NP是Network Processor的缩写,意为网络处理器。根据“国际网络处理器会议”的定义:网络处理器是一种可编程器件,它特定地应用于通信领域的各种任务,比如包处理、协议分析、路由查找、防火墙、QoS等。
网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成,且多个微码处理器在NP内部并行处理,通过预先编制的微码来控制处理流程。对于某些复杂的标准操作,如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等,则采用硬件协处理器来进一步提高处理性能,从而实现了业务灵活性和高性能的有机结合。
NP的多种产品形态
目前NP主要用于网络骨干设备和网络接入设备,用来开发从网络第2层到第7层的各种服务和应用。目前,采用NP处理分组交换的厂家,既有第一梯队的网络公司,如思科、北电和朗讯等,也有不少后起之秀,如华为、中兴、港湾等。但是,其NP用途却不尽相同:思科宽带汇聚系列产品使用了思科的并行快速转发(PXF)NP,它被业内称为“NP的鼻祖”;华为在“第五代路由器”NE80/40/20系列产品中全面采用了NP;港湾的高端路由器、核心交换机,如NetHammer G系列采用了NP相关技术;UT斯达康公司选择了Motorola的NP作为几项3G无线接入网产品的封包转发引擎……
哪种NP技术更适合防火墙
我们不难了解,由于各厂商所专注的NP技术领域不同,决定了NP产品之间的差异。目前,国内多数安全厂商在NP技术上大都选择了IBM或Intel的NP技术。其实,具体选用哪种NP技术开发防火墙,因素有很多,包括所选NP技术的性能和成熟度、提供NP技术的厂商实力和重视程度,以及NP技术厂商可提供的支持力度及价格。
IBM研发的Power NP系列芯片不仅支持多线程,且每个线程都有充足的指令空间,在一个线程里完成防火墙功能绰绰有余。其系列产品中,以NP4GS3为代表,该芯片最高端口速率可达OC-48,并具有4.5Mbps的报文处理能力和最大4G的端口容量,并且,其拥有IBM创新的带宽分配技术(BAT),是进行下一代系统设计的强大部件。而且,IBM还为开发者提供了软件架构的解决方案和仿真平台,大大缩短了开发难度和周期。目前,已经有不少厂家采用IBM的芯片开发高端防火墙产品,如联想网御于2003年10月推出了国内第一款基于NP技术的千兆线速防火墙;2005年,在解决了多项基于多NP协同工作的技术难题的基础上,联想网御成功推出了万兆级的超性能防火墙。
Intel推出的IXP2000系列芯片支持微码开发,在性能上有了长足的提高,如IXP2400理论上最多可支持2.5Gbps的应用,IXP2800则支持10Gbps以上的应用。其SDK开发包一般功能十分齐全,模块化很好,便于开发人员控制。不足的是,IXP2400每个微引擎仅能存储4k*32位的指令,比较适合开发路由器和交换机这类产品;IXP2800每个微引擎能存储8k*32位的指令,基本可以满足防火墙功能开发的需要,但是,由于其性能提高带来了产品设计与应用复杂度的成倍提高,造成价格十分昂贵。此外,该系列产品的硬件查表功能比较弱,这对于防火墙这类需要大量查表操作的设备来讲,是致命的弱点。
NP防火墙将大步前行
随着新一代网络的继续发展,NP将更加倚重线速、智能化的包处理技术,而不仅仅是简单的基本性能,NP技术的发展将直接影响到NP防火墙的发展。据业内专家调查分析,NP技术将向着更高的性能、更多功能支持、多种技术并存和标准化等特征发展,基于NP的防火墙产品将随着NP的发展大步前行。
更高的性能
五年来,网络的传输速度每年翻一番,几年前的主干网速度是155Mb/s,现在已经到了10Gb/s,两到三年内又会提高到40Gb/s,网络处理器也必须满足这种变化。NP性能的提高,将直接推动防火墙性能的提高。
更多的功能支持
随着网络处理器在更多领域中的应用,网络处理器必须具有更多的功能支持,如深度内容处理和IPV6协议识别,以能适应防火墙等安全设备的需求。
多种技术并存
NP不是万能的,它并不会完全取代通用处理器和ASIC在网络设备中的应用。在对处理性能需求很高的高端设备中,ASIC仍然具有很强的生命力,可以预见的是,在数据层面、控制层面和管理层,通用处理器、NP和ASIC将各司其职,共同为防火墙应用提供灵活的服务。
实现标准化
NP技术的开发与应用直接促成了网络处理器论坛(NPF)的诞生。NPF的成立,将进一步推动NP的发展,实现标准化,解决产品互连互通和软件可移植性等问题。
涌现庞大的第三方开发队伍
随着标准化工作的深入,再加上网络处理器本身具有模块化结构的特点,将涌现出一支庞大的第三方队伍,在硬件组件、NP操作系统、开发工具、软件应用等方面努力。
总之,防火墙技术与NP技术开始紧密地联系在一起,NP技术的变革将推动防火墙技术向着更高性能、更多功能以及标准化的方向发展。