（计算机应用技术专业论文）基于intel+ixa架构的防火墙技术.pdf

独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意 签名； i 龟：乏三班叁日期；b ；年；月，铲日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： f 毡! ：醯扯 导师签名： 日期：7 。；年；月弘日 皇王型垫查堂堡主笙壅! 茎王! 坐! ! ! 墨垒塑塑塑堕盔堡垫查一 第一章防火墙设计背景 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的 应用性安全技术，并随着网络攻击和安全防护手段的发展而演进。本 论文着重研究新一代防火墙产品中广泛采用的技术，并在i n t e l 公司的 互联网络交换架构i x a ( i n t e li n t e r n e te x c h a n g ea r c h i t e c t u r e ) 上设计、 开发高安全性能、高处理速度的专用硬件防火墙。 1 1 防火墙概论 1 1 1 网络安全定义 安全的定义是：远离危险的状态或特征，为防范间谍活动或蓄意 破坏、犯罪、攻击或逃跑而采取的措旌。网络安全的根本目的就是防 止通过计算机网络传输的信息被非法使用。有时网络信息安全的不利 影响甚至远超过信息共享所带来的巨大利益。 一个有效的安全计划包括安全意识、防止、检测、管理和响应以 使危险降低至最小。完美的安全是不存在的，有决心、持之以恒的攻 击者可以找到欺骗或绕开任何安全措施的方法。网络安全是一种减少 漏洞和管理危险的方法。 安全是一个连续的过程，包括保护阶段、检测阶段、分析阶段、 管理阶段和恢复阶段。分析安全需求是，首先要明确的是要保护的财 产以及它们的价值大小，确定可能会破坏这些财产的威胁，以及威胁 发生的可能性。检测分析指通过监视并记录网络和系统的状态信息， 通过分析这些线索与状态以便能识别出一次攻击。通常使用入侵检测 系统来观察网络通信量。恢复和保护样重要，用来从入侵和攻击中 恢复的有计划的响应是网络安全所必须的一部分。安全管理需要协调 与计划。网络安全是一件复杂的任务。安全性与安全链中最薄弱的环 节密切相关。安全策略一致性是至关重要的。 可用性、完整性、机密性是网络安全的基本要求。可用性是可被 授权实体访问并按要求使用的特性。可用性确保了信息和服务在需要 时可以被访问并能工作。冗余、容错、可靠性、自动故障度越、备份、 恢复、弹性和负载平衡是网络设计中确保可用性是用到的概念。如果 系统不可用，那么完整性和机密性无从谈起。拒绝服务( d e n i a lo f s e r v i c e ，d o s ) 攻击的目的是攻击网络和服务器的可用性。完整性指 皇王型垫查堂堡主笙壅! 茎王! 坐! ! ! 墨垒塑塑塑堕盔堡垫查一 第一章防火墙设计背景 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的 应用性安全技术，并随着网络攻击和安全防护手段的发展而演进。本 论文着重研究新一代防火墙产品中广泛采用的技术，并在i n t e l 公司的 互联网络交换架构i x a ( i n t e li n t e r n e te x c h a n g ea r c h i t e c t u r e ) 上设计、 开发高安全性能、高处理速度的专用硬件防火墙。 1 1 防火墙概论 1 1 1 网络安全定义 安全的定义是：远离危险的状态或特征，为防范间谍活动或蓄意 破坏、犯罪、攻击或逃跑而采取的措旌。网络安全的根本目的就是防 止通过计算机网络传输的信息被非法使用。有时网络信息安全的不利 影响甚至远超过信息共享所带来的巨大利益。 一个有效的安全计划包括安全意识、防止、检测、管理和响应以 使危险降低至最小。完美的安全是不存在的，有决心、持之以恒的攻 击者可以找到欺骗或绕开任何安全措施的方法。网络安全是一种减少 漏洞和管理危险的方法。 安全是一个连续的过程，包括保护阶段、检测阶段、分析阶段、 管理阶段和恢复阶段。分析安全需求是，首先要明确的是要保护的财 产以及它们的价值大小，确定可能会破坏这些财产的威胁，以及威胁 发生的可能性。检测分析指通过监视并记录网络和系统的状态信息， 通过分析这些线索与状态以便能识别出一次攻击。通常使用入侵检测 系统来观察网络通信量。恢复和保护样重要，用来从入侵和攻击中 恢复的有计划的响应是网络安全所必须的一部分。安全管理需要协调 与计划。网络安全是一件复杂的任务。安全性与安全链中最薄弱的环 节密切相关。安全策略一致性是至关重要的。 可用性、完整性、机密性是网络安全的基本要求。可用性是可被 授权实体访问并按要求使用的特性。可用性确保了信息和服务在需要 时可以被访问并能工作。冗余、容错、可靠性、自动故障度越、备份、 恢复、弹性和负载平衡是网络设计中确保可用性是用到的概念。如果 系统不可用，那么完整性和机密性无从谈起。拒绝服务( d e n i a lo f s e r v i c e ，d o s ) 攻击的目的是攻击网络和服务器的可用性。完整性指 一皇三型垫查堂堡主堕皇! 薹王! ! 堡! ! 茎垒塑塑堕堕丛堕塾查一 确保信息完整、精确、可信。对于网络的完整性，指确保收到的消息 与发送的消息是相同的，消息内容没有被修改。