于用作较为复杂的防火墙处理，就显得力不从心了，因此在国内使用12XX系列做出的防火墙性能都不高，要不就是功能十分简单；

* IXP24XX

从2003年开始，Intel公司推出了IXP24XX系列的网络处理器，这款网络处理器比12XX系列的网络处理器在性能上有了质的变化；同时基于IXP24XX系列的板卡设计上也复杂了很多；

目前国内很多安全产商开始使用基于这款芯片的板卡来设计网络安全设备，如防火墙，IDS；但是使用一个IXP2400是否可以做到千兆线速的防火墙呢？

如果使用一个IXP2400来做4个千兆口的线速，那么对于每个IP包的处理理论上不可以超过100*8*n，这还是理想情况下，也就是让微引擎处于绝对运行状态，而不是等待状态。实际上这是很难做到的，因为微引擎在访问内存的、使用寄存器、访问外围器件的时候，虽然只要一个指令，但是一般都有延时，多的可能达到100多个Cycles，如访问DRAM。根据经验，一般微引擎的利用率都在80％以下；

处理一个IP报文的过程是非常复杂的，一般都需要10K个Cycles以上才能完成处理，另外如果应用复杂的话，如防火墙应用中，还要兼顾分片报文重组，NAT，QOS，ARP处理，深度检测等，这些功能加上去后，处理的时间就会大大增加；因此使用单2400做出的防火墙可能在单纯包转发上到达线速，但是用户并不时将一个防火墙当作路由器来用，而是需要它完成一系列安全处理功能，因此只要把包过滤、NAT、抗DOS攻击、抗蠕虫攻击等功能加上后，性能就会成倍的下降；目前据了解，2004年开始，推出的高端防火墙基本上都采用基于IXP24XX芯片的板卡；

也许有人会问，为什么不推出使用双IXP2400或者多个IXP2400的板卡呢，从上面那个表可以看出，使用了双2400的设计后，对微码开发来说，提高了N的值，也就是说允许处理一个IP报文所使用的Cycles增加了，但是，我们却很难看到市场上有人使用双2400开发的安全设备，主要原因是什么呢？由于一个IXP2800的性能要比两个IXP2400的性能要高，但价格确更便宜，而且双IXP2400的板卡设计要比单IXP2400/单IXP2800的板卡设计要复杂的多，所以考虑投入和产出，一般的NP板卡设计产商都不愿意投入去研发基于双2400的板卡；同时，使用两个IXP2400进行处理并不是就意味着1+1=2，因为，在两个IXP2400同时做处理的时候，需要进行数据交换，这也会耗去IXP2400的性能。这也是国内到现在也无法看到双2400设计的板卡的原因；

* IXP28XX

IXP28XX的NP处理器从性能上比IXP24XX的性能又增加了很大；单从芯片的性能指标上看，IXP28XX比IXP24XX更有可能做出千兆线速的网络安全设备；但是目前还没有一家NP板卡厂商能够推出基于IXP2800的板卡，可能是由于IXP2800板卡的设计要比IXP2400板卡设计要更加复杂；不过IXP2800应该是高端防火墙的应用方向让我们期待着IXP28XX系列板卡的出现吧。（

network

NP架构在VPN中的应用NP构架解析
一，什么是NP。
NP是一种CPU构架，是Network Processor的缩写，意为网络处理器。根据“国际网络处理器会议”的定义：网络处理器是一种可编程器件，它特定地应用于通信领域的各种任务，比如包处理、协议分析、路由查找、防火墙、QoS等。
网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，且多个微码处理器在NP内部并行处理，通过预先编制的微码来控制处理流程。对于某些复杂的标准操作，如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等，则采用硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。

二，NP的性能NP
只是一种CPU体系结构，本身并不代表高性能。和RISC、CISC等CPU构架一样，结构本身，和性能无关，决定性能的，是具体的CPU型号。

目前提供NP芯片的厂家也很多，基本上都符合NPF指定的规范，就目前国内市场上应用最为广泛的是INTEL公司的IXPXXX系列芯片，包括IXP4XX、 IXP12XX、 IXP24XX 、IXP28XX等；

