（通信与信息系统专业论文）基于intel网络处理器的防火墙中带宽管理模块的设计与实现.pdf

擅要 基于d 网络处理器的防火墙中带宽蕾理模块的设计与实现 基于i n t e l 网络处理器的防火墙中带宽管理模块 的设计与实现 摘要 随着人们对语音、视频等多媒体业务的需求不断增加，网络得到 了迅猛的发展。学校、企业、银行、政府机关等单位都拥有了自己的 局域网。这些局域网最终都通过互联网实现互联，并通过它来传递一 些商业信息及其他重要数据。同时网络的安全性成为互联网用户必须 面对的问题，因此，保护局域网的安全成为一项十分重要的课题。其 中，在网络入口处安装防火墙是一个极为有效的方法。 防火墙是网络安全中应用最多的技术，而传统的网络设备一般采 用硬件芯片或者基于纯粹的软件方案，很难兼顾性能与灵活性两方面 的要求。于是，并行可编程的网络处理器的出现将网络技术的发展推 向一个新的阶段。在网络处理器上开发防火墙，利用其可编程特性， 可以灵活的实现防火墙技术，同时，网络处理器的线性处理速度，可 以很好的满足网络的性能。我们开发基于i x p 2 4 0 0 网络处理器的千兆 防火墙，可以为用户提供很好的网络性能和网络安全性。 本文主要基于作者在研究生学习期间关于英特尔系列网络处理 器所做的一些研发工作展开，首先介绍了英特尔i x p 2 4 0 0 网络处理器 和防火墙的一些基础知识：其中着重讲述了英特尔公司的i x p 2 4 0 0 网络处理器的硬件体系结构、软件体系结构及i x a 软件框架；接着 介绍了防火墙的一些基础知识，主要包括防火墙的技术背景、概念、 分类及其关键技术。随后介绍了i x p 2 4 0 0 千兆防火墙的整体情况，主 要包括：n e t r u s tn p 系统硬件结构、软件结构( 数据平面、控制平面、 管理平面及x s c a l e 和微引擎上的结构) 。然后重点介绍了其中带宽 管理模块的设计和实现，主要包括：总体设计方案以及本模块初始化、 内部处理和消息处理的具体设计与实现。最后介绍了该软件的调试及 测试情况其中包括了相应的测试内容及结果。 关键字：防火墙网络处理器i x p 2 4 0 0 带宽管理 叠 基于t 蚪网络处理嚣的防火墙中带竟蕾理檀块的设计与实现 d e s i g na n dd e v e l o p m e n to ft h e b a n d w i d t hm l 州a g eo ft h e f i r e 、7 l ，a l lb a s e do nn p a b s t r a c t a st h ed e m a n do ft h em u l t i m e d i ab u s i n e s s e si n c r c a s e ，s u c ha ss o u n d a n dv i d e o ，n e t w o r kh a sg o t t e ng r e a t l yd e v e l o p m e n t s c h o o l ，e n t e r p r i s e ， b a n ka n dg o v e r n m e n to r g a n i z a t i o nh a v eo w nl a n t h e s el a n sa r e c o n n e c t e dt h r o u g hi n t e r n e t ，a n dt r a n s m i tc o m m e r c i a li n f o r m a t i o na n d o t h e ri m p o r t a n td a t at h r o u g hi t a n dn o wt h es e c n r l t yo fn e t w o r k sh a s b e c a m et h ep r o b l e mt h a ti n t e r n e tu s e rm u s tf a c e t h e r e f o r e t h es e c u r i t y o ft h el a ni sv e r yi m p o r t a n t t h em o s te f f e c t i v em e t h o dt op r o t e c t n e t w o r ki st oi n s t a l lf t r e w a l la tn e t w o r ke n t r a n c e a tp r e s e n t ，t h es e c u r i t yo fn e t w o r k sh a sb e c o m et h ep r o b l e mt h a t i n t e m e tu s e rm u s tf a c e f i r e w a l l i st h em o s tu s e dt e c h n o l o g yi nn e t w o r k s e c u r i t y h o w e v e r , t h et r a d i t i o n a ln e t w o r kd e v i c e sw h i c ha r ea s i cb