啟明星辰公司的天清漢馬USG-10000E一體化安全網關正式通過該國家級權威測評,成為國內第一款通過該測評的萬兆級UTM產品。
作為網關安全設備的發(fā)展方向,UTM集防火墻、 VPN、AV、IPS等多種功能于一身,在國內的應用已越來越普遍。隨著啟明星辰本次通過萬兆UTM測評,過去質疑UTM高端應用性能不足的說法已經成為歷史。萬兆UTM出現,無疑會將UTM應用帶入嶄新的時代。那么,萬兆UTM究竟如何才能突破性能瓶頸,滿足高端應用呢?
帶著興奮和好奇,記者采訪了啟明星辰從事萬兆UTM的系統設計人員,專家告訴記者,滿足萬兆UTM應用的關鍵在于16核多核技術的運用。
高性能的SOC多核硬件平臺
UTM產品具有3大技術特點:吞吐密集、運算密集、應用層特性匹配密集。這3大特點對硬件平臺提出了極大的挑戰(zhàn),也正是基于此,UTM過去飽嘗性能瓶頸之苦,如:在X86架構下,UTM受制于總線帶寬普遍無法實現千兆線速;開啟AV、IPS功能后,CPU占用率大幅升高,整機性能通常下降80%以上。
綜合考慮了這些問題之后,啟明星辰經過詳細的技術調研、產品預研,最終選擇了基于Cavium公司16核CPU的硬件平臺承載萬兆UTM應用。單就 CPU核數而言,是X86 CPU的4倍以上。并且,Cavium公司OCTEON系列多核芯片,專為UTM等安全產品的應用量身內置了一系列專用硬件,使得最終構建出的產品在性能、穩(wěn)定性上很容易實現電信級標準。
據介紹,Cavium的16核CPU采用了"軟件硬件化"的設計理念,在CPU片內集成了DFA、包收發(fā)模塊等專用硬件,從而提升硬件平臺的整體性能。如圖所示:
16核引領萬兆UTM突破性能瓶頸
下面我們從帶寬、收發(fā)包模塊、包處理指令集等方面來分別了解一下這一硬件平臺。
高總線帶寬:高達640Gbps的內部總線帶寬,是Intel 4核CPU的6倍!就好像一條是雙向六車道的高速公路,而另一條只是單車道的普通公路,在基礎設施層面便已立分高下。
硬件收發(fā)包模塊:芯片內集成了硬件收發(fā)包模塊、千兆/萬兆等的線速接口器件,與總線直連,充分保障各業(yè)務接口的線速性能,并最大限度地減少了CPU在此方面的開銷。
集成內存控制器:我們知道,傳統X86架構除CPU外,尚需額外的北橋芯片、內存控制器的配合才能實現內存操作,此部分往往成為整個平臺性能提升的瓶頸;而Cavium16核CPU片內集成了內存控制器,且無需額外的北橋芯片,避免了內存操作成為平臺性能提升的瓶頸。
壓縮/解壓縮硬件引擎:AV業(yè)務需對進出網關的文件進行病毒掃描,而很多文件是壓縮的、并且是多級壓縮。對此類文件的掃描,必須先將文件解壓縮后再進行與病毒庫文件的匹配運算。X86架構下,此項運算都是由CPU進行的,極耗費資源,文件壓縮/解壓縮成為導致AV性能瓶頸的重要因素。 Cavium 16核CPU內置一個專用壓縮/解壓縮硬件引擎,用于AV文件的壓縮/解壓縮操作,極大提高了AV業(yè)務的性能,減輕了對CPU資源的消耗。
專用包處理指令集: AV、IPS、上網行為管理等業(yè)務主要做的是應用層包處理,運算量大、運算復雜,并且需要進行頻繁的業(yè)務調度與切換,只能由CPU進行處理,從而使CPU 成為性能提升的瓶頸之一。Cavium 16核CPU創(chuàng)新的在每個CPU核內集成了一個專門針對包處理應用特點而開發(fā)的指令集,可通過指令直接進行位域操作、面向字節(jié)的操作等,不必再像X86那樣靠多條指令實現一個功能,結合RISC短指令集的效率優(yōu)勢,運算效率整體提高了3倍。