　　IXP系列NP处理器从体系结构上看基本上都一样，都是由一个RISC处理器加一个微引擎构成，RISC处理器主要用于控制微引擎的运行，所以又称为控制层面，微引擎完成对网络数据包的处理，以实现高性能，所以又称为数据层面；不同IXP系列处理器主要是RISC的型号和主频，以及微引擎的个数有所不同。IXP系列的体系架构虽然相同，但是在性能上却有天壤之别，NP系统是一个更先进的系统，但是一些低端的NP系统却就像最原始的汽车，可能连X86架构下的马车都不如。

三，目前主流的NP处理器
目前使用最广泛，在市场上出去主流地位的，是INTEL的IXP4xx处理器。


IXP4xx的市场地位主要在中低端市场，因此使用基于IXP4xx芯片做出的网络安全产品也主要定位在中低端市场中，特别需要注意的是，IXP425内嵌了一个加密引擎，支持一些公开的密码算法，如：3DES、AES、MD5、SHA1；因此大量安全产商使用基于这种芯片的板卡做出低端的VPN/FW；不过4xx系列芯片产品存在一个致命缺陷，由于不能进行微码编程，而Intel预置的微码又没有完成FW/VPN的处理，因此产商在开发FW/VPN功能的时候，实际上对IP报文的处理是通过Xscale来处理的。
另外需要特别注意的是，使用这种芯片开发出来的网络安全设备，不是每个网络接口都是快速的。IXP4XX通过ME实现的Ethernet MAC只有两个NPE A 和NPE B，一般板卡设计产商都会通过PCI Bridge扩展多个以太网口。从性能上考量，只有通过NPEA/NEPB的接口是比较快的，而通过PCIBridge扩展出来的网络接口性能相对来说就比较低了；由于IXP4XX的结构设计约束，在任何两个网络接口之间通信都必须通过Xscale进行交换(包括TCP/IP处理),，正是由于了这个限制，基于IXP4XX开发网络安全设备本质上不会比基于X86开发的网络安全设备在性能上有所提高，有的时候反而会更低.

四、NP构架的的弱点   
   目前NP构架的安全产品，在市场上不是主流。在市场上销售的基于NP构架的产品，绝大多数都是低端产品，绝大多数都是基于INTEL IXP4xx CPU来开发的。其目的是降低硬件成本。
       使用NP构架的，目前以百元级别的低端网络设备为主流，D-link，LINKSYS的低端路由器，大量使用IXP4xx CPU，以达到降低成本的目的。NP构架的产品大量存在于千元以下的市场，而中高端的设备采用的极少。

IXP4xx处理器在完成简单的、特定的包转发任务时具有良好的性能。但是，他的主处理器是普通的Xscale核心，Xscale是面向低功耗移动设备而开发的处理器，广泛运用于手机与PDA等移动设备中。性能比同频率的X86 CPU要低很多，其注重的是低功耗低成本，而不是性能。
       而且，IXP4xx只具有2个网口的加速，只有一个网口可以支持加密加速，对于另外增加模块来实现多网口的产品，由于增加的网口不具有加速性能，整机性能会下降很多。
       主流NP构架的处理器（IXP4xx）最大的缺陷，是通用计算能力弱。其网络加速模块，在包转发以及部分加密算法（仅支持3DES和AES）上可以得到良好的性能，但是在处理防火墙规则、流量监控、移动用户拨号、带宽管理、等中高端路由器和安全网络设备等必备的功能上，性能严重不足，这也是绝大多数厂商仅将NP构架运用于低端产品上的主要原因。
五、NP构架的意义