a s e d o rp u r es o f t w a r eb a s e d ，c o u l dh a r d l ys a t i s f yw i t hb o t hp e r f o r m a n c ea n d f l e x i b i l i t yr e q u i r e m e n t s t oo v e r c o m et h i so b s t a c l e ，t h ep a r a l l e la n d p r o g r a m m a b l en e t w o r kp r o c e s s o r sh a v eb e e ni n v e n t e d ，w h i c hc a r r yt h e n e t w o r kd e v e l o p m e n t st oan e ws t a g e d e v e l o p i n gf i r e w a l lb a s e do n n e t w o r kp r o c e s s o r , w ec a na c h i e v et h ef i r e w a l lt e c h n o l o g yf l e x i b l yf o r t h en e t w o r kp r o c e s s o r sp r o g r a m m a b l ef e a t u r e s a tt h es a m et i m e ，t h e n e t w o r k p e r f o r m a n c ec a nb eg o o dm e e tf o rt h el i n e a rp r o c e s s i n gs p e e d i n aw o r d t h ef i r e w a l lb a s e do nn e t w o r kp r o c e s s o rc a np r o v i d em u c hb e t t e r p e r f o r m a n c ea n ds e c u r i t yf o ri n t e m e tu s e r t h i sd i s s e r t a t i o n w h i c hm a i n l yc o v e r sm yd e s i g na n dd e v e l o p m e n t b a s e do ni n t e ln e t w o r kp r o c e s s o r s f i r s t l yt h ep a p e ri n t r o d u c e ss o m e b a s i ck n o w l e d g ea b o u tt h ei n t dd 2 4 0 0n e t w o r kp r o c e s s o r ：m a i n l y i l i 麓要 基于- 罔络处理矗的防火墙中带竟管理檀块的设计与实理 d e s c r i b e st h eh a r da r c h i t e c t u r e ，s o f ta r c h i t e c t u r ea n di x as o f t w a r e f r a m e w o r ko fi n t e li x p 2 4 0 0n e t w o r kp r o c e s s o r t h e nt h e p a p e r i n t r o d u c e ss o m eb a s i ck n o w l e d g ea b o u tt h ef i r e w a l lm a i n l yi n c l u d i n gt h e t e c h n o l o g yb a c k g r o u n d ，c o n c e p t ，c l a s s i f i c a t i o na n dk e yt e c h n o l o g i e so f f i r e w a l lt e c h n o l o g i e s t h e nt h ep a p e ri n t r o d u c e st h en e t r u s tg i g ab i t s f i r e w a l ls y s t e m ：i tm a i n l yi n c l u d i n gn e t r u s tn p s y s t e mh a r da r c h i t e c t u r e ， s o f ta r c l l i t e c t l l r e ( i h ea r c h i t e c t i l r eo fd a t ap l a n e ，c o n t r o lp l a n e ，m a n a g e p l a n ea n dx s c a l e ，m i c r o e n g i n e ) t h e nt h ep a p e rm a i n l ys h o w st h ed e s i g n a n dd e v e l o p m