Cavium OCTEON網(wǎng)絡(luò)處理器的安全性能

在通信網(wǎng)絡(luò)日益復(fù)雜，新業(yè)務(wù)大量涌現(xiàn)的形勢下，對網(wǎng)絡(luò)業(yè)務(wù)流量的控制能力和網(wǎng)絡(luò)安全也提出了更高的要求，而作為網(wǎng)絡(luò)設(shè)備核心單元的網(wǎng)絡(luò)服務(wù)處理器勢必面臨著更大的挑戰(zhàn)。一方面，越來越多的接入用戶以及越來越多樣化的業(yè)務(wù)需求使得各種網(wǎng)絡(luò)設(shè)備必須提供足夠的吞吐量；另一方面，由于網(wǎng)絡(luò)應(yīng)用不斷更新和變化，新業(yè)務(wù)不斷涌現(xiàn)，這就要求服務(wù)提供商能快速地滿足用戶的需求，增多盈利模式，從而鞏固和提高競爭力。因此，一種編程簡單、針對市場需求升級容易、而且能提供強大吞吐量的新一代處理器產(chǎn)品及解決方案便成為市場追逐的焦點。

作為專注于在安全、智能網(wǎng)絡(luò)領(lǐng)域的全面芯片解決方案的領(lǐng)先供應(yīng)商，Cavium公司當(dāng)然懂得商機的價值，不失時機地推出了OCTEON處理器系列，為網(wǎng)絡(luò)、無線、控制和存儲等應(yīng)用提供高度集成化和低成本的64位計算的解決方案。依托其經(jīng)驗豐富的高端微處理器設(shè)計團隊及嵌入式系統(tǒng)和應(yīng)用軟件團隊，Cavium公司新推出的OCTEON處理器被廣泛地設(shè)計進了各種網(wǎng)絡(luò)設(shè)備，包括路由器、交換機、統(tǒng)一威脅管理（UTM，Unified Threat Managment）設(shè)備、應(yīng)用認(rèn)知（Application-aware）網(wǎng)關(guān)、三網(wǎng)合一（Triple-play）網(wǎng)關(guān)、無線局域網(wǎng)（WLAN）、3G接入和聚合設(shè)備以及網(wǎng)絡(luò)存儲設(shè)備等。其與眾不同的設(shè)計理念，包括：更關(guān)注于提供杰出的應(yīng)用性能；通過廣泛的、根據(jù)條件的時鐘控制來降低功耗；處理器核心內(nèi)建硬件加速器；使用多核技術(shù)，而不是簡單的提高CPU的頻率；一體化的針對不同應(yīng)用的專用協(xié)處理器；使用標(biāo)準(zhǔn)指令集的簡單軟件模型。

為了突破下一代網(wǎng)絡(luò)、無線、控制和存儲應(yīng)用對特性和性價比的需求，新的SOC（System on Chip）集成了專門定制的MIPS64處理器和業(yè)界最先進的多層應(yīng)用（multi-layer applications）加速和安全處理硬件，以及豐富的可配置的網(wǎng)絡(luò)接口。由于目前已有的處理沒有足夠的馬力來滿足現(xiàn)在網(wǎng)絡(luò)的需要，現(xiàn)在的解決方案都是使用一個吉赫茲（GHz）的處理器配上各種各樣的協(xié)處理器和FPGA，最終的結(jié)果是成本很高、功耗很大。Cavium公司推出的OCTEON CN31XX和CN30XX處理器則成功地滿足了下一代IPv4和IPv6網(wǎng)絡(luò)的各種需求，它集成了廣泛的從L3-L7的數(shù)據(jù)、內(nèi)容和安全服務(wù)硬件加速選項，這些加速器分擔(dān)了MIPS CPU的很多任務(wù)、降低了獲得千兆線速所需要的CPU主頻，從而降低功耗和成本。OCTEON處理器的出現(xiàn)使得安全的應(yīng)用認(rèn)知型網(wǎng)絡(luò)成為普遍配置。

新推出的OCTEON產(chǎn)品家族包括：針對中小企業(yè)、企業(yè)級和控制層應(yīng)用的OCTEON 31XX處理器及針對SOHO/SME和控制層應(yīng)用的OCTEON 30XX處理器。OCTEON CN31XX和CN30XX處理器基于與目前已有的CN38XX和CN36XX同樣的定制的cnMIPS64 CPU核。CPU核心是專門針對最好的網(wǎng)絡(luò)和服務(wù)性能專門設(shè)計的，并且功耗非常小。cnMIPS核心是業(yè)界第一款 MIPS64第二版的實現(xiàn)，5級流水線、雙指令超標(biāo)量體系結(jié)構(gòu)，成熟的預(yù)取和優(yōu)化的緩存和內(nèi)存延時。每個處理器有1個或者2個帶有最多256KB L2緩存和豐富接口的cnMIPS核心，這些I/O接口包括千兆以太網(wǎng)接口、PCI/PCI-X、DDR2、SPI、UART 和擴展總線。處理器的主頻從300MHz到550MHz，最大功耗的范圍是從2瓦特到7瓦特，同時性能范圍是從幾百兆到2Gbps的吞吐量。