机密性用于保护敏感 信息免受未被授权的暴露或可以理解的截取。加密和访问控制用于保 护机密性。 1 1 2 防火墙在网络中的作用 一般来说，防火墙是一种位于网络上的安全机制，通过实施一个或 一组访问控制策略以保护资源不受其他网络和个人破坏。它在内部网 络( 专用网络) 与外部网络( 共用网络) 之间形成一道安全屏障，以 防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时 也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。防 火墙在内部也用于控制对特定部门或资源的访问。 如果在网络的边界没有访问控制，则网络安全性完全依赖于适当 的配置及单个主机和服务器的安全性。在一定意义上所有主机系统必 须通过协作来实现均匀致的高级安全性。如果这样，对于有上百个 设备需要被配置的网络的管理将是不可能的。防火墙的基本思想不是 对单个设备进行保护，而是让所有的访问通过某一点，并对这一点进 行保护，并尽可能地对外界屏蔽保护网络的信息和结构。使用防火墙 有助于提高网络总体安全性。 - - - 一一一一- _ - - _ 一一一一- - - - - - - 图1 1i n t e r n e t 上的防火墙结构 如图卜l 所示，防火墙处于内部网络和外部网络之间，所有数据 包都要经过防火墙的审查，使内部网络多了一道安全屏障。 2 一皇三型垫查堂堡主堕皇! 薹王! ! 堡! ! 茎垒塑塑堕堕丛堕塾查一 确保信息完整、精确、可信。对于网络的完整性，指确保收到的消息 与发送的消息是相同的，消息内容没有被修改。机密性用于保护敏感 信息免受未被授权的暴露或可以理解的截取。加密和访问控制用于保 护机密性。 1 1 2 防火墙在网络中的作用 一般来说，防火墙是一种位于网络上的安全机制，通过实施一个或 一组访问控制策略以保护资源不受其他网络和个人破坏。它在内部网 络( 专用网络) 与外部网络( 共用网络) 之间形成一道安全屏障，以 防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时 也防止这类非法和恶意的网络行为导致内部网络的运行遭到破坏。防 火墙在内部也用于控制对特定部门或资源的访问。 如果在网络的边界没有访问控制，则网络安全性完全依赖于适当 的配置及单个主机和服务器的安全性。在一定意义上所有主机系统必 须通过协作来实现均匀致的高级安全性。如果这样，对于有上百个 设备需要被配置的网络的管理将是不可能的。防火墙的基本思想不是 对单个设备进行保护，而是让所有的访问通过某一点，并对这一点进 行保护，并尽可能地对外界屏蔽保护网络的信息和结构。使用防火墙 有助于提高网络总体安全性。 - - - 一一一一- _ - - _ 一一一一- - - - - - - 图1 1i n t e r n e t 上的防火墙结构 如图卜l 所示，防火墙处于内部网络和外部网络之间，所有数据 包都要经过防火墙的审查，使内部网络多了一道安全屏障。 2 皇量型垫奎堂堡主堡塞! 茎王! ! 型! 圣垒塑塑丝堕盔塑垫查一 1 2 防火墙发展历史和现状 1 2 1发展历史 按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两 大体系：包过滤防火墙和代理防火墙( 应用层网关防火墙) 。从发展历 史来看，经过了四个阶段。 第一阶段的防火墙为基于路由器的防火墙。防火墙与路由器一体， 利用路由器本身对分组解析，过滤判决的依据可是是地址、端口号等 其他网络特征。第一代防火墙产品不足之处很明显：它仅有包过滤的 功能；而且由于路由器的主要功能是为网络提供动态的、灵活的路由， 而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调 和的矛盾，防火墙的规则设置会大大降低路由器的性能；且十分灵活 的路由协议，本身具有安全漏洞。基于路由器的防火墙只是网络安全 的一种应急措施。 第二阶段的防火墙是用户化的防火墙工具套。将过滤功能从路由器 中独立出来，并加上审计和告警功能，用户可针对需求自己动手构造 防火墙，这种用户化的防火墙工具套虽然较第一代防火墙安全性提高 了、价格降低了，但由于是纯软件产品，在实现、维护上都对系统管 理员提出了相当复杂的要求，使用中出现差错的情况很多，而且全软 件的实现使得安全性和处理速度均有局限。 第三阶段的防火墙产品建立在通用操作系统之上，近年来在市场上 广泛可用的就是这一代产品。它包括分组过滤功能，装有专用的代理 系统，监控所有协议的数据和指令，保护用户编程和用户可配置内核 参数的配置，安全性和速度大为提高。第三代防火墙有以纯软件实现 的，也有以硬件方式实现，但随着安全需求的变化和使用时间的推延， 仍表现出不少问题：作为基础的操作系统及其内核往往不为管理者所 知，原码的保密使得安全性无从保证，通用操作系统厂商通常不会对 操作系统的安全性负责，从本质上看，防火墙既要防止来自外部网络 的攻击，还要防止来自操作系统厂商的攻击，用户必须依赖两方面的 安全支持：一是防火墙厂商、一是操作系统厂商。 防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到 1 9 9 7 年初，具有安全操作系统的防火墙产品面市，使防火墙产品步入 了第四个发展阶段。 