对用户来说，NP构架的现实意义，是在低端产品的选择上，可以获得更好的性价比。
对于需求简单，需要一个低端的网络设备来完成简单的功能的客户，NP构架是一错的选择。.
在中高端路由器市场，以及网络安全设备市场，主流的NP处理器由于通用计算性能不足，制约了设备的性能，不能满足客户的需要。
对于VPN、防火墙、路由器产品，就目前而言，NP构架只适合在低档路由器上使用，是廉价产品的代名词。

network

NP技术:为核心网络提供源动力
作为IP网络的核心设备，路由器技术已经成为当前信息产业的关键技术。只有拥有了性能完善的路由器设备，才能使复杂的互联网络运行成为可能。如果网络是一个庞大而复杂的交通体系，那么路由器设备无疑就是这个庞大体系的交通枢纽，有了这样一个枢纽，这个复杂的系统才能够有层次、有秩序地运转。NP技术正是面向新一代核心网络需求而发展出来的理想技术平台。

NP——新一代核心网络技术

网络处理器（Network Processor）是公认的新一代核心路由交换设备解决方案的发展方向，基于网络处理器平台实现的路由交换技术事实上领导了第五代核心路由、交换产品的发展方向。什么是网络处理器呢？根据国际网络处理器会议（Network Processors Conference）的定义：网络处理器是一种可编程器件，它特定的应用于通信领域的各种任务，比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QoS等。

网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，多个微码处理器在网络处理器内部并行处理，通过预先编制的微码来控制处理流程。而对于一些复杂的标准操作(如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等)则采用硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。

NP技术的性能及优势

当前，网络处理器（简称NP）主要集中应用在数据通信网络的中高端设备上，和以前的软件转发、FPGA实现转发、ASIC实现转发相比，网络处理器具有鲜明的特点：

首先，在基于网络处理器的硬件平台中，各种算法可以通过硬件实现，因此，网络处理器具有高性能的特点。网络处理器内部一般都集成了几个甚至几十个转发微引擎和硬件协处理器、硬件加速器，在实现复杂的拥塞管理、队列调度、流分类和QoS功能的前提下，还可以达到极高的查找、转发性能，实现“硬转发”。目前已经投入实用的有支持2.5GPOS、10G以太网的NP，支持40GPOS口的NP也即将推出。

其次，由于NP可以支持编程，一旦有新的技术或者需求出现，可以很方便地通过微码编程进行实现，系统的“硬件”功能可以通过软件模块（微码）的方式方便的进行添加、删除。所以，对于特殊的用户需求，基于NP的产品可以实现定制开发，即可以通过模块删减开发能满足不同用户需求的产品。在新功能开发的时间上，按照业界的经验数字，基于微码的功能开发周期一般为6个月，而用FPGA实现的时间为18个月，用ASIC实现的时间更长，通常需要2～3年的时间。因此，NP提供了更快的技术、功能跟进和更加灵活的扩展能力，特别是在新规格、新标准的支持上，这些发展中的规格可能对客户当前的功能是必须的，基于NP实现可以保证客户享受基于硬件的快速功能实现的同时不用担心日后可能出现非标准化而带来的兼容互通性问题。

此外，基于NP的设备解决方案提供了更高的可靠性和灵活性，网络处理器提供了更高的集成度，大部分功能都能使用一个或者两个芯片实现，从而避免了从前通过多个芯片、芯片组系统间配合实现的方式所带来的隐患和功能、性能下降，NP芯片系统转产前都经过了严格的测试和各种抗干扰和破坏性试验，从而使使用NP的系统的可靠性大大提高。所以NP特别适合用于开发运营级或者核心层数据通信产品。大多数NP都使用硬件的并行操作方式，实现了业界流行的各种算法，为使用NP的设备提供了丰富和强大的QoS功能。很多以前用软件实现时无法保证的功能，在使用了NP之后，可以更加容易的得到实现，同时，对性能基本没有影响，这在软件实现和基于ASIC的系统中是难以实现的。

网络处理器还让管理更加方便有效。NP一般都提供了大量硬件计数器，可以方便地实现各种MIB统计功能，为网管提供支持，而对业务系统而言，没有开销，不会因为复杂、细致的网管功能影响业务系统的性能。NP作为一个器件，都提供了灵活的配置功能，可以通过NP的不同形式组合或者和其它CPU的组合，实现系统的灵活配置，满足不同设备的需求，方便了系统设计，加快了设备的开发进度。

