作為網(wǎng)關(guān)安全設(shè)備的發(fā)展方向,，UTM集防火墻,、 VPN,、AV,、IPS等多種功能于一身，在國(guó)內(nèi)的應(yīng)用已越來(lái)越普遍,。隨著啟明星辰本次通過(guò)萬(wàn)兆UTM測(cè)評(píng),，過(guò)去質(zhì)疑UTM高端應(yīng)用性能不足的說(shuō)法已經(jīng)成為歷史。萬(wàn)兆UTM出現(xiàn),，無(wú)疑會(huì)將UTM應(yīng)用帶入嶄新的時(shí)代,。那么，萬(wàn)兆UTM究竟如何才能突破性能瓶頸,，滿足高端應(yīng)用呢?

帶著興奮和好奇,，記者采訪了啟明星辰從事萬(wàn)兆UTM的系統(tǒng)設(shè)計(jì)人員，專家告訴記者,，滿足萬(wàn)兆UTM應(yīng)用的關(guān)鍵在于16核多核技術(shù)的運(yùn)用,。

高性能的SOC多核硬件平臺(tái)

UTM產(chǎn)品具有3大技術(shù)特點(diǎn)：吞吐密集、運(yùn)算密集,、應(yīng)用層特性匹配密集,。這3大特點(diǎn)對(duì)硬件平臺(tái)提出了極大的挑戰(zhàn),，也正是基于此，UTM過(guò)去飽嘗性能瓶頸之苦,，如：在X86架構(gòu)下，UTM受制于總線帶寬普遍無(wú)法實(shí)現(xiàn)千兆線速;開(kāi)啟AV,、IPS功能后,，CPU占用率大幅升高，整機(jī)性能通常下降80%以上,。

綜合考慮了這些問(wèn)題之后,，啟明星辰經(jīng)過(guò)詳細(xì)的技術(shù)調(diào)研、產(chǎn)品預(yù)研,，最終選擇了基于Cavium公司16核CPU的硬件平臺(tái)承載萬(wàn)兆UTM應(yīng)用,。單就 CPU核數(shù)而言，是X86 CPU的4倍以上,。并且,，Cavium公司OCTEON系列多核芯片，專為UTM等安全產(chǎn)品的應(yīng)用量身內(nèi)置了一系列專用硬件,，使得最終構(gòu)建出的產(chǎn)品在性能,、穩(wěn)定性上很容易實(shí)現(xiàn)電信級(jí)標(biāo)準(zhǔn)。

據(jù)介紹,，Cavium的16核CPU采用了"軟件硬件化"的設(shè)計(jì)理念,，在CPU片內(nèi)集成了DFA、包收發(fā)模塊等專用硬件,，從而提升硬件平臺(tái)的整體性能,。如圖1所示：

 

16核引領(lǐng)萬(wàn)兆UTM突破性能瓶頸

下面我們從帶寬、收發(fā)包模塊,、包處理指令集等方面來(lái)分別了解一下這一硬件平臺(tái),。

高總線帶寬：高達(dá)640Gbps的內(nèi)部總線帶寬，是Intel 4核CPU的6倍!就好像一條是雙向六車道的高速公路,，而另一條只是單車道的普通公路,，在基礎(chǔ)設(shè)施層面便已立分高下。

硬件收發(fā)包模塊：芯片內(nèi)集成了硬件收發(fā)包模塊,、千兆/萬(wàn)兆等的線速接口器件,，與總線直連，充分保障各業(yè)務(wù)接口的線速性能,，并最大限度地減少了CPU在此方面的開(kāi)銷,。

集成內(nèi)存控制器：我們知道，傳統(tǒng)X86架構(gòu)除CPU外,，尚需額外的北橋芯片,、內(nèi)存控制器的配合才能實(shí)現(xiàn)內(nèi)存操作,，此部分往往成為整個(gè)平臺(tái)性能提升的瓶頸;而Cavium16核CPU片內(nèi)集成了內(nèi)存控制器，且無(wú)需額外的北橋芯片,，避免了內(nèi)存操作成為平臺(tái)性能提升的瓶頸,。

