基于多核處理器的DPI平臺的設計與應用

　　前言

　　在目前的安全、數通及電信等諸多領(lǐng)域都可以看到基于多核處理器的設計，它們超強的處理能力使得以往繁復的系統得以減小體積，實(shí)現單板平臺。然而，在享受處理性能提升的同時(shí)，結構設計人員卻不得不忍受多核高功耗的折磨，動(dòng)輒幾十瓦甚至上百瓦的功耗成為多核進(jìn)入更多領(lǐng)域的一個(gè)瓶頸。在目前綠色環(huán)保的政策下如何實(shí)現機房或設備的低功耗成為系統工程師必須考慮的一個(gè)重要設計因素。隨著(zhù)多核集成CPU數量的不斷增加，單純靠芯片工藝和代碼優(yōu)化來(lái)降低功耗越來(lái)越難，此時(shí)必須要從電路系統設計的角度來(lái)全盤(pán)考慮問(wèn)題。

　　多核處理器在數據處理過(guò)程中的密集運算使得芯片的動(dòng)態(tài)功耗不斷增加，因此可將處理器的一部分負荷卸載到專(zhuān)用加速器中，以此來(lái)降低核心芯片的功耗。一方面它可以容許處理器工作在較低的頻率上，大幅降低系統的總功耗，另一方面還可以通過(guò)釋放處理器來(lái)提升整個(gè)系統的性能，或者增加高附加值的應用；最后還可以降低對處理器的要求，同時(shí)降低系統的BOM成本。

　　目前安全領(lǐng)域的DPI檢測就是一個(gè)計算密集型應用，它要求掃描整個(gè)數據包，計算開(kāi)銷(xiāo)非常大?，F有網(wǎng)絡(luò )設備在實(shí)現此功能時(shí)大多采用軟件方案，在獨占一個(gè)CPU核的情況下也只能達到Mbps的處理能力。實(shí)驗表明，通過(guò)加入LSI公司的Tarari DPI專(zhuān)用芯片可以使系統功耗大幅降低，而處理能力可提升至Gbps。本文將以Tarari為例介紹DPI技術(shù)以及相關(guān)實(shí)現。

　　DPI技術(shù)及芯片介紹

　　DPI (Deep Packet Inspection)，即“深度報文檢測”。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測”僅分析IP包的4層以下的內容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類(lèi)型，而DPI 除了對前面的層次分析外，還增加了應用層分析，識別各種應用及其內容，基本概念如圖1所示。

圖1 DPI的基本概念

　　普通報文檢測是通過(guò)端口號來(lái)識別應用類(lèi)型的。如檢測到端口號為80時(shí)，則認為該應用代表著(zhù)普通上網(wǎng)應用。而當前網(wǎng)絡(luò )上的一些非法應用會(huì )采用隱藏或假冒端口號的方式躲避檢測和監管，造成仿冒合法報文的數據流侵蝕網(wǎng)絡(luò )。此時(shí)采用L2~L4層的傳統檢測方法已無(wú)能為力了。DPI 技術(shù)就是通過(guò)對應用流中的數據報文內容進(jìn)行探測，從而確定數據報文的真正應用。因為非法應用可以隱藏端口號，但目前較難隱藏應用層的協(xié)議特征。

　　Tarari系列芯片是實(shí)現上述功能的一款硬件加速器，它支持行業(yè)內標準的正則表達式，規則數可以達到上百萬(wàn)條，支持POSIX和PCRE。針對安全應用中所需的跨包檢測，Tarari可以對400多萬(wàn)條數據的上下文進(jìn)行處理。處理跨包的過(guò)程中Tarari會(huì )用內部緩存來(lái)自動(dòng)記錄跨包的上下文，包括正則表達式搜索樹(shù)的狀態(tài)、前一包的部分內容以及所選的指令。該系列芯片從第四代產(chǎn)品(T9000)開(kāi)始采用ASIC設計，第五代產(chǎn)品則開(kāi)始采用T10架構，產(chǎn)品目前包括T1000和T2000兩個(gè)系列型號。各芯片間軟件兼容，提供從250Mbps到10Gbps不同的速度等級，以滿(mǎn)足不同應用的需求。

