网络处理器及在网络安全中的应用-PPT课件

1、网络处理器及在网络安全中的应用中科网威信息技术有限公司叶小列2019-07-28网络处理器特性可编程性-programable ；简单的编程模式 simple programming mode;最大化系统灵活性 maximizing the systems flexibilities;高处理能力 high performance;高度功能集成 highly functionally integration;开放的编程接口 open programming interface;第三方支持能力 third supporting;David Husak 认为-网络处理器的分类全编程型 代表厂家为In

2、tel、Cognigine ；优点是灵活性强 ；缺点是比较复杂，熟练掌握有难度 ；流水并行处理型 代表厂家Agere和Ezchip 优点是实现数据层面功能比较简单 ；网络处理器的分类固定功能型 代表厂家AMCC ；缺少灵活性，但效率高、易于实现 ；多核通用处理SOC型代表厂家是Broadcom 公司 ；优点是灵活性强 ，便于掌握；需要结合硬件进行系统优化；IBM NP4GS3遵循PowerNP体系 ；EPC(Embedded Processor complex ) 指令存储器 ；MAC ；Fabric接口 ；固定功能逻辑 ；16个picoprocessor； 多个加速器件 ；PowerPC 4

3、05处理器 ；线程切换和包处理模式具有创造性 ；2019年度“Microprocessor Report Analysts Choice Award ” IBM NP4GS3基于P4GS3的清晰的产品开发流程；各种加速逻辑可以通过编写代码来整合 ；提供了丰富的API和工具 ；编制了详实的技术指导文档 ；IXP2400/2800内部包含一个通用600Mhz xscale RISC核;初始化和管理层面的工作由xscale负责 ;内部集成了8个微引擎（Microengine）;照四个一组分为两组 ;每个微引擎可以启动多个线程 ;微引擎可容纳4096条指令 ,每条指令40比特宽，并通过校验防止错误 ；

4、硬件实现CRC校验、随机数发生器、乘法器和计时器功能 ；IXP2400/2800提供大量专用和通用寄存器、Hash逻辑 ；拥有两个QDR SRAM接口 ；通用内存控制器支持DDR DRAM，最大容量达1Gb ；内嵌MSF(Media and Switch Fabric)接口 ；IXP2800微引擎增加到16个 ，并增加了加解密硬件 ；BCM1250/1255/1280集成三个10/100/1000兆以太MAC ；双内存访问通道，带宽最高可达50Gbps ；HyperTransport高速端口能提供19.2Gbps的通讯能力 ；1GHz条件下，两个MIPS核具有4000MIPS或10Mpps的处

5、理能力 ；双核支持非对称配置；面向网络分组处理优化的内部ZBus总线；当前网络面临的挑战带宽需求迅猛增长；网络服务从简单的浏览到多媒体等高层次、交互式服务；通用处理器的处理能力的增长远远不能满足数据层面的要求；异构网络、多种接口形式；性能、灵活性、兼容性；快速开发和生存期延长的要求；网络安全面临的挑战个人的私密信息由于网络问题被泄漏；各种关键数据的完整性受到来自网络内部、外部的威胁，如金融、证券等行业的交易数据；网络中用户的身份鉴别问题；网络服务和应用的授权问题；网络活动的不合否认问题；特定服务的有效性；网络安全产品百兆、千兆防火墙设备IDS系统；VPN软件、芯片和设备；加解密软件、芯片和设备

6、；路由器、交换机和多服务接入设备等；认证设备或系统；网络处理的层次数据层面控制层面管理层面防火墙发展阶段 访问控制列表（Access control lists） 应用代理软件（Application proxies） 状态检测（Stateful inspection） 深度包检测 深度包检测面向应用面向数据流需要进行特征匹配甚至一个字节一个字节的匹配；防火墙需要在特征匹配方面具有高性能！IDS产品的发展方向降低漏报率和误报率；协议分析异常分析安全功能和通用网络设备的融合VPN加解密卡和认证系统防火墙和IDS结合面向路由器端口的防火墙应用；防病毒墙带有路由或交换功能的防火墙；包处理流程包分类的

7、基本算法Recursive Flow ClassificationHierarchical triesSet-pruning triesGrid of triesArea-based quadtree(AQT)Hierachical intelligent cutting (HiCuts)*Fat inverted segment tree（FIST)Bitmap-IntersectionTuple space search参考 Xuehong Sun IP address lookup and packet classificationAlgorithm Time StorageLinear

8、 search N(1000) *N(1000)*Ternary CAM *1 *N(1000)Hierarchical tries Wd(107) *NdW(105)Set-pruning tries *dW(100) Nd(1015)Grid-of-tries W(d-1)(106) *NdW(105)Cross-producting *dW(100) Nd(1015)*FIS-tree *(l+1)W(100) *lN(1+1/l)(104)RFC *d(5) Nd(1015)*Bitmap-intersection *d/W+N/men(100) *dN2(106)HiCuts *d(

9、5) Nd(1015) Tuple space search N(1000) *N(1000)包分类的基本算法N-prefix length;d-dimension;W-address lengthN=1000;d=5;w=32包分类协处理器 IDT PAX.port 1200不同应用的复杂度功能对网络处理能力的要求假设系统吞吐量为1.2Gb/s(其余的数据见表1),RTR 所需要的运算量为1.2/8*2.1=315 MIPS,CAST 需要的运算量为1.2/8*104=15 600 MIPS.网络处理器中单个处理元的处理能力仅为1500MIPS 左右,IBM 的NP2G 为1 596MPIS

10、、Intel的IXP1200 为1 396MIPS.系统负载处理的开销是相当庞大的,并且处理的层次越高,开销越大.摘自：谭章熹的网络处理器的分析与研究需要什么样的处理器？IA-32服务器型P3,P4;XScale(ARM)425,1200,2400Motorola C5AMCC nP7510IBM NP4GS3Broadcom 1250State packet filterNAT/PATLoad BalanceAAAHA代理IPS硬件平台VPN网络处理器在安全领域应用的策略主要承担数据层面的工作；发挥多核优势，以流水和并行的方式处理数据包；协调多核操作，优化调度策略；将计算密集型的操作转移到协处理器上完成；协调DMA和包处理过程；性能瓶颈CPUDDR SDRAM;P4-i875P-DDR 3.2GB/s