硬件DFA內容匹配引擎:AV、IPS等業(yè)務也是應用層特性密集的業(yè)務。某種程度上,UTM的性能就取決于產品對業(yè)務特征的匹配速度。X86架構下,CPU既需要進行內容匹配運算,又需要進行設備的控制操作、業(yè)務調度等,CPU負荷重并且效率低。Cavium16核CPU針對此應用特點,在片內集成了一個硬件DFA內容匹配引擎,直接對特征數據匹配進行硬件運算,將匹配運算結果交由CPU核進一步處理,這樣就極大提高了內容匹配速度,減輕了對 CPU資源的消耗。CPU從此不再成為AV、IPS等業(yè)務的處理瓶頸。
多核軟件體系設計
在采訪中我們得知,萬兆多核的軟件架構設計與X86架構下的設計完全不同,無法進行簡單的代碼移植,必須配合硬件平臺進行針對性的設計與優(yōu)化。啟明星辰為此全新設計了UTM專用的64位操作系統,這也是萬兆UTM產品化過程中工作難度最大、工作量最多的部分。
我們首先遇到的難題就是性能不隨核數增長而線性增長的問題",啟明星辰的專家告訴記者。
據了解,在采用Cavium多核硬件平臺進行了相應的軟件開發(fā)后,啟明星辰在萬兆UTM預研初期,就實現了4核情況下3G的防火墻性能,但在隨后進一步的研究中,發(fā)現性能提升似乎到了極限,隨著核數的提升性能并不相應的線性增長。
16核引領萬兆UTM突破性能瓶頸
硬件平臺多達16個CPU核在同時進行并行業(yè)務處理,對各CPU核的業(yè)務調度與控制尤為重要。在傳統的X86架構下的,CPU最多4核,對 CPU核的調度問題并不突出,而在16核情況下,該問題便暴露出來。為攻克此問題,啟明星辰集中了研發(fā)體系的所有優(yōu)勢資源,成立了技術攻關小組,并貫穿產品化始終,從挖掘硬件資源、業(yè)務鎖等多個方向進行優(yōu)化,軟件人員與硬件驅動人員通力配合,共同尋找提高性能的途徑,逐一優(yōu)化,一個核一個核的攻。最終,實現了業(yè)務性能的線性化增長。隨著核數的增多,性能曲線基本保持線性增長的態(tài)勢。
當然,在軟件體系架構設計中遇到的大小問題還有很多,如:在持續(xù)引入新的業(yè)務新特性情況下,如何保證性能不下降?產品的可調試性等等。最終,啟明星辰依靠研發(fā)技術優(yōu)勢,集中攻關,把這些問題逐一解決,實現了高性能萬兆UTM的成功商用。
就全球應用趨勢來看,多核UTM已成為客戶在網關位置安全產品的首要選擇。國際主流廠家Cisco、Juniper、CheckPoint、 WatchGuard、華為等均已全力投入UTM方向,并且都選擇了Cavium多核作為硬件平臺,相繼發(fā)布了多核UTM產品。啟明星辰作為中國UTM市場連續(xù)兩年份額第一的國內廠家,在2007年就選擇了Cavium多核方向投入研發(fā),并于2008年6月在國內率先發(fā)布了高性能萬兆UTM平臺。截至目前,啟明星辰萬兆UTM產品已服務于多家大型企業(yè)、政府等單位的骨干節(jié)點,為客戶提供高性能的安全業(yè)務保障。
我們看到,隨著啟明星辰天清漢馬萬兆UTM的成功應用,阻礙UTM發(fā)展的性能瓶頸問題已徹底解決,相信中國UTM市場必將迎來新一輪的快速增長。