Netronome：深度包檢測(cè)方案的演進(jìn)

隨著企業(yè)和運(yùn)營(yíng)商網(wǎng)絡(luò)上網(wǎng)絡(luò)流量的不斷增長(zhǎng)，推動(dòng)了對(duì)于帶寬和線(xiàn)路速率需求的增加�；�于內(nèi)容的深度包檢測(cè)(DPI)、安全處理等應(yīng)用直接推動(dòng)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的處理能力呈現(xiàn)指數(shù)級(jí)增長(zhǎng)。在短短的時(shí)間內(nèi)，以太網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施帶寬從以10Gbit/s的規(guī)模擴(kuò)展到40Gbit/s到100Gbit/s。相應(yīng)的，網(wǎng)絡(luò)通信設(shè)備為了適應(yīng)高速增長(zhǎng)的基于協(xié)議、內(nèi)容、應(yīng)用的可控制和可視性，必須要有相應(yīng)的通信處理機(jī)制，一個(gè)新的多核、異構(gòu)處理器架構(gòu)是必需的。在此架構(gòu)上采用通用多核X86 和網(wǎng)絡(luò)流處理器，支持L2 - L7的業(yè)務(wù)處理。 在此基礎(chǔ)上設(shè)計(jì)的架構(gòu)將允許設(shè)備供應(yīng)商提供高性能的、靈活和現(xiàn)場(chǎng)可編程的系統(tǒng)，能使服務(wù)供應(yīng)商在更長(zhǎng)的產(chǎn)品生命周期內(nèi)創(chuàng)造更多的用戶(hù)收入。

以下討論了一種新的網(wǎng)絡(luò)流處理架構(gòu)以及在新的異構(gòu)多核處理架構(gòu)上的應(yīng)用。

1深度包檢測(cè)

深度包檢測(cè)就是在L2-L7上分析處理網(wǎng)絡(luò)流量并實(shí)現(xiàn)網(wǎng)絡(luò)安全、服務(wù)保證、服務(wù)質(zhì)量和應(yīng)用限速。相比傳統(tǒng)的L2－L4應(yīng)用處理，DPI在基于流識(shí)別基礎(chǔ)上對(duì)包頭和包內(nèi)容進(jìn)行分析處理。許多協(xié)議都不采用標(biāo)準(zhǔn)的IP，或者采用非標(biāo)準(zhǔn)或者可協(xié)商的TCP/UDP端口來(lái)建立連接，因此傳統(tǒng)的L2-L4包分類(lèi)機(jī)制不能實(shí)現(xiàn)基于應(yīng)用級(jí)的識(shí)別。多數(shù)應(yīng)用和協(xié)議識(shí)別特征碼都存在單個(gè)報(bào)文中，或者是跨越幾個(gè)報(bào)文，因此僅僅分析單個(gè)報(bào)文頭意義不大。

這種對(duì)內(nèi)容的需求識(shí)別不僅適用于固定LAN/WAN，也涉及到越來(lái)越多的移動(dòng)網(wǎng)絡(luò)。隨著3G和LTE帶寬（高達(dá)100Mbit/s的下載）的增長(zhǎng)，同時(shí)融合數(shù)據(jù)、語(yǔ)音和視頻服務(wù)，可以預(yù)期，用戶(hù)將利用無(wú)線(xiàn)網(wǎng)絡(luò)支持所有固網(wǎng)業(yè)務(wù)的弱點(diǎn)來(lái)攻擊無(wú)線(xiàn)網(wǎng)絡(luò)的漏洞。

2 DPI及其DPI處理平臺(tái)面臨的挑戰(zhàn)

為了滿(mǎn)足DPI的網(wǎng)絡(luò)運(yùn)營(yíng)商的需求，DPI平臺(tái)必須滿(mǎn)足以下幾個(gè)特點(diǎn)：

（1）支持傳統(tǒng)的通用的L2–L4，包括源和目標(biāo)IP地址、IP協(xié)議、源和目標(biāo)的TCP/UDP端口號(hào)，差分服務(wù)代碼點(diǎn)（DSCP）和入口/接口/ VLAN；

