伴随着3G及云计算的商用部暑进一步铺展开来,推动了互联网用户的剧增及网络应用的日益多样化,越来越多的应用从原有的C/S架构转娈为B/S架构,使得越来越多的业务流量集中到网络中传输。
另一方面,网络安全产品的角色也在慢慢发生改变,如Firewall,IPS,IDS等设备仅仅对报文头部的信息进行解析已经无法再满足需求,大多数的安全环节需要对网络数据部分的内容进行分析,网络流量的爆增直接带来了计算资源的高速膨胀,对于网络安全产品的性能也要求越来越高,打造高性能的网络安全产品,对于各安全厂商来说成为一种趋势。
采用通用处理器的X86平台普遍存在,但是其架构上的”硬伤”却使得它在不借助第三方硬件(如加速卡)的基础上,很难达到超过2G/S的处理能力,中断机制、网卡与CPU之间PCIE总线的传输、过长的流水线都让其性能受到制约,面对日益膨胀的海量信息,越来越显得力不从心,因此,多核技术应运而生。
基于MIPS64 的多核SOC(System on Chip)让众多安全厂商找到了新的方向, 作为专注于在安全、智能网络领域的全面芯片解决方案的领先供应商,CAVIUM推出了OCTEON多核处理器系列,为网络、无线、控制和存储等应用提供高度集成化和低成本的64位计算的解决方案,它集成了专门定制的MIPS64处理器和业界最先进的多层应用(multi-layer applications)加速和安全处理硬件,以及丰富的可配置的网络接口。
CAVIUM多核平台的最大优势是保留了X86平台的高灵活性(这一点对于安全设备的应用层检测非常关键),采用完全的C语言编程,提供了完整的软件开发套件,包括 Linux、软件例子、GNU工具链、GDB开发环境和第三方的工具链与开发支持,使得成千上万的MIPS32、MIPS64和其他C应用可以很轻松的被移植到OCTEON上。
作为专业级的SOC,针对不同的网络安全业务和应用,内置了各种硬件加速模块,不再只单纯依赖软件的算法,就可以实现性能上比较明显的提升:
丰富针对IPv4和IPv6数据包的L2-L4基于硬件的包处理和缓冲区管理(Buffer Management)引擎
TCP硬件加速包括全面的检查、标签产生(tag-generation)、校验和(checksum)、定时器(timer)和缓冲区管理
队列/调度和服务质量硬件实现了针对输入包的基于diffserv、QoS/ToS、输入端口或以上组合的队列/调度,针对输出包的基于固定优先级(fixed prioritization)或加权公平队列(weighted fair queuing, WFQ)
安全硬件加速完全分担(full offload)针对IPsec、SSL、SRTP和WLAN 802.11i 安全的协议处理,支持所有的标准算法包括DES/3DES、AES最多支持256bit、AES-GCM、AES-XCBC、ARC4、MD5、SHA-1、SHA-2 最多支持 SHA-512、RSA 最多支持 40Array6bit、Diffie-Hellman和真正的硬件随机数产生器
压缩/解压缩硬件加速实现了GZIP、PKZIP和各种协议,以提供业界最好的几吉比特的压缩率
深度包检查通过8个模式匹配硬件加速引擎实现的,这些引擎可以用来针对入侵检测、反病毒和基于内容的交换、路由和过滤应用提供状态模式分析(stateful pattern analysis)。
并且随着核数量的增加,可以达到性能线性的提升,方便规划提供系列化平台.
唯一具有挑战性的是,CAVIUM多核平台属于专用硬件平台,驾驭难度相当高,传统的X86平台属于通用硬件平台,具有开发难度小的优势,但是CAVIUM的技术壁垒相对较高,要想实现硬件的高速处理,需要对芯片指令及结构有深入的了解,成为很多用户无法逾越的门槛。
作为多核嵌入式开发领域的佼佼者,恒扬科技利用CAVIUM 多核CPU为用户提供高性能的网络安全产品硬件和软件解决方案:MCBox
MCBox平台基于Cavium Octeon系列多核CPU,采用高度集成化和模块化硬件设计,集成了对主流开源软件的良好支持,结合恒扬科技对MIPS多核处理器应用开发的长期经验,MCBOX产品系列为网络流量处理相关应用提供了从低端千兆到高端万兆完整的、专业的开放平台解决方案。
MCBox既可以支持用户使用标准的CaviumOcteon CDK独立进行软件开发,也可以提供恒扬科技为加速用户产品开发而准备的独有的软件支持系统。具体而言,MCBox支持如下软件系统:
标准的Cavium SDK
MCBox可以以补丁方式为用户提供Cavium SDK的BSP支持。以帮助客户在原厂支持下采用MCBox硬件平台进行应用开发
OpenWrt for MCBox
恒扬科技维护的OpenWrt for MCBox是一个开放源代码的嵌入式Linux开发和运行环境,经过对OpenWrt这个流行的嵌入式系统有针对性的在内核软件、驱动软件及部分网络应用进行优化,本系统成为了一个完整的、适合在MIPS、X86、PowerPC等多种SoC系统上进行网络应用开发和部署的网络业务处理操作系统准系统;
在MCBox系统上进行Linux应用开发时,用户只需要下载OpenWrt for MCBox的代码,经过简单的菜单配置步骤后,即可从源代码一步make出包含多种典型开源网络应用程序的目标系统CF卡映像,此CF卡映像可以直接在MCBox及MCBlade等系列产品上运行。
MCBOX平台的推出无疑为各安全厂商对其网络安全平台的性能提升,提供了一个台阶,通过和客户的深度合作,可以帮助其快速攻破多核开发的技术壁垒,推出极具性价比的多核安全产品。 