皇王型塾盔堂堡主丝塞! 茎王! 翌堡! ! 圣垒塑塑堕堕盔些堇查一 1 2 2 第四阶段的防火墙技术 具有安全操作系统的防火墙本身就是一个操作系统，因而在安全 性上较之第三代防火墙有质的提高。第四代防火墙产品将网关与安全 系统合二为一，具有以下技术与功能。 1 双端口或三端口的结构 新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可 不作i p 转化而串接于内部网与外部网之间，另一个网卡可专用于对服 务器的安全保护。 2 透明的访问方式 以前的防火墙在访问方式上要么要求用户作系统登录，要么需要 通过s o c k s 等库路径修改客户机的应用。第四代防火墙利用了透明的 代理系统技术，从而降低了系统登录固有的安全风险和出错概率。 3 灵活的代理系统 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模 块。第四代防火墙采用了两种代理机制，一种用于代理从内部网络到 外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前 者采用网络地址转换( n a t ) 技术来解决，后者采用非保密的用户定制 代理或保密的代理系统技术来解决。 4 多级的过滤技术 为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤 措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分 组和假冒的i p 源地址；在应用级网关一级，能利用f t p 、s m t p 等各种 网关，控制和监测i n t e r n e t 提供的所用通用服务；在电路网关一级， 实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。 5 网络地址转换技术 第四代防火墙利用n a t 技术能透明地对所有内部地址做转换，使 外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己 编的i p 地址和专用网络，防火墙能详尽记录每一个主机的通信，确保 每个分组送往正确的地址。 6 i n t e r r e t 网关技术 由于是直接串连在网络之中，第四代防火墙必须支持用户在 i n t e r n e t 互连的所有服务，同时还要防止与i n t e r n e t 服务有关的安全 皇至型垫盔堂堡主笙壅! 薹王! ! 型! 圣垒茎塑笪堕坐些塾查一 漏洞。故它要能以多种安全的应用服务器( 包括f t p 、f i n g e r 、m a i l 、 i d e n t 、n e w s 、w w w 等) 来实现网关功能。为确保服务器的安全性，对 所有的文件和命令均要利用“改变根系统调用( c h r o o t ) ”做物理上的隔 离。 在域名服务方面，第四代防火墙采用两种独立的域名服务器，一 种是内部d n s 服务器，主要处理内部网络的d n s 信息，另一种是外部 d n s 服务器，专门用于处理机构内部向i n t e r n e t 提供的部份d n s 信息。 在匿名f t p 方面，服务器只提供对有限的受保护的部份目录的只 读访问。在w w w 服务器中，只支持静态的网页，而不允许图形或c g i 代码等在防火墙内运行，在f i n g e r 服务器中，对外部访问，防火墙只 提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关 的系统信息。s m t p 与p o p 邮件服务器要对所有进、出防火墙的邮件作 处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，i d e n t 服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自i s p 的新闻开设了专门的磁盘空间。 7 安全服务器网络( s s n ) 为适应越来越多的用户向i n t e r n e t 上提供服务时对服务器保护的 需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实 施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外 服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服 务器网络( s s n ) 技术，对s s n 上的主机既可单独管理，也可设置成通 过f t p 、t e l e t 等方式从内部网上管理。 s s n 的方法提供的安全性要比传统的”隔离区( d m z ) 方法好得多， 因为s s n 与外部网之间有防火墙保护，s s n 与内部网之间也有防火墙的 保护，而d m z 只是一种在内、外部网络网关之间存在的一种防火墙方 式。换言之，一旦s s n 受破坏，内部网络仍会处于防火墙的保护之下， 而一旦d m z 受到破坏，内部网络便暴露于攻击之下。 