NP技术的广泛应用

NP技术的进步促成了路由器的更新换代。眼下，路由器技术的发展已经从第一代“集中转发，固定接口”的产品，发展到如今“基于NP的分布式硬件转发”的第五代路由器产品。第五代路由器由于具有提供全冗余、QoS机制、硬件方式支持IPv6或IPv4-IPv6过渡、对新协议支持、新增特性不影响路由器的线速转发等特点，成为今后路由器发展的主流。如华为公司推出的Quidway NetEngine系列高端路由器，以及核心以太网交换机Quidway S8016，在这些设备和解决方案中，网络处理器技术（NP）得到了广泛的应用。

第五代路由器产品在硬件体系结构上继承了以往的成果，在关键的IP业务流程处理上采用了NP技术，对于一些复杂的标准的操作（如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等）则采用硬件协处理器来提高处理性能。采用基于NP技术开发的最大优势就是可编程及灵活性。同时，NP在实现灵活业务的同时，还能保证性能不降低。

【应用看台】

与以往的ASIC等技术相比，NP技术提供了可编程能力，从而实现了更为卓越的性能和灵活性。它也是目前新的网络产品设计中都在考虑的一个热点。

基于网络处理器平台实现的路由交换技术事实上领导了第五代核心路由、交换产品的发展方向。华为推出的网络产品以NP技术为核心构建，为用户提供了更为满意的解决方案，体现了其强大的自主知识产权的研发能力，以及对业界潮流的前瞻能力。可以说，NP技术以及基于NP技术的第五代路由器的出现，将使数据通信网络朝着多业务、可运营、可管理的方向，在越来越重视业务应用的运营商和行业用户中有着广阔的前景。

运营商——近年来，我国的电信运营有着飞速的发展，而且还增加了宽带接入等一系列新业务。网络规模的扩大使得业务服务和用户管理都日趋复杂——带宽的飞速提高带来了多种网络业务的大发展，视频点播、在线游戏等以前人们想都不敢想的服务已经变得司空见惯，SP们每天想的就是如何挖掘出更新的服务模式……这种多业务的运营模式自然就给运营商的网络建设和升级服务等提出了更高的要求，这不仅体现在带宽容量上，更多的是体现在对多业务的处理能力上，而第五代路由器的应运而生恰恰满足了运营商的这种需求。

金融行业——随着金融行业“数据大集中”的实施，金融网络要实现更大范围内的互联互通，其体系结构和管理日趋复杂化。此外，金融网络还要承担起开展更多业务的重任，如网上银行、中间业务等新兴业务的任务。因此NP技术对金融行业的这些需求提供了有力的保障。

电力行业——电力数据通信的可靠运行是电力安全生产的保障。电力行业网络要提供电度量计费系统、电力市场支撑系统、生产计划考核与检修工作票处理系统、MIS系统等各项功能，也就是说，它必须是一个高性能、高可靠、可管理的数据网络，NP技术和第五代路由器也可以提供相应的支持。

network

SempSec芯片、NP处理器、ASIC芯片三者对比

2007-03-14　20:43:40 大中小    内容               类别 SempSec芯片 NP处理器 ASIC芯片 开发的出发点 专门为网络安全定制开发，可以满足网络安全的各种需求 专门为网络分组处理而开发，为网络安全考虑较少或者没考虑 可以为防火墙应用专门开发数据包处理流水线，优化存储器 性能指标 目前FDT可到4.2G，其它指标也都极高。 较高，达不到双向2G线速 目前业界最高水准12G 灵活性可编程 可现场编程，远程升级，灵活性极高。可以根据需要随时升级 采用微码编程，灵活性相对较高。 不能编程，灵活性非常差。 开发难度 较简单，但是需要对FPGA芯片设计有较深入了解。 微码开发复杂，控制不灵活。 开发难度最大。 产品价格 低 中 高 上游支持力度 全球两家FPGA供应商全力支持。 市场规模不大，上游支持力度小 流片时间长费用高，不适宜于芯片技术能力和资金力量薄弱的企业 平台架构 专用安全处理芯片（可编程ASIC）＋高性能CPU 主要为NP＋嵌入式CPU 主要为ASIC＋嵌入式CPU 总体评价 灵活高性能，针对安全定制，从L2～L7均可编程定制，对于任何安全处理的瓶颈，均可采用固化功能模块引擎提升性能，对多类型防攻击、加解密、多流多策略的高性能支持可充分证明；由于采用通用的高性能CPU可灵活高效的支持安全应用业务 报文L2~L3层（TCP层以下）初级处理能力较高，无法支持大量L4层以上的业务并行处理，即使能够支持，性能将大幅下降；嵌入式CPU及操作系统的复杂性导致对高层安全应用业务支持较差 性能非常高，对于大多数安全处理的瓶颈，均可由固化的功能模块来大幅度提升性能；由于ASIC的固化性及嵌入式CPU的低效灵活性差等因素，对高层安全应用业务支持较差。