壓縮/解壓縮硬件引擎：AV業(yè)務(wù)需對(duì)進(jìn)出網(wǎng)關(guān)的文件進(jìn)行病毒掃描，而很多文件是壓縮的,、并且是多級(jí)壓縮,。對(duì)此類文件的掃描，必須先將文件解壓縮后再進(jìn)行與病毒庫(kù)文件的匹配運(yùn)算,。X86架構(gòu)下,，此項(xiàng)運(yùn)算都是由CPU進(jìn)行的，極耗費(fèi)資源,，文件壓縮/解壓縮成為導(dǎo)致AV性能瓶頸的重要因素,。 Cavium 16核CPU內(nèi)置一個(gè)專用壓縮/解壓縮硬件引擎，用于AV文件的壓縮/解壓縮操作,，極大提高了AV業(yè)務(wù)的性能,，減輕了對(duì)CPU資源的消耗。

專用包處理指令集： AV,、IPS,、上網(wǎng)行為管理等業(yè)務(wù)主要做的是應(yīng)用層包處理，運(yùn)算量大,、運(yùn)算復(fù)雜,，并且需要進(jìn)行頻繁的業(yè)務(wù)調(diào)度與切換，只能由CPU進(jìn)行處理,，從而使CPU 成為性能提升的瓶頸之一,。Cavium 16核CPU創(chuàng)新的在每個(gè)CPU核內(nèi)集成了一個(gè)專門(mén)針對(duì)包處理應(yīng)用特點(diǎn)而開(kāi)發(fā)的指令集，可通過(guò)指令直接進(jìn)行位域操作,、面向字節(jié)的操作等,，不必再像X86那樣靠多條指令實(shí)現(xiàn)一個(gè)功能，結(jié)合RISC短指令集的效率優(yōu)勢(shì),，運(yùn)算效率整體提高了3倍,。

硬件DFA內(nèi)容匹配引擎：AV、IPS等業(yè)務(wù)也是應(yīng)用層特性密集的業(yè)務(wù),。某種程度上,，UTM的性能就取決于產(chǎn)品對(duì)業(yè)務(wù)特征的匹配速度。X86架構(gòu)下,，CPU既需要進(jìn)行內(nèi)容匹配運(yùn)算,，又需要進(jìn)行設(shè)備的控制操作、業(yè)務(wù)調(diào)度等,，CPU負(fù)荷重并且效率低,。Cavium16核CPU針對(duì)此應(yīng)用特點(diǎn),，在片內(nèi)集成了一個(gè)硬件DFA內(nèi)容匹配引擎，直接對(duì)特征數(shù)據(jù)匹配進(jìn)行硬件運(yùn)算,，將匹配運(yùn)算結(jié)果交由CPU核進(jìn)一步處理,，這樣就極大提高了內(nèi)容匹配速度，減輕了對(duì) CPU資源的消耗,。CPU從此不再成為AV,、IPS等業(yè)務(wù)的處理瓶頸。

多核軟件體系設(shè)計(jì)

在采訪中我們得知,，萬(wàn)兆多核的軟件架構(gòu)設(shè)計(jì)與X86架構(gòu)下的設(shè)計(jì)完全不同，無(wú)法進(jìn)行簡(jiǎn)單的代碼移植,，必須配合硬件平臺(tái)進(jìn)行針對(duì)性的設(shè)計(jì)與優(yōu)化,。啟明星辰為此全新設(shè)計(jì)了UTM專用的64位操作系統(tǒng)，這也是萬(wàn)兆UTM產(chǎn)品化過(guò)程中工作難度最大,、工作量最多的部分,。

