計(jì)算機(jī)網(wǎng)絡(luò)從20世紀(jì)60年代出現(xiàn)至今已經(jīng)過(guò)了整整半個(gè)世紀(jì)，其使用目的從軍事、科研轉(zhuǎn)變?yōu)閵蕵?lè)、商務(wù)，應(yīng)用從簡(jiǎn)單的郵件、BBS發(fā)展到搜索、即時(shí)消息、Web2.0、P2P、電子支付等等，參與網(wǎng)絡(luò)的終端與網(wǎng)民的數(shù)量快速增長(zhǎng)，這些變化促使網(wǎng)絡(luò)信息高速公路不斷以增加帶寬容量來(lái)滿足發(fā)展的需要。特別是進(jìn)入21世紀(jì)后，云計(jì)算、三網(wǎng)融合、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興技術(shù)再一次推動(dòng)了網(wǎng)絡(luò)的飛速發(fā)展。根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心（CNNIC）發(fā)布的***數(shù)據(jù)顯示，截止到2010年6月底我國(guó)網(wǎng)民已經(jīng)達(dá)到4.2億，其中手機(jī)網(wǎng)民更超過(guò)了2.77億，中國(guó)互聯(lián)網(wǎng)國(guó)際出口帶寬達(dá)到了100萬(wàn)Mbps。在如今的網(wǎng)絡(luò)建設(shè)中，10G的網(wǎng)絡(luò)數(shù)據(jù)流量已經(jīng)屢見(jiàn)不鮮，而根據(jù)“吉爾德定律”，主干網(wǎng)帶寬還將繼續(xù)增加。

面對(duì)如此復(fù)雜的應(yīng)用和龐大的用戶群體，如何解決高速網(wǎng)絡(luò)流量環(huán)境下的信息安全問(wèn)題，特別是應(yīng)用層安全，成為眾多信息安全企業(yè)亟待解決的問(wèn)題。其實(shí)，自從信息安全產(chǎn)業(yè)誕生以來(lái)，對(duì)CPU高處理能力的需求就沒(méi)有停止過(guò)。為了獲得更高的處理性能，眾多企業(yè)也進(jìn)行了很多嘗試?？v觀CPU技術(shù)的發(fā)展歷史可以簡(jiǎn)單分為兩種方案：

◆提高單兵作戰(zhàn)的能力

在多核CPU出現(xiàn)之前，無(wú)論是不斷提高主頻，還是從X86到FPGA、ASIC、NP架構(gòu)的轉(zhuǎn)變，其目的都是為了提高單顆CPU的處理能力。但由于散熱量高、開(kāi)發(fā)難度大、開(kāi)發(fā)周期長(zhǎng)等諸多原因，上述技術(shù)的發(fā)展都不同程度受到了制約，難以滿足超高速流量下網(wǎng)絡(luò)安全產(chǎn)品對(duì)處理性能的需求。

◆發(fā)揮協(xié)同作戰(zhàn)的優(yōu)勢(shì)

一個(gè)人的力量畢竟是有限的。由于散熱、時(shí)鐘頻率、制造工藝等原因，單顆CPU主頻的提升逐漸放緩（4GHz已經(jīng)接近當(dāng)前制造工藝的極限），而FPGA、AISC、NP等技術(shù)方案在需求變化快、要求應(yīng)用層處理能力強(qiáng)的信息安全領(lǐng)域也顯得捉襟見(jiàn)肘。因此在尋求提高單顆CPU處理能力的同時(shí)，技術(shù)人員也一直沒(méi)有停止過(guò)對(duì)MP（Multi-Procesor）多處理器的研究。

SMP（Symmetric Multi-Processing）對(duì)稱處理結(jié)構(gòu)是早期的一種方式，即在一塊主板上匯集一組處理器（多CPU），各CPU之間共享內(nèi)存子系統(tǒng)以及總線結(jié)構(gòu)，例如：我們常說(shuō)的雙至強(qiáng)，也就是兩路CPU，是對(duì)稱處理器系統(tǒng)中最常見(jiàn)的一種。這種方式對(duì)主板和CPU的要求比較高，而且隨著CPU數(shù)目的增多，需要占用更大的主板面積、會(huì)帶來(lái)更大的功耗。

CMP（Chip Multiprocessors）即單芯片多處理器，也就是我們常說(shuō)的多核。其核心思想是將大規(guī)模并行處理器中的SMP對(duì)稱多處理器集成到同一芯片內(nèi)，各個(gè)處理器并行執(zhí)行不同的進(jìn)程。由于CMP結(jié)構(gòu)被劃分成多個(gè)微處理器核來(lái)設(shè)計(jì)，每個(gè)核都比較簡(jiǎn)單，有利于優(yōu)化設(shè)計(jì)，解決了主頻提升帶來(lái)的高溫、高功耗的問(wèn)題，但同時(shí)整個(gè)芯片提供了更高的處理性能，因此更有發(fā)展前途。