另外，CN31XX和 CN30XX處理器還有豐富的硬件加速選項，每個處理器有CP（通信處理器，Communication Processor）、SCP（安全通信處理器，Secure Communication Processor）和NSP（網(wǎng)絡(luò)服務(wù)處理器，Network Services Processor，僅 CN31XX 有 NSP 版本）三個版本。CP版本包括針對包處理（Packet Processing）、TCP、隊列/調(diào)度（Queuing/Scheduling）和服務(wù)質(zhì)量（QoS）等硬件加速功能，SCP添加了對IPsec/SSL、SRTP和WLAN安全的加速功能，NSP版本增加了針對深度包檢查（Deep Packet Inspection）和壓縮/解壓縮（Compression/Decompression）的加速。

具體的應(yīng)用加速功能如下：

·    豐富針對IPv4和IPv6數(shù)據(jù)包的L2-L4基于硬件的包處理和緩沖區(qū)管理（Buffer Management）引擎
·    TCP硬件加速包括全面的檢查、標(biāo)簽產(chǎn)生（tag-generation）、校驗和（checksum）、定時器（timer）和緩沖區(qū)管理
·    隊列/調(diào)度和服務(wù)質(zhì)量硬件實現(xiàn)了針對輸入包的基于diffserv、QoS/ToS、輸入端口或以上組合的隊列/調(diào)度，針對輸出包的基于固定優(yōu)先級（fixed prioritization）或加權(quán)公平隊列（weighted fair queuing, WFQ）
·    安全硬件加速完全分擔(dān)（full offload）針對IPsec、SSL、SRTP和WLAN 802.11i 安全的協(xié)議處理，支持所有的標(biāo)準(zhǔn)算法包括DES/3DES、AES最多支持256bit、AES-GCM、AES-XCBC、ARC4、MD5、SHA-1、SHA-2 最多支持 SHA-512、RSA 最多支持 4096bit、Diffie-Hellman和真正的硬件隨機數(shù)產(chǎn)生器
·    壓縮/解壓縮硬件加速實現(xiàn)了GZIP、PKZIP和各種協(xié)議，以提供業(yè)界最好的幾吉比特的壓縮率
·    深度包檢查通過8個模式匹配硬件加速引擎實現(xiàn)的，這些引擎可以用來針對入侵檢測、反病毒和基于內(nèi)容的交換、路由和過濾應(yīng)用提供狀態(tài)模式分析（stateful pattern analysis）。

OCTEON處理器支持LinuxÒ、MontaVistaÒ Linux和Wind RiverÒ VxWorksÒ這些標(biāo)準(zhǔn)操作系統(tǒng)，并且支持一個針對數(shù)據(jù)層面（data-plane）快速通道（fast-path）軟件的瘦執(zhí)行系統(tǒng)（thin executive）。Cavium Networks提供了完整的軟件開發(fā)套件，包括 Linux、軟件例子、GNU工具鏈、GDB開發(fā)環(huán)境和第三方的工具鏈與開發(fā)支持，使得成千上萬的MIPS32、MIPS64和其他C/C++應(yīng)用可以很輕松的被移植到OCTEON上。另外，Cavium Networks還提供針對IPsec、SSL和TCP協(xié)議棧的API和軟件工具集，使快速面市成為可能。

OCTEON 系列網(wǎng)絡(luò)服務(wù)處理器面向高速數(shù)據(jù)流 L4-L7 處理，通過對執(zhí)行環(huán)境、內(nèi)存、硬件加速器、總線結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用開發(fā)接口的綜合優(yōu)化，具有靈活軟件體系提供硬件級處理性能的關(guān)鍵特性。以網(wǎng)絡(luò)服務(wù)處理器為核心的下一代網(wǎng)絡(luò)設(shè)備具備高性能和靈活性特點，較好地滿足了未來網(wǎng)絡(luò)和市場對網(wǎng)絡(luò)設(shè)備的技術(shù)需求，具有巨大的發(fā)展空間，作為智能網(wǎng)絡(luò)領(lǐng)域的全面芯片解決方案的領(lǐng)先供應(yīng)商Cavium Networks必將在這一領(lǐng)域搏擊長空，分得屬于自己的一杯羹。