网络处理器及在网络安全中的应用.ppt

《网络处理器及在网络安全中的应用.ppt》由会员分享，可在线阅读，更多相关《网络处理器及在网络安全中的应用.ppt（32页珍藏版）》请在三一文库上搜索。

1、网络处理器及在网络安全中的应用,中科网威信息技术有限公司 叶小列 2003-07-28,网络处理器特性,可编程性-programable ； 简单的编程模式 simple programming mode; 最大化系统灵活性 maximizing the systems flexibilities; 高处理能力 high performance; 高度功能集成 highly functionally integration; 开放的编程接口 open programming interface; 第三方支持能力 third supporting; David Husak 认为-,网络处理器的分

2、类,全编程型 代表厂家为Intel、Cognigine ； 优点是灵活性强 ； 缺点是比较复杂，熟练掌握有难度 ； 流水并行处理型 代表厂家Agere和Ezchip 优点是实现数据层面功能比较简单 ；,网络处理器的分类,固定功能型 代表厂家AMCC ； 缺少灵活性，但效率高、易于实现 ； 多核通用处理SOC型 代表厂家是Broadcom 公司 ； 优点是灵活性强 ，便于掌握； 需要结合硬件进行系统优化；,IBM NP4GS3,遵循PowerNP体系 ； EPC(Embedded Processor complex ) 指令存储器 ； MAC ； Fabric接口 ； 固定功能逻辑 ； 16个p

3、icoprocessor； 多个加速器件 ； PowerPC 405处理器 ； 线程切换和包处理模式具有创造性 ； 2001年度“Microprocessor Report Analysts Choice Award ”,IBM NP4GS3,基于P4GS3的清晰的产品开发流程； 各种加速逻辑可以通过编写代码来整合 ； 提供了丰富的API和工具 ； 编制了详实的技术指导文档 ；,IXP2400/2800,内部包含一个通用600Mhz xscale RISC核; 初始化和管理层面的工作由xscale负责 ; 内部集成了8个微引擎（Microengine）; 照四个一组分为两组 ; 每个微引擎可以

4、启动多个线程 ; 微引擎可容纳4096条指令 ,每条指令40比特宽，并通过校验防止错误 ； 硬件实现CRC校验、随机数发生器、乘法器和计时器功能 ；,IXP2400/2800,提供大量专用和通用寄存器、Hash逻辑 ； 拥有两个QDR SRAM接口 ； 通用内存控制器支持DDR DRAM，最大容量达1Gb ； 内嵌MSF(Media and Switch Fabric)接口 ； IXP2800微引擎增加到16个 ，并增加了加解密硬件 ；,BCM1250/1255/1280,集成三个10/100/1000兆以太MAC ； 双内存访问通道，带宽最高可达50Gbps ； HyperTransport

5、高速端口能提供19.2Gbps的通讯能力 ； 1GHz条件下，两个MIPS核具有4000MIPS或10Mpps的处理能力 ； 双核支持非对称配置； 面向网络分组处理优化的内部ZBus总线；,当前网络面临的挑战,带宽需求迅猛增长； 网络服务从简单的浏览到多媒体等高层次、交互式服务； 通用处理器的处理能力的增长远远不能满足数据层面的要求； 异构网络、多种接口形式； 性能、灵活性、兼容性； 快速开发和生存期延长的要求；,网络安全面临的挑战,个人的私密信息由于网络问题被泄漏； 各种关键数据的完整性受到来自网络内部、外部的威胁，如金融、证券等行业的交易数据； 网络中用户的身份鉴别问题； 网络服务和应用的

6、授权问题； 网络活动的不合否认问题； 特定服务的有效性；,网络安全产品,百兆、千兆防火墙设备 IDS系统； VPN软件、芯片和设备； 加解密软件、芯片和设备； 路由器、交换机和多服务接入设备等； 认证设备或系统；,网络处理的层次,数据层面 控制层面 管理层面,防火墙发展阶段,访问控制列表（Access control lists） 应用代理软件（Application proxies） 状态检测（Stateful inspection） 深度包检测,深度包检测,面向应用 面向数据流 需要进行特征匹配 甚至一个字节一个字节的匹配； 防火墙需要在特征匹配方面具有高性能！,IDS产品的发展方向,降低

7、漏报率和误报率； 协议分析 异常分析,安全功能和通用网络设备的融合,VPN 加解密卡和认证系统 防火墙和IDS结合 面向路由器端口的防火墙应用； 防病毒墙 带有路由或交换功能的防火墙；,包处理流程,包分类的基本算法,Recursive Flow Classification Hierarchical tries Set-pruning tries Grid of tries Area-based quadtree(AQT) Hierachical intelligent cutting (HiCuts) *Fat inverted segment tree（FIST) Bitmap-Inter

8、section Tuple space search,参考 Xuehong Sun IP address lookup and packet classification,Algorithm Time Storage Linear search N(1000) *N(1000) *Ternary CAM *1 *N(1000) Hierarchical tries Wd(107) *NdW(105) Set-pruning tries *dW(100) Nd(1015) Grid-of-tries W(d-1)(106) *NdW(105) Cross-producting *dW(100)

9、Nd(1015) *FIS-tree *(l+1)W(100) *lN(1+1/l)(104) RFC *d(5) Nd(1015) *Bitmap-intersection *d/W+N/men(100) *dN2(106) HiCuts *d(5) Nd(1015) Tuple space search N(1000) *N(1000),包分类的基本算法,N-prefix length;d-dimension;W-address length N=1000;d=5;w=32,包分类协处理器 IDT PAX.port 1200,不同应用的复杂度,功能对网络处理能力的要求,假设系统吞吐量为1.

10、2Gb/s(其余的数据见表1), RTR 所需要的运算量为1.2/8*2.1=315 MIPS, CAST 需要的运算量为1.2/8*104=15 600 MIPS. 网络处理器中单个处理元的处理能力仅为1500MIPS 左右, IBM 的NP2G 为1 596MPIS、 Intel的IXP1200 为1 396MIPS. 系统负载处理的开销是相当庞大的,并且处理的层次越高,开销越大.,摘自：谭章熹的网络处理器的分析与研究,需要什么样的处理器？,IA-32服务器型 P3,P4; XScale(ARM) 425,1200,2400 Motorola C5 AMCC nP7510 IBM NP4G

11、S3 Broadcom 1250,State packet filter,NAT/PAT,Load Balance,AAA,HA,代理,IPS,硬件平台,VPN,网络处理器在安全领域应用的策略,主要承担数据层面的工作； 发挥多核优势，以流水和并行的方式处理数据包； 协调多核操作，优化调度策略； 将计算密集型的操作转移到协处理器上完成； 协调DMA和包处理过程；,性能瓶颈,CPUDDR SDRAM; P4-i875P-DDR 3.2GB/s Sb1-DDR 6.4GB/s EthernetDDR SDRAM/SRAM; DMA-i875P-DDR-L2; DMA-L2; DMA-SRAM-Register; InterBus(I/O Hub ZBus) Coordination (MEs , ARM),网络处理器参考框架,网络处理器应用的案例,NPFW1000防火墙硬件平台,