　　以T2000系列芯片為例，它外圍存儲采用低成本的DDR2 SDRAM芯片，無(wú)需TCAM或者RLDRAM等昂貴存儲器。為了滿(mǎn)足某些高性能場(chǎng)合的需求，T2000也提供擴展接口，方便實(shí)現性能升級。在系統接口方面T2000提供PCI、PCI Express等高速接口，每個(gè)PCIe通道都具有Gbps的有效吞吐能力，最高可以達到16Gbps。T2000最高可支持10G的單片峰值性能，通過(guò)級聯(lián)兩片T2000芯片可以提供16Gb/s的吞吐量。T2000 軟件可同時(shí)監測多達四塊16Gb/s PCIe電路板并提供負載均衡，從而為最苛刻的網(wǎng)絡(luò )環(huán)境提供64Gb/s 的性能。T2000系列芯片的體積只有29mm*29mm，典型功耗為5W。

　　基于多核處理器的DPI平臺設計

　　硬件平臺設計

　　無(wú)論是Intel和AMD的x86架構，還是MIPs架構，無(wú)論是CISC還是RISC，Tarari都可以很好的支持這些主流的處理器技術(shù)。

　　以某公司基于MIPs的多核芯片為例，圖2所示為Tarari芯片與MIPs多核的設計框圖。由于 Tarari芯片具有PCI、PCI-X以及PCIe接口，因此Tarari可以通過(guò)這些接口與滿(mǎn)足條件的多核處理器直接對接。對于很多高速應用，如果PCIe接口類(lèi)型不匹配，也可以在PCIe與處理器間搭接PCIe與其它接口的轉換橋片。對于低速應用，Tarari可以實(shí)現無(wú)RAM操作，即無(wú)需外圍的DDR2芯片，通過(guò)內部存儲器就可以實(shí)現數據處理。

　　圖2所示電路的工作流程如下：當有數據包從GE接口進(jìn)入MIPs多核處理器，處理器會(huì )通過(guò)PCIe接口或者HT橋片將其送入Tarari內容處理器，此時(shí)Tarari會(huì )通過(guò)內部的多個(gè)引擎對數據與規則集進(jìn)行比對匹配，因為匹配規則在處理期間已經(jīng)調入Tarari芯片的內部緩存，并且數據在處理過(guò)程中并不會(huì )進(jìn)行任何形式的存儲，所以匹配過(guò)程延時(shí)很小。匹配結束后，評估結果同樣經(jīng)過(guò)PCIe或者HT總線(xiàn)送回處理器，上層軟件根據結果來(lái)決定對報文的處理。

圖2 基于MIPs多核的DPI平臺設計

　　規則集編寫(xiě)及調用

　　Tarari支持豐富的正則表達式語(yǔ)言和各種常用結構，可以在確定速度的情況下并行處理超過(guò)100萬(wàn)條規則，它通過(guò)專(zhuān)利技術(shù)綜合了DFA和NFA的優(yōu)點(diǎn)，支持各種復雜的正則表達式。

　　如圖3所示，正則表達式內容處理的第一步是編譯規則集，然后將其調入Tarari硬件系統。規則集可以一次全部編譯，也可以只編譯更新部分，即增量編譯。被編譯的規則文本文件在編寫(xiě)時(shí)需要符合語(yǔ)法，編譯結果是一個(gè)可以被調入Tarari硬件系統的二進(jìn)制文件。

圖3 規則集的編譯過(guò)程

　　全部編譯的好處是可以進(jìn)行字符級的壓縮，對于許多應用來(lái)講，這意味著(zhù)可以大幅減小編譯輸出的二進(jìn)制文件大小，特別是對于諸如反垃圾郵件等基于文本的應用，全部編譯同增量編譯相比可以減小編譯結果。字符集壓縮必須要檢索起始狀態(tài)條件下的所有規則。因此，某一個(gè)規則的更新就會(huì )改變二進(jìn)制指令在所有規則集上的生成方式。所以在這種模式下任一規則的更新都會(huì )要求所有的規則被重新編譯。

