FR2000技术白皮书:多核并行处理技术

2018-01-30

 艾泰第二代增强级防火墙FR2000是艾泰最新款防火墙,基于艾泰十多年对高品质产品的开发结晶,同时是研发技术的集大成者。硬件架构上,FR2000采用intel方案,X86多核架构。


 

软件架构上,采用了控制与业务分离的设计,根据业务类型分为控制面(Control Plane,简称CP)和数据面(Data Plane,简称DP)两部分,CP主要处理鉴权、配置、路由、日志和高可用性等管理业务,并提供WebUI、命令行等管理接口。DP则处理网络层、应用层解析和防火墙各项策略的执行。每个CP或DP都与一个逻辑处理器进行绑定,避免由于系统调度对性能产生负面影响。

 

在部署方面,上海艾泰FR2000支持传统的桥接、路由、旁路和混合部署模式,通过NFV技术实现安全功能资源池化,部署更灵活,更具有弹性,可以根据业务按需扩展,解决单一设备性能瓶颈的问题。

 

 

多核并行处理技术

 

在处理业务数据的过程中,每个DP都采用Run-to-completion的方式,即一个数据包从接收到所有业务处理完毕,均在同一个DP中完成,这种处理方式能够显著提高处理性能。

 

但是,数据包之间存在各种逻辑关系,例如应用层分片或者多连接应用。以往的基于多核技术的网络产品,有的会将数据包随机发送到各个处理核,忽略这种内在的逻辑关系, 这样做的直接后果是无法正确处理应用层分片和多连接应用的相关业务,并且从现象上,经过该设备会出现较多的乱序报文。一个改进的做法是在特定的功能点(如NAT、应用识别、内容审计)对特定的报文进行重组,报文在多个处理核之间传递(同时需要共享内存、共享流表等),需要使用锁等方式进行同步和互斥,对处理性能有较大影响。在X86平台下如果处理不当,还有可能造成跨节点访问,性能下降更加显著,甚至可能出现CPU核数越多,性能反而越低的现象。

 

 


图1 多核架构内存访问技术NUMA示意图

 

通过智能分流器对流量进行分配。当数据包到达艾泰FR2000时,首先由智能分流器对数据包进行初步分类。智能分流器根据当前启用的上层功能以及数据包的网络层、应用层信息,决定将该数据包投递到哪个处理核。智能分流器保证了数据包能在单个处理核上完成所有所需的处理(出于对某些特殊情况的处理,系统仍提供核间报文互操作机制),避免了跨节点访问内存的高昂开销,是保证多核并发性能的关键技术。

 


图2 智能分流器示意图

 

 

   2015 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号

   

      沪公网安备 31011702003579号