网络处理器平衡灵活性与高性能

　　网络处理器（Network Processor，简称NP）正在影响着网络设备和安全设备的架构，为网络设备和安全设备的研发带来变革。NP一方面能够大大缩短设备的研发周期，另一方面为设备提供商提供了广泛的二次开发空间。

　　网络的速度正在逐年递增。几年前，网络的速度还是155Mbps（SONET的OC-3标准），目前已经发展到10Gbps(OC-192)。在未来二至三年内，网络速度将会激增到40Gbps(OC-768)。当网络速度较慢时，采用通用处理器的网络设备完全能够处理网络流量。当网络速度达到千兆时，PC架构的网络设备的处理速度就不能满足网络吞吐量的需求，这时就需要采用ASIC(专用集成电路)芯片技术。在完成规定处理任务方面，ASIC具有出色的处理速度。ASIC的缺陷在于开发周期较长，复杂的ASIC芯片通常需要18个月到2年开发时间，这意味设备增加新功能要等待较长时间，ASIC的可编程能力较弱，如果设备需要修改内核就必须经历一个完整的开发周期。

　　NP是一种可编程器件，应用于通信领域的各种任务，例如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QoS等。继在路由器得到使用之后，NP开始在安全设备中得到应用。今年年初中科网威和华为均推出了采用NP的高端防火墙。诺基亚也计划在年底推出采用NP的IP 1260安全平台。NP应用于安全设备当中取决于它的七个特点：完全的可编程性、简单的编程模式、最大化的系统灵活性、高效的处理能力、高度的功能集成、开放的编程接口以及第三方的支持能力。尤其是NP解决了ASIC所不能解决的灵活性与高性能的矛盾。

　　对于安全设备来说，灵活性和高性能似乎是一对矛盾。通用处理器能够方便、快速实现网络应用，但是不能满足线速处理要求。ASIC芯片具有高速处理能力，但是在灵活性和开发周期方面存在缺陷。NP提供了一种折衷的解决方案，NP是为优化包处理而设计的，它能够将数据包线速地传送到下一节点，处理能力从几百兆到10G，甚至可以达到40G。如果设备需要增加新的功能或者支持新的标准，NP可通过编程来实现。

　　需要说明的是，NP不是万能的，并不会完全取代通用处理器和ASIC在网络设备中的应用。在对处理性能需求很高的高端设备中，ASIC仍然具有很强的生命力。可以预见的是，在数据层面、控制层面和管理层，通用处理器、NP和ASIC各司其职，共同为高层应用提供灵活的服务。

　　带来契机

　　随着流媒体在网络中的大量应用，人们对安全设备的性能提出更高要求。国内品牌的安全设备大多数是基于PC架构，对于千兆网络，无论是系统总线、I/O接口，还是CPU的处理能力都显得力不从心。ASIC芯片具有强大的处理能力，但是遗憾的是国内安全厂商不具备ASIC芯片设计能力。不过NP为国内安全厂商研发千兆防火墙、千兆IDS等高端安全设备提供了契机。

　　国外安全设备提供商凭借深厚的技术积累和市场经验，在安全操作系统和硬件平台方面占据明显优势。NP可以使安全设备的性能明显提高、功耗显著降低，降低了安全厂商竞争的门槛，使国内厂商有机会在高端产品领域与国外厂商一起竞争。

　　也有人担心NP存在的缺陷会给防火墙、IDS带来安全隐患，但与NP所带来的性能提升相比，这种担忧显得微不足道。而且自问世以来，NP的性能和安全性也一直在不断提高。随着NP芯片的日渐成熟和多样化，国内安全产品厂商大胆采用NP技术，可以在产品的性能和功能方面迅速缩小与国外厂商的差距。