8 用户鉴别与加密 为了降低防火墙产品在t e l n e t 、f t p 等服务和远程管理上的安全 风险，鉴别功能必不可少，第四代防火墙采用一次性使用的口令字系 统来作为用户的鉴别手段，并实现了对邮件的加密。 9 用户定制服务 为满足特定用户的特定需求，第四代防火墙在提供众多服务的同 皇至整楚奎兰璧圭鲨奎! 董量! ! 冀! ! 圣垒篓趁箜堕奎璺茎查一 一 对，还麓矮户定副提貘支持，这类选项有：逶用t c p ，出站u d p 、f t p 、 s m r p 等类，如果某一用户需要建立一个数据席的代理，便可利用这些 支持，方便设置。 1 0 审计和告警 第西俄耱犬壤产晶豹宰诗秘告警磅戆卡分毽全，基恚文传包攒： 一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、 已狡渍惠、邑发港患、滚接需求、已浆剔豹谚趣、钱警条转、管瑗鑫 志、进站代理、f t p 代理、出站代理、邮件服务器、名服务器等。错警 袭辘会守像每一令t c p 或u d p 搽寻，势能班发出郏传、声晌等多秘方 式报警。 建多 繁疆饯黪火壤逐在弼终诊瑟，数据备傍与缳全等方錾具蠢特 色。 1 3i n t e li x a 桨构 穗终逶信服务瓣秀发嚣疆着孀户持续增长戆要求，毽括曼长熬产品 生命周期，灵活的接口选择，鼹快的路由等。i n t e l 公司谯开发熬于 i p 豹疆络溅务以及在核基弛设施( t h ec o r ei n f r a s t r u c t u r e ) 、嘲络 边缘( t h en e t w o r ke d g e ) 和用户周i 毅设施c p e ( c u s t o m e rp r e m is e s e q u i p m e n t ) 之闭鹣宽带连接上，提出了i n t e li x a 架秘( i n t e r n e t f y r h a n 口ra r c h it e c t u r e ) 。 圈1 - 2i n t e li x a 架构在网络歼发中的位置 6 皇置型垫奎堂堡主笙奎! 苎王! 竺璺! 圣垒墨塑盟堕坐堕塾查一 如图卜2 所示，开发者可以利用i n t e li x a 架构在企业局域网，核 心网络，s a n 上开发应用。 i n t e li x a 架构为软件在多代网络处理器之间的移植性提供了一个 良好的基础，它的核心在于i n t e l 网络处理器系列，是一种基于微引 擎技术、i n t e lx s c a le 微结构和i n t e li x a 硬件抽象层的包处理架构。 i n t e li x a 架构是一种灵活的全方位框架，可利用它较方便的实现 网络解决方案。它包括了各类开发人员可轻松编程以满足快速变化发 展要求以及扩展网络基础设施需求的可互用硅元件、软件构件和主板 级产品。i n t e li x a 确定了一种以软件可编程处理器为基础的新型网络 架构，可编程处理器包括i n t e li x p l 2 0 0 网络处理器和嵌入式i n t e l 架构系列处理器、相应的a p l ( i n t e li x as d k ) 和其他主要i n t e li x a 组件。这有助于开发的简化和缩短网络、通信产品与服务的开发周期。 1 3 1主要结构 图1 - 3i r i t e li x a 架构 如图卜3 所示，i n t e li x a 以i n t e li x a 网络处理器为核心，通过 控制平面a p i 和硬件抽象层与应用程序通信。网络处理器的特征在于 是一种有多处理功能的结构，包括如下三个主要部分。 微引擎技术可编程的、多线程的r i s c 微引擎子系统，从而可 提供高性能的包处理功能。 皇王型垫奎堂堡主笙壅! 茔王! 竺! ! ! 茎垒墨塑堕堕坐堡垫查一 i n t e lx s c a l e 微结构一一有助于控制平面( c o n t r o l p l a n e ) 应用 程序的低功耗，高密度处理。 in t e li x a 硬件抽象层一一让代码可以随着网络处理器的发展而在 多代之间可重用，从而提供了软件上的可移植性。 1 3 2微引擎技术 网络处理器的多处理子系统有多个集成的多线程微引擎，为数据 平面( d a t a p l a n e ) 的应用程序的开发提供了一个可编程的计算平台。 i n t e li x p l2 0 0 系列网络处理器有6 个独立的r i s c 数据引擎，并且从 硬件上支持多线程。这些微引擎簇能够处理原先为高速专用集成电路 ( a s i c ) 而保留的任务，并具有良好的可编程性。 微引擎的指令系统是为网络和通信应用中快速有效的转发数据而 特别设计的。微引擎的硬件结构则是设计成不需要核心处理器的帮助 就具有很高的处理性能。为了保证每个微引擎都能充分利用，每个微 引擎都有四个独立的程序计数器，零溢出上下文转换和硬件的信号灯。 微引擎按照核心的时钟频率操作。算术逻辑运算和移位操作能在一个 时钟周期内完成。 每个微引擎都包含一个局域存储器和多个寄存器，其中包括l k 的 高速指令控制存贮区，1 2 8 个3 2 位的通用寄存器和1 2 8 个3 2 位的转移 寄存器( t r a n s f e rr e g is t e r s ) 。 微引擎支持硬件多线程，使得在一个微引擎上能运行四个分离的 程序代码。