多核技术在安全产品中的应用

——访锐捷网络安全产品经理孙含元

针对目前网络设备市场中，多核业务在安全产品中的应用情况，《网络世界》对锐捷网络安全产品经理孙含元进行了深度访谈。

《网络世界》：为什么很多安全产品都采用多核处理器？与单一的ASIC、NP架构相比，多核的优势是什么？

孙含元：从本质上来说，网络设备主要解决两个问题：IO能力和数据包处理能力。在信息量呈现指数级增长和层出不穷的网络攻击逐步由网络层和传输层向应用层转变的大背景下，传统架构在这两个方面面临着不可调和的矛盾：

♦ 单核x86 CPU来构建的产品，受限于南北桥结构和PCI总线能力，在IO能力上表现不尽如人意。同时，主频提高带来的以平方速度增长的能耗问题和由此衍生的散热问题日益突出。

♦  NP和ASIC技术通过对固定格式数据包的快速转发而解决了网络设备的IO问题。但是NP和ASIC架构面对应用层的数据包处理时，不够灵活的弱点暴露无疑，完全无法适用应用趋势的发展。

面对困境，多核技术应运而生，不仅解决了传统的x86、NP和ASIC架构面临的问题，而且还具备并行处理、任务分离、散热容易等先天性技术优势。

《网络世界》：多核带来了哪些技术挑战？锐捷网络是如何解决的？

孙含元：多核带来的技术挑战主要是两个方面：

多核之间的有效调度和协调处理。从硬件特性上，多核相对单核来说占据明显优势，必将取代单核。但不是使用多核处理器就能大大提高产品性能。多核之间的调度和协调处理就是多核技术面临的严峻挑战。针对该情况，锐捷网络在防火墙操作系统上不断地完善，而且还在内核和驱动层方面进行大力优化。实现了CPU核任务调度的动态分配技术、并行设计算法、核间系统开销更小等关键技术，合理划分任务，大大减少了核间通信，能有效降低串行执行比例和降低交互开销，实现了多核的有效调度。

如何保障安全功能全面开启后的可用性。目前市场现有的防火墙发展情况来看，大部分厂商都已经实现了多项功能聚一身的防火墙，但是当全面开启防火墙功能后，经常会出现网络访问效率急剧下降、防火墙无法管理，防火墙宕机等很多问题。因此，如何保障安全功能全面开启后的可用性是多核技术必须要面对和解决的问题。锐捷网络通过SecOS II专用操作系统来进行优化，通过超立方多维环状并行算法实现对防火墙数据任务调度、并行处理、管理和控制，实现了如何驾驭更多处理器核、减少串行比例、降低系统开销，真正做到了全面功能开启，网络安全无忧。

《网路世界》：锐捷多核防火墙采用的是什么品牌的处理器？您认为Cavium、RMI、Intel多核处理器各自的优势是什么？

孙含元：锐捷多核防火墙使用了Intel多核处理器。

Cavium多核处理器的特点：

1 Cavium多核也可以采用外部PCI-E总线，不存在南北桥结构，IO能力强；但内部采用共享总线通信，核间效率相对低

2 Cavium公司已经推出16核CPU，每个核600Mhz，总的处理能力可达9.6Ghz；但其16核产品功耗存在较大问题

3 Cavium多核基于精简指令集，尽管Cavium多核在固定数据处理方面效率很高，面对7层复杂数据的查找和处理效率大大降低；同时，Cavium多核的开发要求门槛高，匹配引擎导致软件架构的依赖性大，不易扩展

RMI多核处理器的特点：

1 RMI多核也可以采用PCI-E总线，不存在南北桥结构，IO能力强

2 RMI多核扩展能力强，而RMI公司推出了8核CPU，每个核1.2Ghz，总的处理能力达到了9.6Ghz

3 RMI多核基于精简指令集，RMI多核在固定数据处理方面效率很高，面对7层复杂数据的查找和处理效率大大降低。同时RMI多核目前尚无量产大规模应用成功案例，产品的成熟度还有待市场的考验

Intel多核处理器的特点：

1 新的PCI-E总线是直接从北桥接出来的独占式总线，相比以前通过南桥—>北桥—>FSB—>CPU的共享式PCI总线，IO效率大大提高；同时，单条通道的单向带宽达到2Gbps，现在做得多的可达16通道，双向可达到64Gbps的吞吐量，从根本上解决了IO性能问题

2 现在x86多核平台可以集成2个4核CPU，单核处理能力达到2Ghz是稀松平常的，整体处理能力可达2×4×2=32Gbps；同时，x86多核通过分布式方式，有效解决了单核CPU面临的能耗问题和散热问题

3 x86架构基于复杂指令集，在复杂数据处理方面具备独天厚地的优势，在PC上面已经有超过30年的应用数据处理经验，在强调应用层数据处理能力的今天尤为合适

4 Intel技术实力强大，产品商用化程度极高，成熟可靠。众多软件厂商已经在x86多核的开发上具备强大的实力和丰富的经验，x86多核在安全产品上已经有广泛应用

《网络世界》：借助多核，锐捷防火墙在哪些方面获得了显著提升？

孙含元：通过实现了多核的有效调度，以及为每一个核提供了额外的协处理器，使多核平台的集成可以明显提高分析处理性能，大幅度提升了防火墙的性能。

除了突破性能瓶颈，锐捷网络新一代防火墙还在功能上取得了很大的突破，全面诠释了应用安全。

1 全面支持硬件模块化和软件模块化，不仅稳定可靠，而且灵活易扩展，能很好地保护用户投资。

2 支持高可用的SSL VPN解决方案，在PPTP、L2TP、IPSec VPN之外，还为用户提供全面的VPN解决方案。

3 支持万兆光模块，配合锐捷万兆交换机和路由器等基础网络平台，帮助客户构建真正的无瓶颈全万兆安全网络。

4 内置安全助手，可以主动扫描网络活动主机，开放端口，操作系统版本和服务器版本，并添加至安全策略。

5 高可靠性的业务监控，不仅可以提供CPU、内存、用户连接数等信息监控，还提供链路级、VPN隧道和应用业务（如HTTP等）层面的状态检测，能实现自动负载均衡和故障切换。

《网络世界》：基于多核技术的安全产品还有哪些技术发展趋势？

孙含元：主要有两大发展趋势：网络快速发展决定了未来的基于多核技术的产品必须具备更高的性能、更高稳定性。 随着国家大力提倡信息化发展，以及市场网络需求的快速发展，未来几年网络应用和带宽将继续高速发展。传统架构的产品由于存在不可调和的缺陷，市场空间会越来越小。支持更多的核、更多的协处理器以具备更高的性能和更高的稳定性是多核技术的安全产品发展的必然趋势。

多业务的发展决定多核安全产品具备更加丰富的功能。传统防火墙同时开启防火墙、VPN、IPS、AV、P2P等功能时几乎不可用，而对于客户而言，多业务的发展必然导致对产品更多功能的需求。在多核架构下，不同任务可分布在不同核上并行处理，消除单核处理器面临的处理瓶颈，同时开启防火墙、VPN、IPS、AV、P2P等功能，网络仍然顺畅，并通过无限制，更灵活的方式使防火墙得到不断的升级，满足未来市场客户需求。