e n to ft h em o d u l eo ft h em a n a g e m e n to fb a n d w i d t h ，i t m a i n l yi n c l u d i n gt h ew h o l ed e s i g no ft h em a n a g e m e n to fb a n d w i d t h m o d u l eo nc o n t r o lp a n e la n dt h ei m p l e m e n t a t i o no ft h ei n i t i a t i o n ， i n t e r n a lp r o c e s s i n ga n dt h em e s s a g e sp r o c e s s i n gi nd e t a i l a tl a s ti ts h o w s t h et e s ta n dd e b u go ft h es o f t w a r ei n c l u d i n gt h et e s ta n dd e b u ga n dt h e i r o u t c o m e s k e y w o r d s ：f i r e w a l l ，n e t w o r kp r o c e s s o r , i x p 2 4 0 0b a n d w i d t hm a n a g e i v 英文编喀语景引 薹于- 舟络处理嚣的防火墙中带宽f 理檀块的设计与实现 英文缩略语索引 a p i a s i c b 、v m c c c c i d m 【z d n a t f t p f w i c m p 姒 m b m 匣 m s f n 虹 n p o s s l r i s c r m l s n 盯 s r a m a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e a p p l i c a t i o ns p e c i f i ci n t e g r a t e dc i r c u i t b a n d w i d t hm a n a g e m e n t c o r ec o m p o n e n t s c o r ec o m p o n e n t si n f i a t r u c t u r e d e m i l i t a r i z e dz o n e d e s t i n a f i o nn e t w o r ka d d r e s st r a n s l a t i o n f i l et r a n s f e rp r o t o c o l f i r e w a l l i n t e r n e tc o n t r o lm e s s a g ep r o t o c o l i n t e r n e te x c h a n g ea r c h i t e c t u r e m i c r o b l o c k m i c r o e n g i n e m e d i aa n ds w i t c hf a b t i ci n t e r f a c e n e t w o r ka d d r e s st r a n s l a t i o n n e t w o r kp r o c e s s o r o p e r a t i n gs y s t e ms e r v i c el a y e r r e d u c e di n s t r u c t i o ns e tc o m p u t e r r e s o u r c em a n a g e m e n tl i b r a r y s o u r c en e 咖r ka d d r e s st r a n s l a t i o n s t a t i cr a n d o ma c c e s sm e m o r y 应用编程接口 专用集成电路 带宽管理 x s c a l e 核软件模块 核软件模块基础结构 非军事化区 目的网络地址转换 文件传输协议 防火墙 互联网控制报文协议 互联网交换架构 微块 微引擎 媒体与交换结构接口 网络地址转换 网络处理器 操作系统服务层 精简指令集计算机 资源管理库 源网络地址转换 静态随机存储器 声啊 基于嘲罔络处理矗的舫火墙中带宽瞥理檀块的设计与实现 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电 大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：日期：型：三：竺 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定， 即：研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学 校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论 文被查阅和借阅；学校可以公布学位论文的全部或部分内容可以允许采用 影印、缩印或其它复制手段保存、汇编学位论文。