每个微引擎有4 个程序指针，支持4 个线程，每个线程有它 自身的线程i d 。当一个线程不执行时，每个线程的上下文都保存起来。 当一个线程睡眠，便发生上下文转换，执行另外一个线程。上下文仲 裁逻辑判断当一个线程睡眠时由哪个线程运行，它通过从其他功能单 元发出的信号事件来仲裁。 一个线程可以处于以下三种状态。 运行 睡眠( 不运行，等待一个信号事件的发生) 就绪( 不运行，已经收到它所等待的信号事件，等待上下文仲 裁器允许它运行) 微引擎的多线程结构是非抢占式的。当个线程执行一个上下文转 换指令之后，上下文仲裁器决定下一个执行的是哪个线程。仲裁器通 8 皇王型垫奎堂堡主笙壅! 茔王! 竺! ! ! 茎垒墨塑堕堕坐堡垫查一 i n t e lx s c a l e 微结构一一有助于控制平面( c o n t r o l p l a n e ) 应用 程序的低功耗，高密度处理。 in t e l i x a 硬件抽象层一一让代码可以随着网络处理器的发展而在 多代之间可重用，从而提供了软件上的可移植性。 1 3 2微引擎技术 网络处理器的多处理子系统有多个集成的多线程微引擎，为数据 平面( d a t a p l a n e ) 的应用程序的开发提供了一个可编程的计算平台。 i n t e li x p l2 0 0 系列网络处理器有6 个独立的r i s c 数据引擎，并且从 硬件上支持多线程。这些微引擎簇能够处理原先为高速专用集成电路 ( a s i c ) 而保留的任务，并具有良好的可编程性。 微引擎的指令系统是为网络和通信应用中快速有效的转发数据而 特别设计的。微引擎的硬件结构则是设计成不需要核心处理器的帮助 就具有很高的处理性能。为了保证每个微引擎都能充分利用，每个微 引擎都有四个独立的程序计数器，零溢出上下文转换和硬件的信号灯。 微引擎按照核心的时钟频率操作。算术逻辑运算和移位操作能在一个 时钟周期内完成。 每个微引擎都包含一个局域存储器和多个寄存器，其中包括l k 的 高速指令控制存贮区，1 2 8 个3 2 位的通用寄存器和1 2 8 个3 2 位的转移 寄存器( t r a n s f e rr e g is t e r s ) 。 微引擎支持硬件多线程，使得在一个微引擎上能运行四个分离的 程序代码。每个微引擎有4 个程序指针，支持4 个线程，每个线程有它 自身的线程i d 。当一个线程不执行时，每个线程的上下文都保存起来。 当一个线程睡眠，便发生上下文转换，执行另外一个线程。上下文仲 裁逻辑判断当一个线程睡眠时由哪个线程运行，它通过从其他功能单 元发出的信号事件来仲裁。 一个线程可以处于以下三种状态。 运行 睡眠( 不运行，等待一个信号事件的发生) 就绪( 不运行，已经收到它所等待的信号事件，等待上下文仲 裁器允许它运行) 微引擎的多线程结构是非抢占式的。当个线程执行一个上下文转 换指令之后，上下文仲裁器决定下一个执行的是哪个线程。仲裁器通 8 皇至型垫查堂堡主堡壅! 苎王! ! 型! 茎垒塑塑箜堕坐堕垫查 过以下条件来做决定： 循环仲裁计划，使每个线程有相同的机会运行 是否线程运行使能( 通过c t x e n a b l e s 存器判断) 是否线程处于就绪状态 仲裁器利用了信号事件和唤醒事件状态来判断。每个线程有个 c t xns i ge v e n t s 寄存器来保存唤醒事件状态。仲裁器通过一个循 环( r o u n d r o b i n ) 算法来判断唤醒哪个线程，如果一个上下文唤醒事 件已发生，将这个上下文运行使能。 1 3 3i n t e lx s c a l e 微结构 包处理应用代码由如下两部分组成。 1 数据平面代码。处理所有的包，主要运行在微引擎上，异常由 i n t e lx s c a l e 微结构处理。 2 控制平面代码。用于网络路由和各种服务，由i n t e l x s c a l e 微结构处理。 i n t e lx s c a l e 微结构也可用于运行用户界面和管理( 设置) 代码。 i n t e lx s c a l e 微结构是基于i n t e l 超流水线技术的，这种新的微 结构的指令则是基于a r m 版的5 t e 指令集( 不包括浮点指令) 具有一 流的m w a t t m i p s 性能，并保留了和i n t e ls t r o n g a r m 核心的软件兼容 性，s t r o n g a r r 核是最开始的网络处理器的基础。 i n t e lx s c a l e 微结构有全面的工具来支持，包括编译器，调试器， 操作系统，模型，仿真器，第三方提供者的支持服务以及有充分文件 证明的评估板和工具包。编译器，汇编器和连接器对i n t e lx s c a l e 微 结构，a r m 指令集v 5 t e 和i r i t e ld s p 扩展支持特殊的优化。 在i x p l 2 0 0 处理器中，i n t e lx s c a l e 体现在s t r o n g a r m 芯片上。 s t r o n g a r m 核心最大程度的提高了性能，并可使网络管理功能集成。 1 3 4i n t e li x a 硬件抽象层( h a l ) i n t e li x a 硬件抽象层使i n t e l i x a 有一个主要的优点，即使用 户的代码在多种的应用和多代产品之间可重用。