　　IDS/IPS類(lèi)應用傾向于將8比特字符的256個(gè)可能數值都明確地用規則表示出來(lái)，因此字符集壓縮對此類(lèi)應用來(lái)講作用較小，所以適合采用增量編譯。采用增量編譯的優(yōu)勢在于不會(huì )特別增加字節數。另外，為了進(jìn)行包分類(lèi)，這類(lèi)應用通常使用很多的起始狀態(tài)條件，這也適合采用增量編譯。有起始狀態(tài)條件的規則集使用增量編譯因為不需進(jìn)行字符集壓縮，所以可減小第一次的編譯時(shí)間；依賴(lài)于規則改變的數目和復雜度，第二次以及隨后的編譯時(shí)間也會(huì )大幅縮短；并且減小了存儲記錄的需求。

　　如果規則集沒(méi)有起始條件，那么最好還是使用全部編譯的方式，因為全部編譯具有字符集壓縮的優(yōu)勢。

　　DPI在UTM平臺上的應用

　　目前企業(yè)網(wǎng)都面臨著(zhù)入侵防御、防病毒和防垃圾郵件等三個(gè)主要的安全問(wèn)題，UTM的出現使得通過(guò)一臺設備來(lái)解決上述安全問(wèn)題成為可能。但這同時(shí)也帶來(lái)了性能瓶頸，因為對不間斷的數據流進(jìn)行處理，并根據不同的惡意威脅對包進(jìn)行深度掃描的計算量非常龐大，即使是多核平臺也很難達到預定性能。在這種情況下，專(zhuān)用的加速引擎Tarari就可以幫助UTM設備在安全能力和處理性能間達到均衡。

　　Tarari可以從主處理器上卸載內容處理任務(wù)，利用專(zhuān)用硬件來(lái)加速評估過(guò)程，最后再將評估結果送回主處理器上的安全應用程序。

　　對于入侵防御，UTM設備可以檢測輸入報文的所有內容，并將內容提交給Tarari的正則表達式處理引擎，由它來(lái)加速與攻擊模式的比較過(guò)程。匹配結果返回主處理器后，入侵防御應用程序會(huì )決定如何來(lái)處理攻擊包。

　　對于防病毒保護，數據流以文件形式通過(guò)UTM設備進(jìn)入正則表達式引擎，引擎在線(xiàn)速情況下會(huì )將文件與病毒特征數據庫進(jìn)行評估匹配，并對可疑內容進(jìn)行啟發(fā)分析。評估結束后，主處理器上的防病毒應用程序就可以對感染文件進(jìn)行預定處理。

　　對于防垃圾郵件應用，輸入流作為Email通過(guò)UTM設備接入正則表達式引擎，引擎會(huì )將內容圖案與垃圾郵件特征數據庫進(jìn)行評估對比，識別出問(wèn)題信息。主處理器上運行的反垃圾郵件應用程序讀出返回值后可以應用不同策略來(lái)處理這些信息。

　　當UTM平臺有了Tarari的加速，它可以真正實(shí)現對數據報文、信息和文件的深度檢測，以對網(wǎng)絡(luò )提供安全保護。

　　總結

　　通過(guò)軟件的方式也可以實(shí)現DPI檢測功能，但這種方式性?xún)r(jià)比較低，功耗較高。比如在3GHz的Xenon四核平臺上，每核只能實(shí)現60Mbit/s的吞吐量，而此時(shí)功耗為90W；采用最低端的T1000芯片可以實(shí)現250Mbit/s的吞吐量，而功耗不足2W。

　　Tarari與軟件方式相比還有一個(gè)明顯的優(yōu)勢，在于它基于硬件的跨包檢測能力，相對于用軟件來(lái)檢測跨包威脅，比如入侵、惡意攻擊等，Tarari的硬件處理速度遠遠超出了軟件的處理速度。

　　Tarari芯片內部檢測引擎的理論處理速度超過(guò)目前芯片的I/O吞吐率，因此，這些額外的處理能力使得LSI公司有能力在不遠的將來(lái)推出更快更高效的產(chǎn)品。目前T1000系列芯片LSI采用了90nm工藝技術(shù)，隨著(zhù)LSI向65nm工藝的推進(jìn)，Tarari系列的功耗將會(huì )更低，處理性能將會(huì )得到更大的釋放。