( 保密的学位论文在解密 后遵守此规定) 本学位论文不属于保密范围，适用本授权书。 本人签名：日期：巡：! ：竺 辄邵嗍半 一络处理矗爱防火墙技术撮谜 基于_ 胃络处理嚣的防火墙中莆宽管理援块的设计与实现 第l 章网络处理器及防火墙技术概述 1 1 网络处理器概述 1 1 1 网络处理器简介 信息技术日新月异的进步推动了信息化的进程，促进了社会经济的发展，在 很多领域，很大程度上改变了人们的生活方式，也提高了人们的生活质量。另一 方面，随着电子商务、网络多媒体、v o i p 等业务的兴起推动着传统通信网络进 入了一个新的发展阶段。在这一阶段中，业务的种类、内容和服务质量的地位将 越来越突出，并成为网络设备提供商和网络运营商之间竞争的焦点。 为适应这些网络需求，当今网络正在向n g n ( n e x tg e n e r a t i o nn e t w o r k ) 的方 向发展。下一代网络是可以提供包括话音，数据和多媒体等各种业务的综合开放 性网络构架，采用开放的网络构架体系、业务驱动的网络、基于统一协议的基于 分组的网络。伴随它们而来的是对网络处理速度和能力的更高要求，如何提高网 络设备的处理速度和可编程能力成为当务之急。 网络设备的可编程能力和处理速度常常是一对矛盾，传统的路由器和以太网 交换机就是最典型的例子。传统路由器采用基于通用计算机的体系结构，这一方 面使其具有良好的可编程能力，另一方面也限制了它的处理速度。以太网交换机 利用硬件专用集成电路a s i c 来实现第二层交换，可以达到很高的交换速度，但 不能进行更高层协议的处理。 以专用可配置a s i c 为核心的第三层交换机一定程度上克服了这对矛盾。但 随着网络应用的越来越丰富，专用集成电路a s i c 在灵活性和功能上的局限性也 变得越来越明显。为了进一步提高处理的灵活性又保证处理速度，网络处理器 0 岬，n e t w o r kp r o c e s s o r ) 应运而生。 网络处理器是一种专门用来执行包处理、转发的高速可编程处理器。它是高 速网络设备支持业务管理、安全与网络监控、服务质量( q o s ) 等网络功能必不可 少的元件，也是各种新型网络设备的处理核心，它的出现将把网络技术的发展推 向一个新的阶段。 罔络处理量及防火墙技术概述 基于t l t e l 目培难哩蚤的舫火墙中带宽管理檀块的设计与实瑰 英特尔( i n t e l ) 公司是网络处理器领域的领导者和革新者。英特尔( i n t e l ) 网络处理器家族由先进的可编程的产品组成，这些产品用于网络设备可快速地管 理和导引数据在互联网上的传输。新的技术在提高性能的同时，通过引入转发数 据流的协处理器( c o p r o c e s s o r s ) 以降低成本。英特尔( i n t e l ) 将多处理引擎与一个 基于英特尔x s c a l e 微架构的处理器集成在一个芯片上，为设备设计者们提供了 利用强大的处理能力来完成高要求设计任务的灵活性。 英特尔( i n t e l ) 新一代网络处理器该芯片主要面向2 5 g b p s 速率下的网络 应用集成了多处理引擎，该芯片主要面向2 5 g b p s 速率下的网络应用，成熟的软 件管道( p i p e l i n i n g ) 技术和分布式记忆缓存机制( m e m o r yc a c h i n gm e c h a n i s m s ) 以确 保能够满足最苛刻的包处理要求。作为一个里程碑，高达1 0 g b p s 的性能相对目 前英特尔( i n t e l ) 网络处理器6 0 0 m b p s 的速度而言是一巨大的进步。 新的网络处理器将采用英特尔先进的0 1 3 微米工艺进行制造，速度高达 1 4 g h z ，同时降低了功耗和制造成本。英特尔新的技术将用于新的网络处理器 家族，为开发商提供了适合于用户终端设备和网络核心设备等各种通信设备的各 种处理器。为了缩短开发时间和降低开发成本，该系列产品将实现与通用开发环 境以及基于i x p 2 4 0 0 网络处理器开发环境的工具套件的兼容。 i n t e l i x a 是一个主要着重于i n t e l i x a 网络处理器上的分组处理体系结 构。这些处理器的特征是个由以下三个要素构成的多处理体系结构： 微引擎技术( m i c r o e n g i n e ) ：一个可编程的、多线程的精简指令集计算机 ( r i s c ) 微引擎的子系统，能够在数据平面上进行高性能的分组处理。 英特尔公司x s c a l e 微体系结构( m i c r oa r c h i t e c t u r e ) ：能够进行低功耗、高 密度的控制平面应用的处理。 英特尔公司i x a 硬件抽象层：让代码能够跨过多代微引擎被再次利用， 从而提供软件的可移植性。 英特尔( i n t e l ) i x a 架构为下一代互联网产品提供了一个灵活快速投入市场 的开发结构。i x p 2 4 0 0 是英特尔( i n t e l ) 公司网络处理器的主流产品，这是一 种集合了灵活性、高性能、集群性最佳属性的可编程嵌入式处理器。 