作為網(wǎng)關(guān)安全設(shè)備的發(fā)展方向，UTM集防火墻、 VPN、AV、IPS等多種功能于一身，在國內(nèi)的應(yīng)用已越來越普遍。隨著啟明星辰本次通過萬兆UTM測評，過去質(zhì)疑UTM高端應(yīng)用性能不足的說法已經(jīng)成為歷史。萬兆UTM出現(xiàn)，無疑會(huì)將UTM應(yīng)用帶入嶄新的時(shí)代。那么，萬兆UTM究竟如何才能突破性能瓶頸，滿足高端應(yīng)用呢?

帶著興奮和好奇，記者采訪了啟明星辰從事萬兆UTM的系統(tǒng)設(shè)計(jì)人員，專家告訴記者，滿足萬兆UTM應(yīng)用的關(guān)鍵在于16核多核技術(shù)的運(yùn)用。

高性能的SOC多核硬件平臺

UTM產(chǎn)品具有3大技術(shù)特點(diǎn)：吞吐密集、運(yùn)算密集、應(yīng)用層特性匹配密集。這3大特點(diǎn)對硬件平臺提出了極大的挑戰(zhàn)，也正是基于此，UTM過去飽嘗性能瓶頸之苦，如：在X86架構(gòu)下，UTM受制于總線帶寬普遍無法實(shí)現(xiàn)千兆線速;開啟AV、IPS功能后，CPU占用率大幅升高，整機(jī)性能通常下降80%以上。

綜合考慮了這些問題之后，啟明星辰經(jīng)過詳細(xì)的技術(shù)調(diào)研、產(chǎn)品預(yù)研，最終選擇了基于Cavium公司16核CPU的硬件平臺承載萬兆UTM應(yīng)用。單就 CPU核數(shù)而言，是X86 CPU的4倍以上。并且，Cavium公司OCTEON系列多核芯片，專為UTM等安全產(chǎn)品的應(yīng)用量身內(nèi)置了一系列專用硬件，使得最終構(gòu)建出的產(chǎn)品在性能、穩(wěn)定性上很容易實(shí)現(xiàn)電信級標(biāo)準(zhǔn)。

據(jù)介紹，Cavium的16核CPU采用了"軟件硬件化"的設(shè)計(jì)理念，在CPU片內(nèi)集成了DFA、包收發(fā)模塊等專用硬件，從而提升硬件平臺的整體性能。如圖1所示：

 

16核引領(lǐng)萬兆UTM突破性能瓶頸

下面我們從帶寬、收發(fā)包模塊、包處理指令集等方面來分別了解一下這一硬件平臺。

高總線帶寬：高達(dá)640Gbps的內(nèi)部總線帶寬，是Intel 4核CPU的6倍!就好像一條是雙向六車道的高速公路，而另一條只是單車道的普通公路，在基礎(chǔ)設(shè)施層面便已立分高下。

硬件收發(fā)包模塊：芯片內(nèi)集成了硬件收發(fā)包模塊、千兆/萬兆等的線速接口器件，與總線直連，充分保障各業(yè)務(wù)接口的線速性能，并最大限度地減少了CPU在此方面的開銷。

集成內(nèi)存控制器：我們知道，傳統(tǒng)X86架構(gòu)除CPU外，尚需額外的北橋芯片、內(nèi)存控制器的配合才能實(shí)現(xiàn)內(nèi)存操作，此部分往往成為整個(gè)平臺性能提升的瓶頸;而Cavium16核CPU片內(nèi)集成了內(nèi)存控制器，且無需額外的北橋芯片，避免了內(nèi)存操作成為平臺性能提升的瓶頸。

壓縮/解壓縮硬件引擎：AV業(yè)務(wù)需對進(jìn)出網(wǎng)關(guān)的文件進(jìn)行病毒掃描，而很多文件是壓縮的、并且是多級壓縮。對此類文件的掃描，必須先將文件解壓縮后再進(jìn)行與病毒庫文件的匹配運(yùn)算。X86架構(gòu)下，此項(xiàng)運(yùn)算都是由CPU進(jìn)行的，極耗費(fèi)資源，文件壓縮/解壓縮成為導(dǎo)致AV性能瓶頸的重要因素。 Cavium 16核CPU內(nèi)置一個(gè)專用壓縮/解壓縮硬件引擎，用于AV文件的壓縮/解壓縮操作，極大提高了AV業(yè)務(wù)的性能，減輕了對CPU資源的消耗。

專用包處理指令集： AV、IPS、上網(wǎng)行為管理等業(yè)務(wù)主要做的是應(yīng)用層包處理，運(yùn)算量大、運(yùn)算復(fù)雜，并且需要進(jìn)行頻繁的業(yè)務(wù)調(diào)度與切換，只能由CPU進(jìn)行處理，從而使CPU 成為性能提升的瓶頸之一。Cavium 16核CPU創(chuàng)新的在每個(gè)CPU核內(nèi)集成了一個(gè)專門針對包處理應(yīng)用特點(diǎn)而開發(fā)的指令集，可通過指令直接進(jìn)行位域操作、面向字節(jié)的操作等，不必再像X86那樣靠多條指令實(shí)現(xiàn)一個(gè)功能，結(jié)合RISC短指令集的效率優(yōu)勢，運(yùn)算效率整體提高了3倍。