这使得开发者可以更 快更容易的开发新的创新性的应用，并让软件能有更长的市场生命周 期。 同时，i n t e li x ah a l 还可以让微引擎代码能在多代微引擎之间重 9 皇至型垫查堂堡主堡壅! 苎王! ! 型! 茎垒塑塑箜堕坐堕垫查 过以下条件来做决定： 循环仲裁计划，使每个线程有相同的机会运行 是否线程运行使能( 通过c t x e n a b l e s 存器判断) 是否线程处于就绪状态 仲裁器利用了信号事件和唤醒事件状态来判断。每个线程有个 c t xns i ge v e n t s 寄存器来保存唤醒事件状态。仲裁器通过一个循 环( r o u n d r o b i n ) 算法来判断唤醒哪个线程，如果一个上下文唤醒事 件已发生，将这个上下文运行使能。 1 3 3i n t e lx s c a l e 微结构 包处理应用代码由如下两部分组成。 1 数据平面代码。处理所有的包，主要运行在微引擎上，异常由 i n t e lx s c a l e 微结构处理。 2 控制平面代码。用于网络路由和各种服务，由i n t e l x s c a l e 微结构处理。 i n t e lx s c a l e 微结构也可用于运行用户界面和管理( 设置) 代码。 i n t e lx s c a l e 微结构是基于i n t e l 超流水线技术的，这种新的微 结构的指令则是基于a r m 版的5 t e 指令集( 不包括浮点指令) 具有一 流的m w a t t m i p s 性能，并保留了和i n t e ls t r o n g a r m 核心的软件兼容 性，s t r o n g a r r 核是最开始的网络处理器的基础。 i n t e lx s c a l e 微结构有全面的工具来支持，包括编译器，调试器， 操作系统，模型，仿真器，第三方提供者的支持服务以及有充分文件 证明的评估板和工具包。编译器，汇编器和连接器对i n t e lx s c a l e 微 结构，a r m 指令集v 5 t e 和i r i t e ld s p 扩展支持特殊的优化。 在i x p l 2 0 0 处理器中，i n t e lx s c a l e 体现在s t r o n g a r m 芯片上。 s t r o n g a r m 核心最大程度的提高了性能，并可使网络管理功能集成。 1 3 4i n t e li x a 硬件抽象层( h a l ) i n t e li x a 硬件抽象层使i n t e l i x a 有一个主要的优点，即使用 户的代码在多种的应用和多代产品之间可重用。这使得开发者可以更 快更容易的开发新的创新性的应用，并让软件能有更长的市场生命周 期。 同时，i n t e li x ah a l 还可以让微引擎代码能在多代微引擎之间重 9 皇至型垫查堂堡主堡壅! 苎王! ! 型! 茎垒塑塑箜堕坐堕垫查 过以下条件来做决定： 循环仲裁计划，使每个线程有相同的机会运行 是否线程运行使能( 通过c t x e n a b l e s 存器判断) 是否线程处于就绪状态 仲裁器利用了信号事件和唤醒事件状态来判断。每个线程有个 c t xns i ge v e n t s 寄存器来保存唤醒事件状态。仲裁器通过一个循 环( r o u n d r o b i n ) 算法来判断唤醒哪个线程，如果一个上下文唤醒事 件已发生，将这个上下文运行使能。 1 3 3i n t e lx s c a l e 微结构 包处理应用代码由如下两部分组成。 1 数据平面代码。处理所有的包，主要运行在微引擎上，异常由 i n t e lx s c a l e 微结构处理。 2 控制平面代码。用于网络路由和各种服务，由i n t e lx s c a l e 微结构处理。 i n t e lx s c a l e 微结构也可用于运行用户界面和管理( 设置) 代码。 i n t e lx s c a l e 微结构是基于i n t e l 超流水线技术的，这种新的微 结构的指令则是基于a r m 版的5 t e 指令集( 不包括浮点指令) 具有一 流的m w a t t m i p s 性能，并保留了和i n t e ls t r o n g a r m 核心的软件兼容 性，s t r o n g a r r 核是最开始的网络处理器的基础。 i n t e lx s c a l e 微结构有全面的工具来支持，包括编译器，调试器， 操作系统，模型，仿真器，第三方提供者的支持服务以及有充分文件 证明的评估板和工具包。编译器，汇编器和连接器对i n t e lx s c a l e 微 结构，a r m 指令集v 5 t e 和i r i t e ld s p 扩展支持特殊的优化。 在i x p l 2 0 0 处理器中，i n t e lx s c a l e 体现在s t r o n g a r m 芯片上。 s t r o n g a r m 核心最大程度的提高了性能，并可使网络管理功能集成。 1 3 4i n t e li x a 硬件抽象层( h a l ) i n t e li x a 硬件抽象层使i n t e li x a 有一个主要的优点，即使用 户的代码在多种的应用和多代产品之间可重用。