?
一:网络防毒技术。
虽然使用网络设备来进行病毒防护并不是今年的发明,很多国内的公司也一直在使用各种应用代理完成设备上文件的缓存,然后使用杀毒软件进行病毒扫描,其中典型的就是邮件防毒墙。但是使用代理缓存的问题是带来对用户的不透明性,需要等待一个在设备上保存文件,病毒扫描的延时,影响用户对网络的直观理解。但是随着Fortinet实时扫描技术在其产品中的应用,使网络防毒墙这一产品形态真正的走向了用户需求。集成状态防火墙功能,并对报文进行流还原,深度检查,从而在报文转发过程中对网络数据进行病毒扫描,实现病毒实时扫描。这样的产品解决了用户对各个终端不能有效监控的问题,至少对病毒的来源之一——网络进行了有效的封堵,是能解决用户实际问题的技术。
二:安全准入技术。
说白了就是接入控制,802.1X, PPPoE, 微软域控制,在家上网也要输入一个用户名密码,这种对网络用户接入网络进行控制的技术太多。但是在网络病毒泛滥(昨天刚装的Win2000没打补丁,插了一下网线试网络,立即就感染了病毒),攻击无处不在,简单的组合一下,在允许用户接入网络的之前,对用户的终端进行安全检查,判断是否符合安全策略,如有没有安装非法软件,有没有安装了响应的杀毒软件,是否是无病毒的“干净”终端,只有符合这写策略,才让你接入网络。这样又堵住了攻击和病毒的另一个来源,用户终端。另外,通过安全准入控制,不仅仅能够做到对用户终端的安全检查,而且通过和网络设备的互动,达到对用户的区分服务。比如,不同帐号的漫游范围,访问内容的控制。做的比较全的厂商有Sygate,而另一网络巨头CISCO的NAC概念提出,都是网络安全准入控制技术的实施典型。在不久的将来,ISP可以控制我们电脑安装的软件,可以控制我们访问的内容,可以定位我们的上网行为,最终IP网络会形成一个封闭的安全网络。而一群自由之士又会成为新网络的黑客,或者另外建一个全新的开放网络。
三:安全功能在网络设备集成。
简单的组合,带来的功效是巨大的。CISCO新一代路由器性能比原来高10倍,在提供网络数据转发功能的同时,直接集成防火墙,VPN等安全设备,形成ALL IN ONE的设备,对于用户来说,是非常及时的。因为芯片技术的进步和成本的降低是网络设备可以使用高性能芯片,而针对具体业务的ASIC芯片组合进网络设备,使今天的路由器,交换机的功能更加丰富。而对网络带来的好处就是一次处理,大大降低网络延时,为语音、视频应用扫清网络障碍。同时,随着网络设备商的集成设备的推出,哪些依赖于工控机等平台的单一设备制造商必须重新考虑自己的技术方向和产品形态,是一个比较大的挑战。但不管怎么说,对于用户来说,这是一件好事。
四:新一代NP技术。
用CPU,ASIC还是NP,一直是大家不断争论的一个问题,其实这个问题非常简单。在能达到同样性能的情况下,最优选CPU,然后是NP,然后是ASIC。目前很多厂商使用CPU+特定业务ASIC来实现高速处理,这是比较常见的方式。在性能不能解决的情况下,选择NP是不能不为之的做法。但是不管是IBM,还是Intel的NP,一个主要问题是开发成本太高,微码的开发难度和进度都不是普通公司能够短期搞定的。而带来的维护成本和对客户的响应速度都是很大的问题。不过今年CAVIUM推出的OCTEON NSP将会很大程度上改变当前的安全市场格局。直接支持C语言和标准协议栈,性能高达10G,是期望中的业务网关处理芯片。
五:内部网络网安全
长期以来,网络安全的范畴一直停留在网络外连的出口保护。通过状态防火墙阻止外部的非法访问。虽然现在有应用检测、深度检测、IPS等等概念,但是一直发挥重要作用的仍然是状态防火墙,保证外部网络不能直接访问内部主机。然而,不管是病毒还是蠕虫,来之内部泛滥比来之外部多得多。只要一个内网用户无意中下载一个从未出现过的病毒程序(基于特征的内容检测也好,杀毒墙也好,都不能阻止位置病毒文件)在内网运行,那么内部网络如同不设防的前线,立即崩溃。所以,内部网络的安全是当前必须解决问题。目前的IDS产品,安全审计产品可以对内部网络进行安全检查,但是不能防护来之内部网络的攻击。可喜的是,在今年有厂商开始在内部网络安全领域有所动作,如趋势的内部安全网关,在内部网络间起到安全防护的作用。CISCO的交换机插卡也是对内部交换网络的安全增强,通过在交换机上扩展安全插卡,可以把安全区域的概念从出口延伸到内部网络,形成更安全的分级保护。在可以预见的将来,内部网络安全产品将得到更多的发展,但是其形态可能不会以单独的产品出现,而是当前产品的替代产品。如安全交换机,安全路由器,安全接入服务器等等。
安全随着网络的发展而演进,因为IP网是一个开放、公平的网络,但是却要提供保证私有利益的服务,所以出现了各种安全的问题。一直以来,安全都是处于被动的防御阶段,虽然CISCO今年提出主动防御体系,但是其根本思想还是在堵,只不过堵的地方多了一些,从内网到接入,到各个终端,这也是没有把其作为安全技术亮点的原因,但足可以体现其市场概念引导的能力。随着3G的推出,IPV6的演进,网络安全将包含更多的领域,也会迎来更大的挑战。