1 1 2 网络处理器的技术特点 形成网络处理器竞争优势的技术特点主要有： 1 ) 可编程性。网络处理器的本质在于其可编程性，从而改变专用集成电路 a s i c 灵活性差的缺点。这是通过提供界面友好而功能强大的编程、调试和性能 评价等软件环境来实现的。 2 ) 并行处理。网络处理器可实现不同级别的并行处理：通过流水线实现指 令级的并行，通过硬件线程实现线程级的并行，通过片内多处理器结构实现处理 2 固络处理畚及防火墙技术概述 基于- 霸络处理毒的防火墙中带宽管理檀块的设计与实现 器级的并行。 3 ) 高速数据处理。网络处理器需要具有线速处理的能力，以避免节点设备 成为瓶颈。其硬件结构为此提供了保证。 4 ) 深层数据处理。也叫智能处理( i n t e l l i g e n tp r o c e s s i n g ) 。根据不同的服务 要求，可对分组( 帧) 进行不同深度的处理。例如路由查找只需处理第3 层( i p 头部) ，分类需要处理到第4 层( t c p u d p 协议) ，而安全则需要处理到应用层r 分 组携带的有效载荷) 。 5 ) 模块化设计网络处理器体系结构的模块化也包含不同的层次：硬件层 面和软件层面的模块化。通过模块化设计，力图在保持高性能的基础上获得很好 的可扩展性和灵活性，并能使设备厂商容易研发不同性能和不同特性的设备。 6 ) 可扩展性。网络处理器的可扩展性同样包含硬件可扩展性和服务可扩展 性。前者指网络处理器除了可以用来研制小型设备，还可以通过交换机构的连接 研制大型设备。后者是指可以在对原有软件结构做很小改动的基础上加入新的服 务和功能。 1 1 3 网络处理器的应用 网络处理器除了提供优化的底层硬件平台，还配有功能强大的软件开发系 统，包括丰富的a p i 和函数库、图形化界面的集成开发环境、c 或微代码( 汇编) 的编程语言、进行软件调试的模拟器、用于硬件调试的目标机评估板、性能分析 器和规范化的软件开发模型等。 网络处理器可用于开发从第2 层到第7 层的各种网络服务和应用，例如交换、 路由、虚拟专用网、多协议标记交换、服务质量、计费、负载均衡、安全和监测 以及第三代移动通信( 3 g ) 等。网络处理器能用于各种用户端、网络边缘接入 和网络核心骨干的设备，例如家电网络平台、入侵监测系统、智能交换机、防 火墙、企业路由器、核心路由器、远程访问服务器和网络( w e b ) 交换机等。从 规模上来说，网络处理器可以作为处理核心来研制小型设备( 单板结构) ，也可 以作为线卡处理单元研制大型设备( 多板结构，通过交换机构相连接) 。网络处 理器在网络系统不同位置的功用具体包括： 1 ) 在局域网( l a n ) 企业网 在局域网( l i n ) 企业网中，网络处理器的应用包括：( 1 ) 入侵监测、数据 加密、网络监控、企业网( i n t r a n e t ) 防火墙等安全控制，防御内部和外部的恶 意行为；( 2 ) 进行分组分类识别关键业务流，提供优先传输服务，实现用户在 网络服务上的各种管理策略，保证服务质量q o s ；( 3 ) 提供虚拟专用网v p n ；( 4 ) 流量工程。 2 ) 在广域边缘接入网络 3 固络处理嚣及防火墙技术概述 基千时爵络处理番的防火墙中带宽管理檀块的设计与实理 主要是支持多种新型业务和多种网络接入，并进行服务质量控制，其中包括： ( 1 ) 分组分类、聚合和调度：( 2 ) 实现基于业务等级协议( s l a ) 的服务质量 管理，提供带宽和时延保证，支持动态带宽管理；( 3 ) 提供虚拟专用网业务v p n ； ( 4 ) 实现负载均衡；( 5 ) 分解和装配各种类型的协议数据单元，执行协议转换， 支持多种传输媒体接入；( 6 ) 安全与网络监控。 3 ) 在广域核心网络 在核心网中，网络处理器用于在o c - 4 8 至o c - 1 9 2 甚至更高速率下实现对 聚合流的分类识别和转发，支持服务质量控制和流量工程，支持多协议标号转换 ( m p l s ) 、区分服务( d i f f s e r v ) 等协议。 1 1 4 网络处理器的体系结构 网络处理器的出现是体系结构设计日趋成熟的结果。网络处理器相对于c p u 和专用集成电路a s i c 的优势都源于其体系结构的先进性。 1 1 4 1 硬件体系结构 i x p 2 4 0 0 一般是连接两个一起，在一块片子上集成了八个均衡的精简指令集 计算机r i s c 作为数据处理器、一个x s c a l e 核、两个单向媒体和交换矩阵接口、 两个存储器接口、一个外围组件互联( p c i ) 总线接口。 图1 1i x p 2 4 0 0 网络处理器硬件体系结构 4 胃络处理叠及防火墙技术概连 基于- _ 一碧处理矗的防火墙中带竟管理檀块的设计与实理 i x p 2 4 0 0 由一个英特尔的x s c a l e 核和八个微处理器组成。不仅拥有强大的数 据处理能力，还可以提供更复杂的功能，如地址学习功能、转发表的生成与维护 和网络管理等。