这使得开发者可以更 快更容易的开发新的创新性的应用，并让软件能有更长的市场生命周 期。 同时，i n t e li x ah a l 还可以让微引擎代码能在多代微引擎之间重 9 皇王型垫奎堂堡主堡壅! 苎王! 翌垡! ! ! 垒堡塑堕堕坐堡堇查一 用和移植。数据平面代码的微引擎部分对包进行接收，分析，修改， 排队和传送，而i n t e lx s c a l e 微结构部分处理异常和保持状态。把微 引擎功能从硬件中抽象，i n t e li x ah a l 使用户能够保护和重用他们的 微引擎代码。 i n t e li x ah a l 有三个最重要的功能： 1 指令简化。 2 操作系统仿真，比如同步原语。 3 总线i 0 ，简化了和媒体设备的外部通信。 1 3 5i n t e li x p l 2 0 0 网络处理器 i n t e li x p 网络处理器是i n t e li x a 的核心基础，能高速处理多 种媒体类型的包，有效的转发和修改包头，同时还为网络管理和分析 任务保留了足够的计算周期。 图1 - 4i x p l 2 0 0 网络处理器结构 目前为止，i n t e li x p l 2 0 0 网络处理器系列包括i n t e l 1 0 皇王型垫奎堂堡主堡壅! 苎王! 翌垡! ! ! 垒堡塑堕堕坐堡堇查一 用和移植。数据平面代码的微引擎部分对包进行接收，分析，修改， 排队和传送，而i n t e lx s c a l e 微结构部分处理异常和保持状态。把微 引擎功能从硬件中抽象，i n t e li x ah a l 使用户能够保护和重用他们的 微引擎代码。 i n t e li x ah a l 有三个最重要的功能： 1 指令简化。 2 操作系统仿真，比如同步原语。 3 总线i 0 ，简化了和媒体设备的外部通信。 1 3 5i n t e li x p l 2 0 0 网络处理器 i n t e li x p 网络处理器是i n t e li x a 的核心基础，能高速处理多 种媒体类型的包，有效的转发和修改包头，同时还为网络管理和分析 任务保留了足够的计算周期。 图1 - 4i x p l 2 0 0 网络处理器结构 目前为止，i n t e li x p l 2 0 0 网络处理器系列包括i n t e l 1 0 皇王型垫盔兰堡主丝苎! 萎王! ! 堡! ! 茎垒墨塑塑堕盔些堇查一 i x p l 2 0 0 1 2 4 0 ，1 2 5 0 ，2 4 0 0 ，2 8 0 0 处理器，提供了1 6 6 ，2 0 0 ，或2 3 2 的微处理核心，具有循环冗余校验( c r c ) ，纠错代码( e c c ) 存贮器， 从而提供了更好的性能和可靠性。 如图卜4 所示，i x p l 2 0 0 网络处理器内部拥有6 个并行的，可编程 的，多线程微引擎，进行线速度数据平面处理。除了这个微引擎簇， 还有一个s t r o n g a r m 处理器核心，这表明，在任何时刻，可以有7 个 不同的网络任务被处理，同时可有最多到1 8 个任务排队等候在一个时 钟周期内被处理。有专用的微引擎指令进行0 等待状态上下文转换。 1 3 6i n t e li x a 软件开发包( s d k ) i n t e li x as d k ( i n t e li n t e r n e te x c h a n g ea r c h it e c t u r es o f t w a r e d e v e l o p e r sk i t ) 是提供给开发者快速开发i x p l 2 0 0 功能的强大工具。 i n t e li x as d k 基于一种网络服务分离模式，在这种模式下一个i x a 应用分成三个平面，快速包处理的数据平面，异常包及协议栈处理的 控制平面，和进行全面系统配置和控制的管理平面。 s d k 为嵌入式i n t e ls t r o n g h r m 内核和微引擎开发提供了一系列工 具，包括一个高级编程框架和活动计算单元( a c e ) ，可使用它们来创 建i x p l 2 0 0 代码。i n t e li x p l 2 0 0 开发平台包含一个进行微引擎程序设 计的宏汇编器，以及一个指令精确模拟器和性能分析工具来预测代码 在i x p l 2 0 0 上运行的性能。一个嵌入式l i n u x 内核和r a m 盘提供丰富 的编程环境使开发者可以编写复杂的网络服务应用程序，同时保持与 在该环境可用的大部分软件的兼容。 本课题使用的是s d k 2 0 版本。它提供的开发平台包括一个对微引 擎指令进行汇编的汇编器、一个可生成s t r o n g a r m 目标码的工具( 如 c 编译器和汇编器) 、一个用于链接和装载微引擎代码与s t r o n g a r m 代 码的链接器和装载器、i x p l 2 0 0 的事务模拟器( 包含在开发者工作平 台中) 。开发者工作平台将这些软件工具连接在一起，并提供图形用户 界面。此外，它还提供一些有用的功能，如执行环境设置、统计数据 的收集、脚本文件的解释执行、数据监视、记录、队列统计等等。 一个工程包括一个或多个i x p l 2 0 0 网络处理器芯片、微程序源文 件、调试脚本文件以及用于建立微代码图像文件的汇编和链接设置。 