我們首先遇到的難題就是性能不隨核數(shù)增長(zhǎng)而線性增長(zhǎng)的問(wèn)題"，啟明星辰的專家告訴記者,。

據(jù)了解,，在采用Cavium多核硬件平臺(tái)進(jìn)行了相應(yīng)的軟件開(kāi)發(fā)后，啟明星辰在萬(wàn)兆UTM預(yù)研初期,，就實(shí)現(xiàn)了4核情況下3G的防火墻性能,，但在隨后進(jìn)一步的研究中，發(fā)現(xiàn)性能提升似乎到了極限,，隨著核數(shù)的提升性能并不相應(yīng)的線性增長(zhǎng),。如圖2所示，問(wèn)題出在哪里呢?

 

16核引領(lǐng)萬(wàn)兆UTM突破性能瓶頸

硬件平臺(tái)多達(dá)16個(gè)CPU核在同時(shí)進(jìn)行并行業(yè)務(wù)處理,，對(duì)各CPU核的業(yè)務(wù)調(diào)度與控制尤為重要,。在傳統(tǒng)的X86架構(gòu)下的，CPU最多4核,，對(duì) CPU核的調(diào)度問(wèn)題并不突出,，而在16核情況下，該問(wèn)題便暴露出來(lái),。為攻克此問(wèn)題,，啟明星辰集中了研發(fā)體系的所有優(yōu)勢(shì)資源，成立了技術(shù)攻關(guān)小組,，并貫穿產(chǎn)品化始終,，從挖掘硬件資源、業(yè)務(wù)鎖等多個(gè)方向進(jìn)行優(yōu)化,，軟件人員與硬件驅(qū)動(dòng)人員通力配合,，共同尋找提高性能的途徑,，逐一優(yōu)化，一個(gè)核一個(gè)核的攻,。最終,，實(shí)現(xiàn)了業(yè)務(wù)性能的線性化增長(zhǎng)。隨著核數(shù)的增多,，性能曲線基本保持線性增長(zhǎng)的態(tài)勢(shì),。

當(dāng)然，在軟件體系架構(gòu)設(shè)計(jì)中遇到的大小問(wèn)題還有很多,，如：在持續(xù)引入新的業(yè)務(wù)新特性情況下,，如何保證性能不下降?產(chǎn)品的可調(diào)試性等等。最終,，啟明星辰依靠研發(fā)技術(shù)優(yōu)勢(shì),，集中攻關(guān)，把這些問(wèn)題逐一解決,，實(shí)現(xiàn)了高性能萬(wàn)兆UTM的成功商用,。

就全球應(yīng)用趨勢(shì)來(lái)看，多核UTM已成為客戶在網(wǎng)關(guān)位置安全產(chǎn)品的首要選擇,。國(guó)際主流廠家Cisco,、Juniper、CheckPoint,、 WatchGuard,、華為等均已全力投入U(xiǎn)TM方向，并且都選擇了Cavium多核作為硬件平臺(tái),，相繼發(fā)布了多核UTM產(chǎn)品,。啟明星辰作為中國(guó)UTM市場(chǎng)連續(xù)兩年份額第一的國(guó)內(nèi)廠家，在2007年就選擇了Cavium多核方向投入研發(fā),，并于2008年6月在國(guó)內(nèi)率先發(fā)布了高性能萬(wàn)兆UTM平臺(tái),。截至目前，啟明星辰萬(wàn)兆UTM產(chǎn)品已服務(wù)于多家大型企業(yè),、政府等單位的骨干節(jié)點(diǎn),，為客戶提供高性能的安全業(yè)務(wù)保障。

我們看到,，隨著啟明星辰天清漢馬萬(wàn)兆UTM的成功應(yīng)用,，阻礙UTM發(fā)展的性能瓶頸問(wèn)題已徹底解決，相信中國(guó)UTM市場(chǎng)必將迎來(lái)新一輪的快速增長(zhǎng),。