如图1 - 1 描述了i x p 2 4 0 0 网络处理器的硬件体系结构，主要包 括以下几个部分： 1 1 1 t e lx s c a l e 核：工作频率为6 0 0 删z ( 或4 0 0 t z ) 是一个高性能、低功 率的3 2 位r i s c 处理器，遵循a r mv 5 t e 的体系结构，包括介质访问控制 ( m a c ) 单元、内存管理单元( 删) 、指令和数据缓存等。与其他嵌入式通 用处理器一样，它可以编程( 用微代码m i c r o c o d e ) ，还可以植入l i n u x 和v x 冒o r k s 等操作系统。i n t e lx s c a l e 主要用于网络处理器的初始化和 管理，还可用于执行外部操作、慢通道处理和其他一些控制层任务。 微引擎：i x p 2 4 0 0 完成数据平面的处理，共有八个微引擎，分成两个族， 每族四个。每个微引擎可支持四到八个线程，每个线程有独立的程序计 数器。承担了大部分的网络数据包处理工作。所有l i e 都可以访问共享资 源，每个帆还可以直接对它的相邻m e 进行访问。微引擎的工作频率与 i x p 2 4 0 0 核的频率相同，每条指令执行时刚为一个时钟周期，它支持软 件控制的多线程操作( 每个微引擎有八个线程) ，当一个线程在等待耗时 较长的存取操作时，另一个线程就可以进行其他操作，从而大大提高了 微引擎的资源利用率。每一个微引擎内部都拥有大量的存储器和寄存器， 包括可编程的4 k 指令存储区、2 5 6 个3 2b i t 的通用寄存器、5 1 2 个3 2b i t 的传输寄存器( d r a m 和s r a m 各2 5 6 个) 、1 2 8 个邻居寄存器( n e x t n e i g h b o rr e g i s t e r s ) 和6 4 0 个3 2b i t 的本地寄存器( l m ) 。 动态随机存取存储器( d r a m ) 控制器：1 个d d rd r a m 控制器，主 要用于存储数据。峰值带宽可达2 4 g b s ，工作时钟为l o o 1 5 0 删z ，具 有自动纠错功能。 静态随机存储器( s r a m ) 控制器：2 个用于q d rs r a m 的独立控制器， 主要用于存储控制信息。峰值带宽可达每通道1 6 g b s ，工作时钟为 1 5 0 - 2 0 0 m h z 。包含硬件逻辑支持队列及循环队操作、原子运算以及位原 子操作。 草稿板存储器( s c r a t c h p a d ) ：用于微引擎之间的通信以及重要数据的内 部缓存。 媒体和交换矩阵接口( m s f ) ：网络帧和或交换架构的接口。包括接收和 传送缓冲器。用于i x p 2 4 0 0 和物理层( p h y ) 设备及交换结构的连接。它 由若干个独立的接口组成，这些接口可单独配置，以支持u t o p 队( 一至 三层) 、p o s p h y ( 二、三层) 或者c s i x 协议接口总线的时钟频率在 s 胃络处理矗及畴火墙撞术厩连 基于喇目络处理毒的肪火墙中带宽管理檀块的设计与实现 2 5 1 2 5 m h z 之间。 哈希单元：多项式哈希加速器，i m dx s c a l e 核和微引擎采用哈希单元来 进行哈希计算。支持4 8 b i t 、6 4 b i 、1 2 8 b i t 的哈希运算。 外围组件互联( p c i ) 控制器：6 4 位外围组件互联p c i 总线，用于连接 主处理器和媒体接入控制设备等外围设备。遵从p c l 2 2 规范，频率为 6 6 m h z 。 芯片控制与状态寄存器：包含了i x p 2 4 0 0 芯片的控制、状态寄存器，用 于芯片工作模式的设定和运行状态的采集；具有特定内部处理器通信特 征，提供了灵活有效的内部微引擎之间的通信、微引擎和i n t e lx s c a l e 核之间的通信。 h l t e lx s c a l c 核外围设备( ，i ) ：中断控制器、时钟、通用异步收发器 u a r t 、通用目的的输入输出接口、对低速芯片外围设备( 如网络设备 维修端口) 的接口和闪存( f l a s h r o m ) 。 性能监视器：一种计数器，用于编程计数所选择的内部芯片硬件事件， 用于分析和调整性能。 对应的功能模块如图1 - 2 所示。 利用以上功能单元，i x p 2 4 0 0 可以与多种外部设备及存储体直接相连，进一 步扩大了应用范围。这些结构特性使i x p 2 4 0 0 在高性能网络应用领域有巨大的发 展空间，例如流量控制、q o s 、多业务交换、2 5 g 3 g 无线系统、4 层7 层的包 交换及负载平衡、v o l p 网关、边缘路由器和防火墙等。 图1 - 2i x p 2 4 0 0 网络处理器的功能模块 1 1 4 2 软件体系结构 网络处理器既具备专用集成电路( a s i c ) 的高性能，又具备精简指令计算机 ( r i s c ) 芯片的可编程性，提供了足够的灵活性来适应数据通信市场高速发展的要 求。通过运行不同的程序，可以使同样的硬件平台支持不同的功能因此，软件 开发是网络处理器应用的重要一环。i x p 2 4 0 0 平台上的软件按其执行部件的不同 6 一络处理矗殛防火墙拄术嚣连 基于- 岫罔培蛙理墨的防火墙中带宽管理檀块的设计与实瑰 可分为两部分： 运行于微引擎上的应用程序 主要进行数据平面的快通道数据处理，实现数据流输入输出、打包拆包、 分类、快速查表、转发等实时性高的处理，通过模块化的微块( m i c r o b l o c k ) 来实 现。