network

防火墙x86架构和ASIC架构和NP架构的区别

防火墙x86架构和ASIC架构和NP架构的区别
                                       

在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。  


    随着Internet的迅速普及，全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也是层出不穷，网络安全产品和解决方案越来越成为各类网络用户和厂商们的聚焦点，在众多的安全产品中，防火墙产品无疑是保障网络安全的第一道防线，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据，于是千兆防火墙逐步崭露头角，频频被运用在金融、电信、教育、气象等大型的行业和机构，以及对安全要求极高的大型企业用户，其市场占有份额已经超过50％；下面就让我们来了解一下千兆防火墙的相关的产品、技术及选购方面的一些知识。

    不同构架各具特色

    从百兆到千兆，最初只是量变。千兆防火墙在2000年前后就进入了我国市场。由于百兆网络接口与千兆网络接口的成本相差不大，早期的千兆防火墙仅仅是将百兆接口替换为千兆接口而已。这种基于X86体系结构的千兆防火墙主体仍然是软件，其性能受到很大制约，无法达到千兆的处理速度。因此，这些防火墙只是具有千兆接入能力的防火墙，而不是真正具有千兆处理能力的防火墙因此可以说是一种“换汤不换药”的形式改变。随后几年，随着千兆网络在企业和行业用户中的不断普及，以及用户对性能需求的不断增加，千兆防火墙也逐发生了质变。  

    这种质的变化首先是人们把目光转移到了专用集成电路（ASIC）和网络处理器（NP）上。相对于X86架构，基于这些架构的千兆防火墙才是真正的硬件解决方案，能够实现千兆处理速度。在这里，我们不妨将X86架构、NP和ASIC放在一起进行技术比较，看看不同技术的优缺点。  

    X86架构  
    最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。

    但其性能发展却受到体系结构的制约，作为通用的计算平台，x86的结构层次较多，不易优化，且往往会受到PCI总线的带宽限制。虽然PCI总线接口理论上能达到接近2Gbps的吞吐量，但是通用CPU的处理能力有限，尽管防火墙软件部分可以尽可能地优化，很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统，安全性很大程度上取决于通用操作系统自身的安全性，可能会存在安全漏洞。

    ASIC架构  
    相比之下，ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计，能够通过软件改变应用逻辑，具有更广泛的适应能力。但是，ASIC的缺点也同样明显，它的灵活性和扩展性不够，开发费用高，开发周期太长，一般耗时接近2年。

    虽然研发成本较高，灵活性受限制、无法支持太多的功能，但其性能具有先天的优势，非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前，NetScreen在ASIC防火墙领域占有优势地位，而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。  

    NP架构  
    NP可以说是介于两者之间的技术，NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构，这种架构的软硬件都易于升级，软件可以支持新的标准和协议，硬件设计支持更高网络速度，从而使产品的生命周期更长。由于防火墙处理的就是网络数据包，所以基于NP架构的防火墙与X86架构的防火墙相比，性能得到了很大的提高。

    NP通过专门的指令集和配套的软件开发系统，提供强大的编程能力，因而便于开发应用，支持可扩展的服务，而且研制周期短，成本较低。但是，相比于X86架构，由于应用开发、功能扩展受到NP的配套软件的限制，基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境，所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间，应该说，NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola，国内基于NP技术开发千兆防火墙的厂商最多，联想、紫光比威等都有相关产品推出。

