基于国产龙芯cpu高性能防火墙转发性能探究和实现

基于国产龙芯cpu高性能防火墙转发性能探究和实现

ID:5996072

大小:30.00 KB

页数:8页

时间:2017-12-30

基于国产龙芯cpu高性能防火墙转发性能探究和实现_第1页
基于国产龙芯cpu高性能防火墙转发性能探究和实现_第2页
基于国产龙芯cpu高性能防火墙转发性能探究和实现_第3页
基于国产龙芯cpu高性能防火墙转发性能探究和实现_第4页
基于国产龙芯cpu高性能防火墙转发性能探究和实现_第5页
资源描述:

《基于国产龙芯cpu高性能防火墙转发性能探究和实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于国产龙芯CPU高性能防火墙转发性能探究和实现  摘要:防火墙作为网络安全产品中必不可少的设备,广泛应用于网络环境中,但目前国内信息安全厂商普遍采用国外核心芯片,软件OEM国外产品并不鲜见,大量充斥的“伪安全”产品无法达到真正的安全,核心技术和关键装备主要依赖进口,信息安全问题严重威胁我国政治、经济和国防安全。该文设计基于龙芯CPU的防火墙系统,采用国产CPU为核心,即满足网络安全需求也符合国家自主创新政策。该文首先对龙芯CPU和防火墙的基本概念与原理进行介绍,通过对龙芯防火墙报文转发引擎核心Netfilter框架的详细分析与研究之后,提出了基于软件预取和减少

2、TLB失效技术提高转发性能,同时提出基于龙芯多核与硬件加速的高性能防火墙解决方案。关键词:龙芯;防火墙;转发性能;Netfilter;硬件加速中图分类号:TP311文献标识码:A文章编号:1009-3044(2013)20-4588-041龙芯防火墙转发性能研究与实现1.1龙芯防火墙平台简介1.1.1系统整体架构8基于龙芯CPU的防火墙是一款具有百/千兆流量处理的系统,具有4个100/1000M自适应端口、一个串行管理接口、两个USB接口,支持一个Honeypot分析联动口,可供蜜罐或入侵检测系统在线分析网络信息,与防火墙联动实现入侵收敛。同时,提供完善的路由协

3、议(支持IPv4协议栈、L2/L3层交换及路由协议)、VLAN控制、流量控制、QoS(服务质量)保证等机制,提供完备的业务控制和用户管理能力,基于硬件实现深度包检测(DPI)和状态流检测(DFI)等技术感知应用层协议。为校园网、企业网、政府网、行业网、金融网、中小企业等提供边界安全服务。产品符合IEEE802.3(u、ab)Ethernet、以太网标准,符合国家《信息安全技术防火墙技术要求和测试评价方法》GB/T20281-2006质量指标依据标准。系统采用标准的19英寸长、高1U的机械结构,外观如图1所示。1.1.2系统软件架构软件平台基于Linux[4]操作

4、系统,全面支持包过滤和状态过滤机制、IPv4协议栈,同时支持IPv4静态路由,支持RIP、OSPF等动态路由协议。系统软件架构如图2所示。8如图2所示,操作系统提供硬件抽象层和网络协议处理,上层应用包括传统防火墙功能,例如:状态包过滤、地址转换等,VPN功能,路由转发功能,应用识别功能以及网络基本功能。在管理方面提供CLI和WebUI方式。为了保持IP核心软件的简单明了性,采用如下的队列管理机制:为IP协议栈维护一个接收队列,为每个网络接口维护一个发送队列。IP协议栈的处理过程如图3所示。2龙芯高性能防火墙研究与实现2.1龙芯防火墙带来的问题2.1.1核心模块处

5、理效率低下通过Oprofile测试发现,网卡驱动和netfilter核心组件占用大量的系统资源。如图4所示,为测试结果。主要分析原因是:因为测试的报文长度64Byte,同时e1000e驱动的copybreak特性,会将小于特定大小的报文复制到新的skb中,便于CPU的cache命中。而这个默认的大小设定为256Byte。将copybreak修改为32,主要是为了避免在e1000_clean_rx_irq中的内存拷贝。由此可见,Netfilter框架核心部件(IPtables和连接跟踪)和网卡驱动是防火墙转发性能的主要瓶颈。2.1.2龙芯CPU主频过低8龙芯2F最

6、高工作主频为1GHz,网卡中断使用大量的硬件中断资源,即使采用轮询(NAPI)方式,在64bytes字节下也无法满足要求,并且出来硬件中断,操作系统软中断也是消耗大量CPU资源。因此,防火墙新建连接率性能无法提供。如图5所示,龙芯2F防火墙与性价比接近的产品比较结果。根据测试数据表明,龙芯2F防火墙新建连接率为6000cps。一般IntelAtomD525处理器新建连接率在15000cps。由此可见,防火墙的主频直接影响新建连接率,同时主频也是防火墙转发性能的主要瓶颈之一。2.2解决方案2.2.1总体设计方案新防火墙硬件平台主要由两部分组成,由采用龙芯多核处理器

7、的高性能计算平台和采用FPGA的硬件加速处理模块组成,完全满足应对千兆线速下的的性能需求。龙芯多核多CPU运算平台和硬件处理模块间采用PCI-E总线连接,单向具备20Gbps以上的带宽,硬件处理模块采用了基于主机控制的ACL转发模块,能大大降低网络数据传输延迟,通过采用负载均衡技术,使得防火墙应用软件能充分实现并行性,相关的报文预处理模块匹配加速模块,有效提升了系统性能。系统可以提供2/4/8个100/1000自适应接口。如图6所示为其硬件平台结构图。基于FPGA的硬件处理模块是提高系统性能的重要组成部分,核心模块采用FPGA设计,板卡上实现了数据包解析、分类、

8、数据流调度、数据转发模块

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。