这部分程序可以利用专门的微码进行开发。英特尔公司提供了一个功能完善 的集成开发环境d e v e l o p e rw o r k b e n c h ，它具备符号汇编、链接、硬件仿真、程 序调试、性能分析等功能。利用它，软硬件的开发可以同时进行，将大大缩短开 发周期。 微引擎的编程模型有顺序线程模型和无序线程模型两种，顺序线程模型每个线程 处理一个数据包，该线程顺序执行多个操作，线程之间相互关联，在每个阶段， 功能函数只能在一个线程上执行，线程之间的同步通过线程问信号来实现，这种 模型适合于执行相同的数据包处理流程，要求数据包顺序发送，并要求高性能。 主要的应用实例有数据包的收发模块，队列管理模块和调度模块。无序线程模型 则包含线程池( p o o lo ft h r e a d s ，p o t ) ，每个线程处理单个数据包，该线程对数 据包执行多个操作，线程之间相互独立，每个线程可以以最快速度运行，线程间 的同步由设计者决定，假定线程池在多个微引擎上运行，使用存储器或其他全局 资源实现同步，这种模型适合于分组处理复杂程度不同的线程，该线程独立于其 他线程的执行时间。主要应用实例是分组处理模块。 运行于x s c a l e 核处理器上的实时操作系统、驱动程序、路由表维护及上 层应用程序 主要完成与控制处理器相连，实现慢通道的异常数据包处理以及微引擎的管 理与配置。一般可以用标准c 语言来实现。通过核心部件( c c ，是i x a 软件架构中 一种重要的模块化组件，能够提供最大程度的可扩展性和代码的重用，经常是慢 通道上用于处理数据包的实体) 来实现。 d 四2 4 0 0 网络处理器的软件结构由三个平面组成，各个平面完成的功能如图 i - 3 中所描述。 可移植的i x p 2 4 0 0 软件设计包括以下内容： 提供了一种体系结构，可以实现数据平面的模块和代码的重用，快通道： 微块m i e r o b l o e k 体系结构，慢通道：核心组件c o r ec o m p o n e n t 。 提供了与控制平面协议栈的接口方式：c p p d k ( c o n t r o lp l a n e p d k ) ，机架 的管理和处理，控制、管理平面协议栈。 提供了一些基本的应用实例：4 g ei p v 4 ，o c - - 4 8p o s ，队，4 佃、r 6 佾n i ，m p l s ， 供开发者参考。 7 络处理矗磕防火墙技术概述 t 于嘲一络处理嚣的防火墙中带宽管理檀块的设计与实理 控制平面 协议处理配置和路由表更新 在x s c 叫c 恢上运行 在外接的c p u l 运行 数据平面 高速数据包处理和转发 快通道一皿v 2 徽引摹处理简单的i p 转发 慢通道ri n t e lx s c a l e 棱处珲异常数据包 ( 通常是指i p 协议控制数据包) 管理平面 安装配置用户接口 策略管理用户接口 系统管理，统计计费等 图1 - 3e ( p 2 4 0 0 软件分平面结构 1 1 4 3 英特尔i x a 软件框架 i x as d k 3 x 是可移植的i x p 2 4 0 0 软件设计提供的一个集成开发环境。s d k 3 0 软件开发包包括微引擎开发环境、x s o a l ec o r e 开发环境、b u i l d i n gb l o c k 和应 用实例等部分。x s c a l ec o r e 部分可以运行两种操作系统：v x w o r k s 和l i n u x ，相 应的b s p 已有现成的产品。在b u i l d i n gb l o c k 部分提供了高度模块化的b l o c k ( m i c r o b l o c k 和c o r ec o m p o n e n t s ) ，分别为数据平面和控制平面提供了可重用的 软件模块。应用实例中给出了一些参考设计( 4 g e v 4 、o c - 4 8p o s 、i p v 4 i p v 6 a t m 、m p l s ) 供开发者参考。s d k 的软件开发体系结构如图1 4 所示。 该软件体系结构主要分为开发工具和应用服务程序两大部分。与三个平面的 功能相对应，微引擎开发环境也就是对数据平面软件的开发环境，x s c d ec o r e 开发环境也就是控制和管理平面核代码的开发环境。 下面对开发工具的几个模块做简单介绍： d e v e l o p e r sw o r k b e n c h ：集成的图形用户界面开发环境，编辑器，汇编器， 微引擎c 编译器，链接器和调试器，硬件模式和仿真模式的调试。支持m i c r o s o f t v e m d o w s2 0 0 0 操作系统。 x s c a l e 开发工具：支持第三方的开发工具；使用v x w o r k s 操作系统w i n d r i v e r 公司的t o r n a d o 集成开发环境v x w o r k s5 4 及以上版本。 