SOC多核硬件平台

    随着启明星辰本次通过万兆UTM测评，过去质疑UTM高端应用性能不足的说法已经成为历史。万兆UTM出现，无疑会将UTM应用带入崭新的时代。那么，万兆UTM究竟如何才能突破性能瓶颈，满足高端应用呢？专家告诉记者，满足万兆UTM应用的关键在于16核多核技术的运用。

    UTM产品具有3大技术特点：吞吐密集、运算密集、应用层特性匹配密集。这3大特点对硬件平台提出了极大的挑战，也正是基于此，UTM过去饱尝性能瓶颈之苦，如：在X86架构下，UTM受制于总线带宽普遍无法实现千兆线速；开启AV、IPS功能后，CPU占用率大幅升高，整机性能通常下降80％以上。综合考虑了这些问题之后，启明星辰经过详细的技术调研、产品预研，最终选择了基于Cavium公司16核CPU的硬件平台承载万兆UTM应用。单就CPU核数而言，是X86 CPU的4倍以上。并且，Cavium公司OCTEON系列多核芯片，专为UTM等安全产品的应用量身内置了一系列专用硬件，使得最终构建出的产品在性能、稳定性上很容易实现电信级标准。

    据介绍，Cavium的16核CPU采用了“软件硬件化”的设计理念，在CPU片内集成了DFA、包收发模块等专用硬件，从而提升硬件平台的整体性能。如图1所示：

图1

    下面我们从带宽、收发包模块、包处理指令集等方面来分别了解一下这一硬件平台。

    高总线带宽：高达640Gbps的内部总线带宽，是Intel 4核CPU的6倍！就好像一条是双向六车道的高速公路，而另一条只是单车道的普通公路，在基础设施层面便已立分高下。

    硬件收发包模块：芯片内集成了硬件收发包模块、千兆/万兆等的线速接口器件，与总线直连，充分保障各业务接口的线速性能，并最大限度地减少了CPU在此方面的开销。

    集成内存控制器：我们知道，传统X86架构除CPU外，尚需额外的北桥芯片、内存控制器的配合才能实现内存操作，此部分往往成为整个平台性能提升的瓶颈；而Cavium16核CPU片内集成了内存控制器，且无需额外的北桥芯片，避免了内存操作成为平台性能提升的瓶颈。

    压缩/解压缩硬件引擎：AV业务需对进出网关的文件进行病毒扫描，而很多文件是压缩的、并且是多级压缩。对此类文件的扫描，必须先将文件解压缩后再进行与病毒库文件的匹配运算。X86架构下，此项运算都是由CPU进行的，极耗费资源，文件压缩/解压缩成为导致AV性能瓶颈的重要因素。Cavium 16核CPU内置一个专用压缩/解压缩硬件引擎，用于AV文件的压缩/解压缩操作，较高提升了AV业务的性能，减轻了对CPU资源的消耗。

    专用包处理指令集： AV、IPS、上网行为管理等业务主要做的是应用层包处理，运算量大、运算复杂，并且需要进行频繁的业务调度与切换，只能由CPU进行处理，从而使CPU成为性能提升的瓶颈之一。Cavium 16核CPU创新的在每个CPU核内集成了一个专门针对包处理应用特点而开发的指令集，可通过指令直接进行位域操作、面向字节的操作等，不必再像X86那样靠多条指令实现一个功能，结合RISC短指令集的效率优势，运算效率整体提高了3倍。

    硬件DFA内容匹配引擎：AV、IPS等业务也是应用层特性密集的业务。某种程度上，UTM的性能就取决于产品对业务特征的匹配速度。X86架构下，CPU既需要进行内容匹配运算，又需要进行设备的控制操作、业务调度等，CPU负荷重并且效率低。Cavium16核CPU针对此应用特点，在片内集成了一个硬件DFA内容匹配引擎，直接对特征数据匹配进行硬件运算，将匹配运算结果交由CPU核进一步处理，这样就较高提升了内容匹配速度，减轻了对CPU资源的消耗。CPU从此不再成为AV、IPS等业务的处理瓶颈。