科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道识别千兆防火墙(2)

识别千兆防火墙(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

吞吐量测试数据、丢包率测试数据和延迟测试数据才是衡量一个千兆防火墙性能的指标参数。以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。

作者:51CTO.COM 2007年11月14日

关键字: ASIC NP Intel X86 千兆防火墙

  • 评论
  • 分享微博
  • 分享邮件

  无论采用哪种结构(Intel X86、NP、ASIC),只是在数据处理方式方面有所不同,并不能确定采用了NP或者ASIC设计的千兆防火墙在性能上就一定优越于通用CPU结构的千兆防火墙。就拿NP架构的千兆防火墙而言,必须在微码的优化、中间判断环节的减少、策略决策模块同执行模块的分离上面进行技术优化,这样设计出来的千兆防火墙在性能上才能很大程度地优于通用CPU架构的防火墙系统。例如国内的清华紫光比威自主研发的双NP架构千兆防火墙系统,通过两片网络处理器协同工作,使性能在64字节时吞吐率可达80%左右。

  背景资料:千兆防火墙的硬件实现技术主要有三种:Intel X86架构工控机、ASIC硬件加速技术和NP加速技术。

  Intel X86架构 曾经以其高灵活性和扩展性在百兆防火墙上获得过巨大的成功,然而对于千兆网来说,X86架构的CPU由于考虑了各种应用的需要,具有一般化的通用体系结构和指令集,以求支持复杂的运算并容易开发新的功能,所以其处理速度相对较慢,很难满足千兆网络对于高线速的需求。

  ASIC架构通过把指令或计算逻辑固化到硬件中,可以获得很高的处理能力。但是ASIC将指令或计算逻辑固化到了硬件中,缺乏灵活性,也不便于修改和升级;深层次包分析(L4+)增加ASIC的复杂度;ASIC的开发周期长,典型设计周期18个月;ASIC设计费用昂贵且风险较大。

  NP(网络处理器)采用微码编程,是专门为进行网络分组处理而开发的,具有优化的体系结构和指令集,所以比X86 CPU具备更高的处理性能;而且NP有专门的指令集和配套的软件开发系统,具有很强的编程能力,能够方便地开发各种应用,支持可扩展的服务,因而比ASIC更具灵活性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章