汇编微引擎c 编译器：微引擎c 编译器主要编译c h 文件，生成o b j 文件 和1 i s t 文件这，这里的1 i s t 文件只提供给单一一个m b 使用；而汇编编译器则编 译、 文件，生成1 i s t 文件，这里的1 i s t 文件可以提供多个不同的m b 使用。 对于i x p 2 4 0 0 i x p 2 8 0 0 处理器，其应用程序设计分为控制处理器、x s c a l e 核 和微引擎三大模块，各自功能如图1 - 5 所示。 同络赴理毒及防火墙技术概连 基于嘲一络处理看的防火墙中带宽管理模块的设计与实璁 图l - 4 软件开发体系结构 图1 - 5i x p 2 4 0 0 应用程序结构 9 同络处理矗爱防火墙拄术概进 基于同络处理矗的防火墙中带宽蕾理檀块的设计与实现 图l - 6 为i x a 软件框架结构图，从中可以清楚的看到c c ，c c l ，r m ，o s s l 之间的关系： e x t e r n a l p r o c e s s o r s x s c a i 。c 二二二二 亘亘墨亟歪二二二= 二) c o r e d 0 p t a t a m p 酬l a n e c 亘匦墅互二) c 玉互至互二)- - - - - - - - - - - - - - - - - - - - - - - - ：- - - - - - - - - - - - - - - ：- - - - - - - - - - - - - - - - - ， l b 呻c 二二二亘巫三巫亟至墅匝 二 图i - 6 i x p 软件框架架构 1 1 核心组件c c ( c o r ec o m p o n e n t s ) ： 核心组件c c 是慢通道上用于处理数据包的实体，主要完成以下功能：通过 s r a m 控制模块、输入变量和数据结构对相关的微块进行配置；从微块接收b i b 无法处理的e x c e p t i o n 分组，并进行相应处理。发送分组到其它核心组件或微块； 灵活地区分慢通道和快通道之间地工作，提供与控制平面软件地接口。 核心组件的输a 输出：核心组件有多个输入，每个输入对应到一个d 唯一 的队列上；对于每个输入，核心组件都提供了一个分组，消息处理函数；单个输 入可以接收来自微块和或其他核心组件的数据包每个核心组件都有一个或多 个逻辑输出，定义了数据包去往的下一个模块。 2 1 核心组件基础结构c c i ( c o r ec o m p o n e n t si n f i a s t r u c t u r e ) ： 核心组件基础结构c c i 的功能可概括为：提供进程机制提供进程支持的原 因是在核心组件的代码中并不包含进程控制，由核心组件基础结构来提供这种支 持。区分消息和分组数据通道，核心组件之间需要有分组和消息的传输，核心组 件与数据平面也有分组和消息的传输，这都需要由核心组件基础结构来提供支 持。 3 ) r m l ( r e s o u r c em a n a g e rl i b r a r y ) 在x s c a l e 上运行，用于管理以下资源： 存储器：d r a m 、s r a m 、s c r a t c h p a d 、本地存储器的分配、释放和初始化。 1 0 一络处理暑殛防火墙技术慨谜 基于喇同络处理嚣的防火墙中带毫管理檀块的设计与实理 硬件环( r i n g ) 和队列( q u e u e ：硬件和软件环r i n g 队列q u e u e 的分配和访 问。 微引擎：加载、运行、终止微引擎代码。 缓冲区：创建和访问分组缓冲区和缓冲区f r c c l i s t 。 微块问通信：微块与x s c a l e 之间的消息和数据包传递。 舢o s s l ( o p e r a t i n gs y s t e ms e r v i c el a y e r ) 基于i x a s d k 的应用程序利用o s s l 库的操作系统独立的a p i s 和数据类型， 提供比如线程、同步机制和内存管理等系统服务。 5 ) m b ( m i c r o b l o c k ) ： m i c r o b l o c k 是模块化的功能实体，在微引擎上运行，用于完成数据平面处理 的逻辑网络功能。多个微块可以组成一个微块组，多个微引擎上可以运行相同的 微块组，微块组不能在多个微引擎之间运行。微块组中微块之间的数据流由 d i s p a t c hl o o p 来定义 微块分为以下两大类：( 1 ) d r i v e rm i c r o b l o c k 实现硬件或专用媒体功能，例 如：收发模块、m s f 接口、队列管理( q a r r a y ) ( 2 ) p a c k e t p r o c e s s i n g m i c r o b l o c k ， 执行高层协议，例如：i p v 4 i p v 6 转发、桥接和n a t 。 微块的初始化输入： 控制模块：每个微块都有一个s r a m 区域用于与相应的i n t e lx s c a l ec c 通 信。实时运行时存储的参数可能会改变，例如m a c 地址过滤。 输入变量：在微码加载时就已经确定的变量，以后不会更改。例如，s r a