硬件DFA內(nèi)容匹配引擎：AV、IPS等業(yè)務(wù)也是應(yīng)用層特性密集的業(yè)務(wù)。某種程度上，UTM的性能就取決于產(chǎn)品對業(yè)務(wù)特征的匹配速度。X86架構(gòu)下，CPU既需要進(jìn)行內(nèi)容匹配運(yùn)算，又需要進(jìn)行設(shè)備的控制操作、業(yè)務(wù)調(diào)度等，CPU負(fù)荷重并且效率低。Cavium16核CPU針對此應(yīng)用特點(diǎn)，在片內(nèi)集成了一個(gè)硬件DFA內(nèi)容匹配引擎，直接對特征數(shù)據(jù)匹配進(jìn)行硬件運(yùn)算，將匹配運(yùn)算結(jié)果交由CPU核進(jìn)一步處理，這樣就極大提高了內(nèi)容匹配速度，減輕了對 CPU資源的消耗。CPU從此不再成為AV、IPS等業(yè)務(wù)的處理瓶頸。

多核軟件體系設(shè)計(jì)

在采訪中我們得知，萬兆多核的軟件架構(gòu)設(shè)計(jì)與X86架構(gòu)下的設(shè)計(jì)完全不同，無法進(jìn)行簡單的代碼移植，必須配合硬件平臺進(jìn)行針對性的設(shè)計(jì)與優(yōu)化。啟明星辰為此全新設(shè)計(jì)了UTM專用的64位操作系統(tǒng)，這也是萬兆UTM產(chǎn)品化過程中工作難度最大、工作量最多的部分。

我們首先遇到的難題就是性能不隨核數(shù)增長而線性增長的問題"，啟明星辰的專家告訴記者。

據(jù)了解，在采用Cavium多核硬件平臺進(jìn)行了相應(yīng)的軟件開發(fā)后，啟明星辰在萬兆UTM預(yù)研初期，就實(shí)現(xiàn)了4核情況下3G的防火墻性能，但在隨后進(jìn)一步的研究中，發(fā)現(xiàn)性能提升似乎到了極限，隨著核數(shù)的提升性能并不相應(yīng)的線性增長。如圖2所示，問題出在哪里呢?

 

16核引領(lǐng)萬兆UTM突破性能瓶頸

硬件平臺多達(dá)16個(gè)CPU核在同時(shí)進(jìn)行并行業(yè)務(wù)處理，對各CPU核的業(yè)務(wù)調(diào)度與控制尤為重要。在傳統(tǒng)的X86架構(gòu)下的，CPU最多4核，對 CPU核的調(diào)度問題并不突出，而在16核情況下，該問題便暴露出來。為攻克此問題，啟明星辰集中了研發(fā)體系的所有優(yōu)勢資源，成立了技術(shù)攻關(guān)小組，并貫穿產(chǎn)品化始終，從挖掘硬件資源、業(yè)務(wù)鎖等多個(gè)方向進(jìn)行優(yōu)化，軟件人員與硬件驅(qū)動(dòng)人員通力配合，共同尋找提高性能的途徑，逐一優(yōu)化，一個(gè)核一個(gè)核的攻。最終，實(shí)現(xiàn)了業(yè)務(wù)性能的線性化增長。隨著核數(shù)的增多，性能曲線基本保持線性增長的態(tài)勢。

當(dāng)然，在軟件體系架構(gòu)設(shè)計(jì)中遇到的大小問題還有很多，如：在持續(xù)引入新的業(yè)務(wù)新特性情況下，如何保證性能不下降?產(chǎn)品的可調(diào)試性等等。最終，啟明星辰依靠研發(fā)技術(shù)優(yōu)勢，集中攻關(guān)，把這些問題逐一解決，實(shí)現(xiàn)了高性能萬兆UTM的成功商用。

就全球應(yīng)用趨勢來看，多核UTM已成為客戶在網(wǎng)關(guān)位置安全產(chǎn)品的首要選擇。國際主流廠家Cisco、Juniper、CheckPoint、 WatchGuard、華為等均已全力投入U(xiǎn)TM方向，并且都選擇了Cavium多核作為硬件平臺，相繼發(fā)布了多核UTM產(chǎn)品。啟明星辰作為中國UTM市場連續(xù)兩年份額第一的國內(nèi)廠家，在2007年就選擇了Cavium多核方向投入研發(fā)，并于2008年6月在國內(nèi)率先發(fā)布了高性能萬兆UTM平臺。截至目前，啟明星辰萬兆UTM產(chǎn)品已服務(wù)于多家大型企業(yè)、政府等單位的骨干節(jié)點(diǎn)，為客戶提供高性能的安全業(yè)務(wù)保障。

我們看到，隨著啟明星辰天清漢馬萬兆UTM的成功應(yīng)用，阻礙UTM發(fā)展的性能瓶頸問題已徹底解決，相信中國UTM市場必將迎來新一輪的快速增長。