（2）支持所有網(wǎng)絡(luò)協(xié)議層和完整的數(shù)據(jù)包有效載荷；

（3）支持靜態(tài)、動(dòng)態(tài)和協(xié)商協(xié)議端口號(hào)的應(yīng)用識(shí)別；

（4）能夠處理多個(gè)會(huì)話(huà)連接報(bào)文，擴(kuò)展標(biāo)準(zhǔn)的TCP握手（SYN、SYN－ACK、SYN）；

（5）支持一個(gè)能夠識(shí)別通用協(xié)議的特征碼庫(kù)；

（6）能夠靈活可編程以支持網(wǎng)絡(luò)協(xié)議變化、演進(jìn)和應(yīng)用變化；

（7）支持線(xiàn)速的全業(yè)務(wù)分析；

（8）支持主動(dòng)和被動(dòng)的工作模式；

（9）基于報(bào)文和流分析，能裝支持以下處理結(jié)果的組合：

a. 主動(dòng)和被動(dòng)的包丟棄；

b. 流量標(biāo)識(shí)；

c. 內(nèi)容植入；

d. 排隊(duì)、策略、流量整形、流速率控制；

e. 報(bào)文重定向；

f.負(fù)載均衡；

g. 報(bào)文和流的計(jì)數(shù)、測(cè)量、統(tǒng)計(jì)分析。

傳統(tǒng)的網(wǎng)絡(luò)和通信處理器不足以應(yīng)付高速率的L2-L7數(shù)據(jù)報(bào)文分析。其他處理器如多核MIPS架構(gòu)，雖然有能力執(zhí)行DPI，但是以性能下降為代價(jià)。這些架構(gòu)要求所有的包處理發(fā)生在通用處理器中，但是缺乏集成安全模塊和高速數(shù)據(jù)平面的帶寬，同時(shí)缺少協(xié)處理包處理硬件。隨著網(wǎng)絡(luò)速度的增加，多核MIPS方案能在每一條流中的每一個(gè)報(bào)文實(shí)現(xiàn)DPI的同時(shí)還能實(shí)現(xiàn)性能的線(xiàn)性增長(zhǎng)。另外的處理解決方案還有就是采用固定功能的網(wǎng)絡(luò)處理器，可以運(yùn)行在高速數(shù)據(jù)的處理，但這些網(wǎng)絡(luò)處理器往往缺乏靈活可編程性，無(wú)法處理超越L2-L4層的業(yè)務(wù)。

3基于x86/IA+NFP網(wǎng)絡(luò)流處理器的異構(gòu)平臺(tái)

為了達(dá)到真正實(shí)現(xiàn)DPI的要求，隨著對(duì)網(wǎng)絡(luò)I/O虛擬化，高性能流處理架構(gòu)是必要的。為了使該系統(tǒng)具有可擴(kuò)展性，一個(gè)很好的做法是使應(yīng)用處理分開(kāi)的L2 - L7數(shù)據(jù)平面處理。一般來(lái)說(shuō)，多核處理器的重點(diǎn)放在應(yīng)用層業(yè)務(wù)處理，而報(bào)文處理器的重點(diǎn)是數(shù)據(jù)平面處理。一個(gè)高級(jí)別規(guī)劃模型的異構(gòu)多處理架構(gòu)是必要的。這需要利用在高級(jí)別語(yǔ)言和使用開(kāi)放源代碼的規(guī)劃工具，同時(shí)允許系統(tǒng)設(shè)計(jì)師定制的PPE最佳功率/性能比。這里介紹的異構(gòu)處理架構(gòu)是基于支持虛擬I / O的網(wǎng)絡(luò)流處理器和通用多核x86 CPU來(lái)實(shí)現(xiàn)的，其架構(gòu)如圖1所示。其中圖1的左半部分描述多核心通用CPU和專(zhuān)用功能芯片架構(gòu)，在異構(gòu)模型中，解決方案是使用NFP網(wǎng)絡(luò)流處理器和通用多核CPU，NFP集成多個(gè)可編程報(bào)文處理器，安全處理器和優(yōu)化的I/O和內(nèi)存接口。