Netronome：深度包檢測方案的演進(jìn)

隨著企業(yè)和運(yùn)營商網(wǎng)絡(luò)上網(wǎng)絡(luò)流量的不斷增長，推動了對于帶寬和線路速率需求的增加�；�于內(nèi)容的深度包檢測(DPI)、安全處理等應(yīng)用直接推動了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的處理能力呈現(xiàn)指數(shù)級增長。在短短的時間內(nèi)，以太網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施帶寬從以10Gbit/s的規(guī)模擴(kuò)展到40Gbit/s到100Gbit/s。相應(yīng)的，網(wǎng)絡(luò)通信設(shè)備為了適應(yīng)高速增長的基于協(xié)議、內(nèi)容、應(yīng)用的可控制和可視性，必須要有相應(yīng)的通信處理機(jī)制，一個新的多核、異構(gòu)處理器架構(gòu)是必需的。在此架構(gòu)上采用通用多核X86 和網(wǎng)絡(luò)流處理器，支持L2 - L7的業(yè)務(wù)處理。 在此基礎(chǔ)上設(shè)計的架構(gòu)將允許設(shè)備供應(yīng)商提供高性能的、靈活和現(xiàn)場可編程的系統(tǒng)，能使服務(wù)供應(yīng)商在更長的產(chǎn)品生命周期內(nèi)創(chuàng)造更多的用戶收入。

以下討論了一種新的網(wǎng)絡(luò)流處理架構(gòu)以及在新的異構(gòu)多核處理架構(gòu)上的應(yīng)用。

1深度包檢測

深度包檢測就是在L2-L7上分析處理網(wǎng)絡(luò)流量并實(shí)現(xiàn)網(wǎng)絡(luò)安全、服務(wù)保證、服務(wù)質(zhì)量和應(yīng)用限速。相比傳統(tǒng)的L2－L4應(yīng)用處理，DPI在基于流識別基礎(chǔ)上對包頭和包內(nèi)容進(jìn)行分析處理。許多協(xié)議都不采用標(biāo)準(zhǔn)的IP，或者采用非標(biāo)準(zhǔn)或者可協(xié)商的TCP/UDP端口來建立連接，因此傳統(tǒng)的L2-L4包分類機(jī)制不能實(shí)現(xiàn)基于應(yīng)用級的識別。多數(shù)應(yīng)用和協(xié)議識別特征碼都存在單個報文中，或者是跨越幾個報文，因此僅僅分析單個報文頭意義不大。

這種對內(nèi)容的需求識別不僅適用于固定LAN/WAN，也涉及到越來越多的移動網(wǎng)絡(luò)。隨著3G和LTE帶寬（高達(dá)100Mbit/s的下載）的增長，同時融合數(shù)據(jù)、語音和視頻服務(wù)，可以預(yù)期，用戶將利用無線網(wǎng)絡(luò)支持所有固網(wǎng)業(yè)務(wù)的弱點(diǎn)來攻擊無線網(wǎng)絡(luò)的漏洞。

2 DPI及其DPI處理平臺面臨的挑戰(zhàn)

為了滿足DPI的網(wǎng)絡(luò)運(yùn)營商的需求，DPI平臺必須滿足以下幾個特點(diǎn)：

（1）支持傳統(tǒng)的通用的L2–L4，包括源和目標(biāo)IP地址、IP協(xié)議、源和目標(biāo)的TCP/UDP端口號，差分服務(wù)代碼點(diǎn)（DSCP）和入口/接口/ VLAN；

（2）支持所有網(wǎng)絡(luò)協(xié)議層和完整的數(shù)據(jù)包有效載荷；

（3）支持靜態(tài)、動態(tài)和協(xié)商協(xié)議端口號的應(yīng)用識別；

（4）能夠處理多個會話連接報文，擴(kuò)展標(biāo)準(zhǔn)的TCP握手（SYN、SYN－ACK、SYN）；

（5）支持一個能夠識別通用協(xié)議的特征碼庫；

（6）能夠靈活可編程以支持網(wǎng)絡(luò)協(xié)議變化、演進(jìn)和應(yīng)用變化；

（7）支持線速的全業(yè)務(wù)分析；

（8）支持主動和被動的工作模式；

（9）基于報文和流分析，能裝支持以下處理結(jié)果的組合：

a. 主動和被動的包丟棄；

b. 流量標(biāo)識；

c. 內(nèi)容植入；

d. 排隊、策略、流量整形、流速率控制；

e. 報文重定向；

f.負(fù)載均衡；

g. 報文和流的計數(shù)、測量、統(tǒng)計分析。

傳統(tǒng)的網(wǎng)絡(luò)和通信處理器不足以應(yīng)付高速率的L2-L7數(shù)據(jù)報文分析。其他處理器如多核MIPS架構(gòu)，雖然有能力執(zhí)行DPI，但是以性能下降為代價。這些架構(gòu)要求所有的包處理發(fā)生在通用處理器中，但是缺乏集成安全模塊和高速數(shù)據(jù)平面的帶寬，同時缺少協(xié)處理包處理硬件。隨著網(wǎng)絡(luò)速度的增加，多核MIPS方案能在每一條流中的每一個報文實(shí)現(xiàn)DPI的同時還能實(shí)現(xiàn)性能的線性增長。另外的處理解決方案還有就是采用固定功能的網(wǎng)絡(luò)處理器，可以運(yùn)行在高速數(shù)據(jù)的處理，但這些網(wǎng)絡(luò)處理器往往缺乏靈活可編程性，無法處理超越L2-L4層的業(yè)務(wù)。

3基于x86/IA+NFP網(wǎng)絡(luò)流處理器的異構(gòu)平臺

為了達(dá)到真正實(shí)現(xiàn)DPI的要求，隨著對網(wǎng)絡(luò)I/O虛擬化，高性能流處理架構(gòu)是必要的。為了使該系統(tǒng)具有可擴(kuò)展性，一個很好的做法是使應(yīng)用處理分開的L2 - L7數(shù)據(jù)平面處理。一般來說，多核處理器的重點(diǎn)放在應(yīng)用層業(yè)務(wù)處理，而報文處理器的重點(diǎn)是數(shù)據(jù)平面處理。一個高級別規(guī)劃模型的異構(gòu)多處理架構(gòu)是必要的。這需要利用在高級別語言和使用開放源代碼的規(guī)劃工具，同時允許系統(tǒng)設(shè)計師定制的PPE最佳功率/性能比。這里介紹的異構(gòu)處理架構(gòu)是基于支持虛擬I / O的網(wǎng)絡(luò)流處理器和通用多核x86 CPU來實(shí)現(xiàn)的，其架構(gòu)如圖1所示。其中圖1的左半部分描述多核心通用CPU和專用功能芯片架構(gòu)，在異構(gòu)模型中，解決方案是使用NFP網(wǎng)絡(luò)流處理器和通用多核CPU，NFP集成多個可編程報文處理器，安全處理器和優(yōu)化的I/O和內(nèi)存接口。