多核市場(chǎng)目前由兩大陣營(yíng)組成：Intel和AMD公司組成的X86陣營(yíng)；NetLogic、Cavium、Telira、ARM、IBM等公司組成的MIPS陣型。X86陣型采用CISC（Complex Instruction Set Computing）復(fù)雜指令集，按順序串行執(zhí)行程序命令，控制簡(jiǎn)單，更適合PC及中、低端服務(wù)器使用。而MIPS陣營(yíng)采用的是RISC（Reduced Instruction Set Computing）精簡(jiǎn)指令集，其相對(duì)于CISC指令來(lái)說(shuō)格式統(tǒng)一，種類和尋找方式較少，并采用了“超標(biāo)量和超流水線結(jié)構(gòu)”，大大提高了處理速度，適用于網(wǎng)絡(luò)通信、信息安全、高端服務(wù)器等領(lǐng)域。

為了進(jìn)一步提升在信息安全領(lǐng)域的競(jìng)爭(zhēng)力，MIPS架構(gòu)陣營(yíng)在多核心的基礎(chǔ)上提出了一個(gè)新的概念SoC（System on Chip）,即片上系統(tǒng)，將網(wǎng)絡(luò)連接、負(fù)責(zé)均衡、加/解密、應(yīng)用加速等功能集成在一個(gè)芯片上。MIPS多核架構(gòu)的發(fā)展為開(kāi)發(fā)適應(yīng)超高速網(wǎng)絡(luò)流量的網(wǎng)絡(luò)安全產(chǎn)品提供了基礎(chǔ)。

目前在多核CPU的使用上有兩種思路：一種是Linux系統(tǒng)的SMP；還有一種是NP的控制與數(shù)據(jù)分離的思路。SMP方式開(kāi)發(fā)簡(jiǎn)單、快捷，可以充分復(fù)用以前的軟件，但很難做到智能地調(diào)度各個(gè)CPU上的資源。而網(wǎng)絡(luò)安全產(chǎn)品對(duì)數(shù)據(jù)處理能力要求很高，不僅要求報(bào)文能夠得到及時(shí)處理，還要求能夠提供比較豐富的安全業(yè)務(wù)，如深度檢測(cè)、報(bào)文過(guò)濾等，所以有必要把數(shù)據(jù)處理和業(yè)務(wù)處理分離，由單獨(dú)的CPU并行處理，整個(gè)系統(tǒng)的性能將有很大的提升。聯(lián)想網(wǎng)御VSP平臺(tái)就是基于NP控制與數(shù)據(jù)分離的思想進(jìn)行開(kāi)發(fā)的。我們把軟件系統(tǒng)，抽象成四個(gè)子系統(tǒng)：控制平面、數(shù)據(jù)平面、系統(tǒng)服務(wù)平面、驅(qū)動(dòng)與BSP。

圖1 VSP軟件平臺(tái)邏輯結(jié)構(gòu)

為了充分調(diào)用多核心協(xié)同工作，聯(lián)想網(wǎng)御提出了Windrunner矩陣式并行處理算法，對(duì)多CPU內(nèi)核進(jìn)行矩陣式管理。例如：聯(lián)想網(wǎng)御的***端產(chǎn)品可以虛擬出多達(dá)64個(gè)vCPU:

圖2 Windrunner矩陣式并行處理算法示意圖

采用“8×8矩陣式并行處理系統(tǒng)”，將64顆vCPU排列為矩陣，從并行計(jì)算和流水線2個(gè)維度進(jìn)行并行處理。所有的數(shù)據(jù)將被分配到8條流水線進(jìn)行處理。每條流水線都具備8個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都有一個(gè)vCPU進(jìn)行數(shù)據(jù)處理。“8×8矩陣式并行處理系統(tǒng)”不僅僅是多顆并行處理數(shù)據(jù)，還進(jìn)一步引用流水線技術(shù)使得數(shù)據(jù)處理比原先更高效。Windrunner vCPU調(diào)度系統(tǒng)還會(huì)依據(jù)每條流水線上vCPU的工作飽和度情況實(shí)施調(diào)度，將較為空閑的vCPU調(diào)度到其他流水線中。

【編輯推薦】

1. 聯(lián)想網(wǎng)御發(fā)現(xiàn)Adobe產(chǎn)品漏洞
2. 聯(lián)想網(wǎng)御:基于云安全的UTM系統(tǒng)
3. 消除更新恐懼癥 從細(xì)節(jié)保護(hù)企業(yè)信息安全
4. 淺談信息安全管理體系如何有效實(shí)施