    从上面可以看出，X86架构、NP和ASIC各有优缺点。X86架构灵活性最高，新功能、新模块扩展容易，但性能肯定满足不了千兆需要。ASIC性能最高，千兆、万兆吞吐速率均可实现，但灵活性最低，定型后再扩展十分困难。NP则介于两者之间，性能可满足千兆需要，同时也具有一定的灵活性。  
三种架构综合比较




    选购千兆防火墙需要考虑什么

    在选购千兆防火墙时，用户首先需要明确自己的需求。安全风险和网络应用决定了用户需求，每个网络的层次、作用、大小和结构各不同，致使这些网络所面临的安全风险不相同，安全需求自然也不相同。没有重要资产的网络没有必要选择高端防火墙，高安全需求的网络不能选择低安全性的防火墙，这是很浅显的道理。同样地，只有10M带宽接入互联网的办公机构没有必要去选择千兆防火墙。  

    其次，在防火墙的安全功能与性能之间做出折衷。防火墙存在着功能与性能的矛盾，根据预定的安全策略，防火墙在协议栈的不同层次对流量进行检查，决定对流量的控制措施（允许通过或丢弃）。检查的层次越高，防火墙消耗的资源就越多，花费的时间就越长，性能就会越低。在应用环境时要考虑网络拓扑，用户规模，流量带宽，通信类型和环境的复杂恶劣程度等。

\

以下摘自评论：



我个人认为NP、ASIC厂家炒作的成分更多点。不能否认随着网络的升级需要真正的全端口千兆有一定的必要性。当除了ISP的核心网络需要企事业单位未必用的着。防火墙不管是那种构架的都是软件+硬件的结合。不管是用微编程写进芯片还是用语言写成软件。关键是算法。软件写的如何。NP、ASIC难道就不用CPU了吗？老说什么总线、PCI瓶颈等等。FW就只是用来转发数据的吗？关注的只是转发率的吗？当然不是。现在那家的FW不做些高级过滤或是深度检测（也不知谁真正做到了）总是有应用层上的检测。ASIC、NP都是线性运算，不能代替CPU的浮点运算去做一些高层的过滤检测。在网络中FW如果不是需要NAT1W个地址。NAT100和NAT10用那种构架的FW都一样。软件的算法可以弥补硬件上的不足。




现在用北京立华莱康平台科技有限公司的单NP IXP2400开发板，以前用从美国Intel本土购来的双NP构架，XScale的核心主频都是600MHZ，其它厂商的就不好说了，联想是OEM的，天融信好像在NP上没声了，不了解，我不做市场。我接手NP时是把软件的CC部分从双NP移植到单NP开发板中，微码部分也要做相应修改，我只设计实现原理，微码有同事配合编程。双NP的成本很高，性能也比单NP好不了多少。小包单NP IXP2400在任意包长下匀为2000M的线速，在4G测试中512字节达到转发锋值3746M。并且延时平均小于80微秒。我这里有IXIA 400的测试报告，但不能给你。



