天融信下一代防火墙的并行多级流水线架构.docxVIP

天融信下一代防火墙的并行多级流水线架构随着网络的不断升级与扩容，在运营商骨干网、云数据中心、大型企业网络边界等网络应用环境中，防火墙需要满足大容量、高可靠、可扩展等需求。在这种环境下，传统盒式防火墙恐难以胜任，往往需要部署分布式机架防火墙。天融信NGFW?下一代防火墙擎天II系列是天融信公司的全新一代高性能机架式防火墙产品，其采用了并行多级流水线硬件架构。借助于先进的硬件架构，使擎天II系列的背板交换容量能达到2Tbps，安全处理性能可达到320Gbps。同时，擎天II能够支持防火墙、VPN、AV、IDP等安全业务板，能支持机架冗余、安全业务板冗余和关键部件冗余。在这种开放式的硬件架构下，使擎天II具有高处理性能、高可靠、高端口密度和可灵活扩展等特点，完全能满足运营商、数据中心和大企业等客户的需求。系统级多级架构在数据处理流程上，擎天II的入口处理、安全业务处理和出口处理等模块依次对流量进行解析、检查、过滤和QoS支持，构成多层次、多级别的防护体系。入口处理主要负责流量的接收和解析，并根据配置规则进行协议的检查和异常报文的过滤。入口处理可以对入口的带宽进行限制，还可以对流量进行负载分担，即按照配置的负载分担规则将流量分配到对应的安全业务板上。安全业务板是系统安全防护的核心模块，主要负责各种网络安全业务的处理，包括防火墙、VPN、入侵检测和防御、病毒检测与过滤等业务。出口模块则对过滤后的流量进行选路，选择正确的路径和出口。除此以外，出口模块还要对发送流量进行出口带宽限制、流量整形等QoS处理。板卡级并行多级架构擎天II有2个主控板槽位，可插入2块主控板。支持主控板1：1和1+1的冗余备份工作模式。1：1模式下，可成倍地提高系统的控制和管理功能的性能，1+1模式可极大地提高系统的可靠性。擎天II可同时插入多个安全业务板，这些安全业务板可以并行起来、协同工作。多块安全业务板的并行处理，可以提高系统的处理性能，还以通过冗余配置来满足高可靠性的要求。此外，用户在初次安装时，可以根据实际网络环境的需要，选择合适数量和种类的安全业务板。在实际运行过程中，如果需要处理的流量增加了，也只需要增加安全业务板的数量。安全业务板内也采用了多级处理架构。在安全业务板上是CPU+ASIC的硬件架构，这种架构下，ASIC芯片负责数据网络层的处理，CPU负责控制层处理和数据应用层处理。数据流量进入到安全业务板上后，先达到ASIC芯片，在ASIC上进行流量解析和协议一致性检查，并根据检查结果进行初步过滤，然后查找安全规则进行深度过滤。对于符合规则的，或者直接转发，或者上送到CPU进行进一步处理。这种架构利用了ASIC的高性能和低延时特性，结合了CPU的强大计算能力，提高了整个系统的转发性能、降低了系统的转发延时。这种架构还有一个优点：将一些比较耗费CPU资源的任务交给ASIC处理，从而显著减轻CPU的负载，即使在复杂的网络环境下也能保证CPU不会太繁忙，提高了系统的网络适应性，增强了系统的业务连续性。芯片级流水线架构ASIC芯片采用天融信公司完全自主开发的第5代可编程ASIC芯片--TopASIC-V。TopASIC-V有多个硬件处理引擎，采用流水线组织的形式并行工作。流水线组织的工作原理就在于将报文的处理划分成不同的步骤，每个处理步骤分别在不同的硬件引擎中执行。TopASIC-V通过流程优化，合理地划分了执行步骤，使得TopASIC-V具有很高的处理性能。另外，这种优化的流水线划分，还可以降低硬件引擎的设计难度，提高了芯片的可靠性。高速Crossbar交换结构在机架式设备中，几乎所有的数据流量和控制流量都需要通过交换结构进行传输，可以说交换结构是整个系统硬件的基础和核心。但说到交换结构具体是什么的时候，有人可能会认为交换结构就是背板，其实不然。背板仅仅是交换结构中的一部分，只是其中的一个物理部件。交换结构应该由各业务板、交换阵列和背板等部件共同构成。随着交换容量的不断提高，交换结构从共享总线、共享内存演变到了内部无阻塞的Crossbar结构。交换方式也从电路交换、定长的信元交换发展到可变长度的报文交换。擎天II系列防火墙采用了Crossbar的交换结构和可变长度的交换方式。Crossbar交换结构能充分利用所有的交换资源，能提供最大的交换容量；由于减小了传输开销，可变长度的报文交换具有很高的传输效率。高可靠性设计擎天II一般部署在网络的关键位置上，所以对系统的可靠性要求很高。擎天II采取了下列技术来提高可靠性：▲ 机架冗余。擎天II支持机架间的冗余备用功能，当流量从工作机架迁移到备份机架上时，流量可正常转发。▲ 关键部件冗余。在机架内部，主控板、安全业务板、风扇和电源模块等关键部件支持冗余备份功能。当某个部件发生故障时，其他相同功能的部件会自动分担故障部件的