FR2000技術白皮書:多核并行處理技術

2018-01-30

 艾泰第二代增強級防火墻FR2000是艾泰最新款防火墻,基于艾泰十多年對高品質產品的開發結晶,同時是研發技術的集大成者。硬件架構上,FR2000采用intel方案,X86多核架構。


 

軟件架構上,采用了控制與業務分離的設計,根據業務類型分為控制面(Control Plane,簡稱CP)和數據面(Data Plane,簡稱DP)兩部分,CP主要處理鑒權、配置、路由、日志和高可用性等管理業務,并提供WebUI、命令行等管理接口。DP則處理網絡層、應用層解析和防火墻各項策略的執行。每個CP或DP都與一個邏輯處理器進行綁定,避免由于系統調度對性能產生負面影響。

 

在部署方面,上海艾泰FR2000支持傳統的橋接、路由、旁路和混合部署模式,通過NFV技術實現安全功能資源池化,部署更靈活,更具有彈性,可以根據業務按需擴展,解決單一設備性能瓶頸的問題。

 

 

多核并行處理技術

 

在處理業務數據的過程中,每個DP都采用Run-to-completion的方式,即一個數據包從接收到所有業務處理完畢,均在同一個DP中完成,這種處理方式能夠顯著提高處理性能。

 

但是,數據包之間存在各種邏輯關系,例如應用層分片或者多連接應用。以往的基于多核技術的網絡產品,有的會將數據包隨機發送到各個處理核,忽略這種內在的邏輯關系, 這樣做的直接后果是無法正確處理應用層分片和多連接應用的相關業務,并且從現象上,經過該設備會出現較多的亂序報文。一個改進的做法是在特定的功能點(如NAT、應用識別、內容審計)對特定的報文進行重組,報文在多個處理核之間傳遞(同時需要共享內存、共享流表等),需要使用鎖等方式進行同步和互斥,對處理性能有較大影響。在X86平臺下如果處理不當,還有可能造成跨節點訪問,性能下降更加顯著,甚至可能出現CPU核數越多,性能反而越低的現象。

 

 


圖1 多核架構內存訪問技術NUMA示意圖

 

通過智能分流器對流量進行分配。當數據包到達艾泰FR2000時,首先由智能分流器對數據包進行初步分類。智能分流器根據當前啟用的上層功能以及數據包的網絡層、應用層信息,決定將該數據包投遞到哪個處理核。智能分流器保證了數據包能在單個處理核上完成所有所需的處理(出于對某些特殊情況的處理,系統仍提供核間報文互操作機制),避免了跨節點訪問內存的高昂開銷,是保證多核并發性能的關鍵技術。

 


圖2 智能分流器示意圖

 

 

   2019 ©上海艾泰科技有限公司 版權所有 滬ICP備05037453號

   

      滬公網安備 31011702003579號

重庆百变王牌100期走势图