我不认为我们在烧钱啊，我估算了一下，大概硬件的投入也就相当于投入了50万左右吧。现在和NP硬件提供商的关系很好，因为只有我们一家做出来了，所以都主动来邀请我们开发多核处理器。所有的新硬件都是免费试用的。
做NP这东西不光要看研发人员的组成与素质，更重要的是正确的思路。真的。为什么这么说呢？看看国内做NP的厂家，有几家得到回报了？有多少是全盘皆输。以前有一个美国的公司来我们公司做NP演示，防火墙的特性当前的演示设备中都有了，并且在3年前，吐吞量上G，谁看都会眼红的。他希望我们OEM它的产品，报价是90K$美金的合同。呵呵...当时公司正在犹豫是不是应该合作，我以最底层职员的身份给公司领导写了一封信，讲述了我对Linux、CC、微引擎之间的同步原理与实践方法，要知道以我的身份演示时都没有资格出席的。后来公司感觉这条路可以走，就采纳了我的意建。我当时在公司只不过是做Java编程的程序员，不是我看不起java，而是这工具和安全一点都不着边，我二年前用java做了个visio的软件，希望可以实现checkpoint公司的NG控制界面，但中途公司不得不叫我转向Linux内核开发。后来就是提高人力的投入，半年之后防火墙的雏型就出来了。真的很幸运，也就是我当时的一个灵光乍现，公司又给了我机会而已。没有所谓的烧钱行为。
NP研发很痛苦，Intel和硬件厂家的支持力度都很小，单NP的板子只能依照双NP的设计文档来实施，Linux就一个2.4.18的版本可用，更可怕的是硬件如果有问题你基本上是束手无策。你可以去问问做NP的，死机是不是家常便饭。
了解了解多核，你就会知道这东西就是在NP的基础上实现的。NP一次可以并行接收32个数据包。所有用于转发的数据结构必须线性化。这在多核处理器上也是一样的。不光是你看到的octeon的板子，rmi也是这个做的。Linux上的fib route table对于NP或是多核处理器来说是陌生的，必须转化为线性的hash table才能被NP或多核处理器采用。类似的数据结构太多了，一句话你想要NP访问的数据必须是线性化。这也就是同步的本质含义所在
现在对我们看来软件的结构已经很清晰了，也积累了一定的经验。至于X86是不是真的过时了，你可以看我以前的一个贴子讲的是82559网卡性能的，其中阐述了这个观点。
内容过滤与VPN，这只能靠硬件芯片来支持。600M的通用CPU力不从心。但一旦有硬件可以plug-in上，一切就又都解决了不是么。你说的那些加密芯片目前NP还用不上，只能用在X86上。NP的VPN随道数据中的加解密也靠这600M的CPU，不光光是维护随道信息，至少IXP2400是这样，2850会好一些。但防火墙的连接状态是你想像的那样。
IXP425与IXP2400同是NP处理器，但实现难度一个天上，一个地下。前者是类X86，后者则不然


    最后，技术支持与服务，在选择安全产品的时候，厂家或商家的技术支持与服务能力也应该是重要的考虑因素。

network

在信息安全市场上，业界正在硬件架构和软件流程上都不断有所新的突破来满足对性能和功能需求的双重提高，是追求全面的安全防护还是追求高性能的安全防护，在现有的硬件体系和软件架构的约束下，目标的差异衍生出对市场定位和技术发展方向的，而这种分歧带有某种哲学意味，我们知道这是一个彼此矛盾的选择，很难两者兼顾。

近日在一次座谈会上笔者就此问题请教了网络安全设备厂商watchguard的首席策略官mark w. stevens和亚洲区销售总监梁伟业先生，和他们一起讨论了安全网关技术的未来发展架构，发展方向，以及防火墙产品的市场定位一些业界感兴趣的话题。仁者见仁，智者见智，本文将这次讨论整理出来写成这篇文章，希望对您能有所启发，也希望和您能继续深入探讨，如果您感兴趣请给我来信 braveheart_317414@yahoo.com.cn。

all－in－one能否进入高端市场？

集成多层各种网关处理功能并不是一个新概念，集成的趋势在中低端市场上已经很明显了，许多面对中小企业的信息安全设备都将防火墙、ids、防病毒、vpn、路由功能集成在一起称之为安全网关，集成的功能越多对硬件架构和软件流程的算法要求就越高，需要良好的架构设计和模块间的协调能力。 stevens强调说wg凭借他们自身的智能分层安全构架将这些功能集成在firebox中，这样就可以来为客户提供高品质低价格的服务。但是我们认识到 wg的目标客户主要集中在中小客户这样的中低端市场，那么在高端市场上，在现阶段all－in－one能满足高端客户的需要吗？

我们知道高端客户的网络环境有两个非常重要和基本的特点：网络流量非常大，网络应用复杂。对于一个安全网关来说，他的功能除了对数据包的转发外，还需要对数据包根据安全规则进行处理和判断，而来自应用层数据包进行安全方面的处理通常需要更多的处理流程，占用更多的cpu资源，那么all－in- one能否进入高端市场的一个根本限制就在于硬件架构，简而言之就是芯片的处理速度能否跟的上。