这些工程配置信息保存在开发平台的工程文件( d w p ) 中。 程序的调试分为模拟模式和硬件模式两种。在工作平台中，可以用 皇王型垫盔兰堡主丝苎! 萎王! ! 堡! ! 茎垒墨塑塑堕盔些堇查一 i x p l 2 0 0 1 2 4 0 ，1 2 5 0 ，2 4 0 0 ，2 8 0 0 处理器，提供了1 6 6 ，2 0 0 ，或2 3 2 的微处理核心，具有循环冗余校验( c r c ) ，纠错代码( e c c ) 存贮器， 从而提供了更好的性能和可靠性。 如图卜4 所示，i x p l 2 0 0 网络处理器内部拥有6 个并行的，可编程 的，多线程微引擎，进行线速度数据平面处理。除了这个微引擎簇， 还有一个s t r o n g a r m 处理器核心，这表明，在任何时刻，可以有7 个 不同的网络任务被处理，同时可有最多到1 8 个任务排队等候在一个时 钟周期内被处理。有专用的微引擎指令进行0 等待状态上下文转换。 1 3 6i n t e li x a 软件开发包( s d k ) i n t e li x as d k ( i n t e li n t e r n e te x c h a n g ea r c h it e c t u r es o f t w a r e d e v e l o p e r sk i t ) 是提供给开发者快速开发i x p l 2 0 0 功能的强大工具。 i n t e li x as d k 基于一种网络服务分离模式，在这种模式下一个i x a 应用分成三个平面，快速包处理的数据平面，异常包及协议栈处理的 控制平面，和进行全面系统配置和控制的管理平面。 s d k 为嵌入式i n t e ls t r o n g h r m 内核和微引擎开发提供了一系列工 具，包括一个高级编程框架和活动计算单元( a c e ) ，可使用它们来创 建i x p l 2 0 0 代码。i n t e li x p l 2 0 0 开发平台包含一个进行微引擎程序设 计的宏汇编器，以及一个指令精确模拟器和性能分析工具来预测代码 在i x p l 2 0 0 上运行的性能。一个嵌入式l i n u x 内核和r a m 盘提供丰富 的编程环境使开发者可以编写复杂的网络服务应用程序，同时保持与 在该环境可用的大部分软件的兼容。 本课题使用的是s d k 2 0 版本。它提供的开发平台包括一个对微引 擎指令进行汇编的汇编器、一个可生成s t r o n g a r m 目标码的工具( 如 c 编译器和汇编器) 、一个用于链接和装载微引擎代码与s t r o n g a r m 代 码的链接器和装载器、i x p l 2 0 0 的事务模拟器( 包含在开发者工作平 台中) 。开发者工作平台将这些软件工具连接在一起，并提供图形用户 界面。此外，它还提供一些有用的功能，如执行环境设置、统计数据 的收集、脚本文件的解释执行、数据监视、记录、队列统计等等。 一个工程包括一个或多个i x p l 2 0 0 网络处理器芯片、微程序源文 件、调试脚本文件以及用于建立微代码图像文件的汇编和链接设置。 这些工程配置信息保存在开发平台的工程文件( d w p ) 中。 程序的调试分为模拟模式和硬件模式两种。在工作平台中，可以用 一 皇王型垫查兰堡主堕奎! 茎王! 坐! ! ! 兰垒壅塑塑堕奎些垫查一 这两种模式进行程序的调试。在用硬件模式进行程序调试时，需要使 用i x p l 2 0 0 评估板或兼容的硬件。在模拟模式下，事务模拟器 ( t r a n s a c t o r ) 为程序的调试提供支持。在硬件模式下，微引擎的调试 程序库作为s t r o n g a r m 内核程序的一部分与工作平台进行通信，并在 工作平台与微引擎之间传递调试操作信息。在工作平台的菜单中可以 设置断点并控制微引擎的执行，可以察看每个线程的源代码，可以显 示微引擎、线程和队列的状态和历史信息、可以对数据、寄存器和引 脚设置断点、可以配置i x 总线和网络流量的模拟。 事务模拟器执行i x p l 2 0 0 微引擎的目标代码，完成其功能行为和性 能特征的记录。使用i x p l 2 0 0 事务模拟器的第一步是构造一个基于 i x p l 2 0 0 的系统模型。如定义i x p l 2 0 0 芯片的数量、每个i x p l 2 0 0 芯 片具有的s r a m 和s d r a m 的容量。模拟定义完成后，就可以用事务 模拟器运行模拟、调试以及收集性能统计信息。模拟器包含个c 解 释器，实现a n s ic 语言的功能。c 解释器可用于建立功能更强的脚本 文件。c 语句也可以在命令行界面中输入。c 解释器处理各种c 语言 中的语句和大多数表达式，定义的变量作为全局的3 2 位整形，c 结构 的定义可以定义在s r a m 或s d r a m 中。c 解释器还支持宏定义。事 务模拟器支持一些预定义的c 函数，如： a d d b u s c l i e n t 在总线中加入新的设备 a l l o c a r r a y分配连续的存储区 a l l o c l i s t在存储器中建立链表 a m b a a d d r e q 加入一个a m b a 请求 c m d 执行事务模拟器命令 f i e l d 从模式状态返回一个指定的字段