从芯片集成的角度来说，根据intel专家的意见目前在90 纳米芯片生产技术下将真正高性能cpu npu4集成为一个芯片还几乎是不可能的。就连intel 的专家也认为，即使在60 纳米芯片生产技术下这一水平的集成也不太可能。这就意味在芯片级的层次上安全处理和网络数据包的高度集成就受到了限制，实现cpu 与npu 高速“无缝”互联的硬件平台总线技术是当前阻碍all-in-one真正障碍，他是性能和功能之间捉襟见肘的根本问题所在，这个障碍不排除，高端市场上很难会有all-in-one产品的生存空间，毕竟软件平台必须建立在硬件架构之上。

未来防火墙的硬件架构发展

既然硬件架构是安全网关产品性能的基础，那么未来防火墙的硬件架构会以asic为主流吗？

在这个问题上stevens态度非常明确：他说wg现在没有采用asic架构，将来也不计划采用，虽然以asic为架构的防火墙性能很好，但是我们认为asic架构并不适合信息安全市场，除了asic架构产品的价格因素外，一个更重要的原因是信息安全市场的是一个变化非常快的市场，这要求安全防范技术跟的上黑客技术的变化，这才能加强企业的信息安全。所以一个符合信息安全市场需要的硬件平台应该是升级周期短，方便扩展的平台，拿这两个要求来衡量 np和asic这两种架构，np显然更加有优势，至于谈到性能，基于np架构的产品性能可以达到千兆，这个指标对一个中小企业来说已经足够。

总的来说np架构提供了一种介于aisc和通用处理器之间的折衷方案，其在提供高于通用处理器性能的同时，也很好的解决了aisc在灵活性和可编程性方面的问题，他在数据处理能力确实足以胜任千兆网的数据传输负荷，完成常见网络设备的职责如网络封包的处理、数据校验、路由匹配上非常出色，但是对于更加复杂的数据应用，例如数据包重组和加密处理等则不如asic架构出色，所以需要安全产品提供商在处理流程的设计上进行优化，目前信息安全市场上np架构超过aisc架构渐成主流最关键的因素恐怕也就是stevens所讲的：安全网关的性能很重要，但灵活和可扩展性也是产品在信息安全市场上竞争力的一个重要指标。看来未来np架构的竞争力将随着np处理器性能的提高和信息安全威胁的增多，变化频率变快而加强。

内容过滤是否会成为未来防火墙功能发展的一个主流？

梁伟业先生认为web应用已经是一个潮流，而基于web应用的安全威胁也成为传统防火墙的盲点，所以基于内容过滤的web安全防护成为将来防火墙市场上的一个必不可少的功能模块，至于是做单独的产品还是作为一个模块进行集成，梁伟业先生说最初wg曾经考虑过作为单独的产品推出，但考虑到面对的目标用户的实际需求，最终决定还是选择后者，将他作为一个模块集成到现有的平台架构下。

当然他们也考虑过性能问题，有人曾提到一旦诸如反垃圾邮件功能打开的话，网关的处理性能将大幅降低，梁伟业先生坦率的说，这里面有一个权衡，你是要安全多一点还是要性能好一点，两者很难同时兼顾。

后记：不止是网络安全技术遇到的这种两难处境，在整个网络产业都处在这样一个重要的十字路口。一方面，我们可以开发各种独立的网络产品，每个都独具特色、享有专门的特性和功能。而另一方面，我们希望把更多的功能集成到一个统一的网络平台上，这个平台集易用性、集成性和功能统一性于一体，但是这种集成却受制于现有的体系架构。从产品制造商、服务提供商、到最终用户都在这个十字路口上进行仔细的权衡，对于一个用户来说，他权衡的根本是安全和性能他究竟注重哪一个，对于产品制造商和服务提供商权衡的依据是他们的什么是他们的核心用户，他们的核心客户究竟需要什么？

network

居然没人看