如果你问Intel和AMD宣布的1GHz以上的PC处理器会用到哪里,那就让我告诉你最热的领域是
网络和通信。5年以来,网络的传输速度每年翻一番,再快的处理器都不愁没地方用。
由于有了光纤,传输媒介的速度已不成问题。但是,信息包(packet,在ATM中称为信元,即
cell) 通过路由器和交换机时,对包处理的最低要求是确定每一个包的下一个目的地,在庞
大的路由表中找到它的IP(Internet Protocol)地址,然后转发出去,而这一切必须在下一个
包到达之前做完。障碍就出现在这里。
为了应付日益繁忙的信息流,网络的速度在几年前是155Mb/s(SONET的OC-3标准),而现在
已经到10Gb/s(OC-192),2~3年内又会提高到40Gb/s(OC-768)。
当速度比较慢时,通用的处理器完全赶得上数据流,因此并不需要专门的网络处理器(netwo
rk processor)。后来,通用处理器不够快了,设计者就转向ASIC(专用集成电路)。
ASIC在完成规定的处理工作方面是非常卓越的,但它有两个缺点:一是开发的周期太长,复
杂的ASIC要18个月到2年时间。路由器或交换机要增加新的功能,制造商需要等待的时间太长
;第二,ASIC不是可编程的,要修改就必须经历一个设计和制造的周期,适应不了当今越来
越短的产品开发周期。
直到1999年,还很少有人知道一种专门处理包的处理器,即网络处理器。它同通用的处理器
的不同之处在于:网络处理器是为优化包处理而设计的,它将包以其到达的速度(即线速)送
到下一个节点;而通用处理器则要处理范围很大的各种指令。另外,如果需要新的功能或新的
标准,网络处理器可通过编程来实现,以满足各种各样的网络应用。
对于网络处理器的计算能力的需求,不单取决于数据速率,还同如何处理这些数据有关。其
中最简单的工作是根据包头部的信息确定将包送到哪里,按照ISO(国际标准组织)的OSI(
互连开放系统)的7层协议模型,以上所说的地址解析和路由属于第2层到第4层。
更复杂的处理,例如按用途的计费和负荷平衡等,要求处理器分析包负荷的内容,涉及同应
用程序有关的数据管理和处理。例如,按用途的计费需要收集用户的信息,以处理帐单和对
网络进行分析,处理器的工作包括监视登录以识别用户,检出登录信息,然后匹配用户的文
件和收费政策表,并在负荷中找出关键字,这就属于OSI的第5到第7层协议了。
网络处理器还刚刚在市场上露头,只有Intel的IXP1200和MMC(www.mmcnet.com)的用于1Gb/s
以太网的nP7120建立了生产线。另有两种用于OC-48(2.5Gb/s)的网络处理器,即Vitesse(w
ww.vitesse.com)的1Gb/s以太网处理器IQ2000和IBM的PowerNP NP4GS3,以及Agere System
s(www.agere.com)的Payload Plus在2000年第四季度投产,因此去年只有少量的网络处理器
产品在市场出售。
有三家公司正在设计和开发用于10Gb/s和全部7层协议的网络处理器,即Xstream Logic(www
.xstreamlogic.com)的动态多线程(DMS)处理器核,一家以色列的公司Ezchip(www.ezchip.c
om)的NP-1,和Lexra(www.lexra.com)公司的NetVortex。
Lexra公司既不生产也不销售以NetVortex为基础的片子,而是将NetVortex的知识产权出售给
客户,让他们把NetVortex同他们自己的电路集成到更大的网络处理系统中,以适应性能和价
格的目标。
NetVortex结构的基础是Lexra公司的LX8000包处理核,这是一种32-bit的MIPS3000精减指令
处理器(RISC)。16个LX8000可以通过高速总线相连接,形成一个多处理器系统,用这样的结
构组成的原型系统可在10Gb/s速率下执行全部的7层网络协议,有的用户甚至用到OC-768(4
0Gb/s)。
在10Gb/s速率下执行7层协议的处理可不是一件轻而易举的事,在这种情况下,64Byte的包
的处理时间只有12个时钟周期,这是很紧张的。
Ezchip公司把10Gb/s网络处理器的功能划分为四,对每一种功能优化设计了一种处理器核,
组成四级流水线。 NP-1一共有64个核,每一级流水线都有一些适当的处理器核。
NP-1的数据的宽度256~512bit,而不是通用处理器用的32或64bit。
然而,在OSI的高层处理包时,涉及持续地包存取和查找表搜索,所以即使有这样高度优化的
处理器结构,存储器访问仍然是一个瓶颈。对于10Gb/s的处理器,需要500Gb/s的存储带宽和
至少128MB的容量。因此Ezchip设计了高带宽的几兆字节片内动态RAM,和大容量的片外双倍
速DRAM。Ezchip还有一种专利的高速搜索方法,使得从存储器中取出数据的时间减少约2/3。
Ezchip原定于2001年2月推出它的NP-1,现已延迟到2001年6月,大量生产则要到2002年的上
半年。2000年11月,IBM和Ezchip宣布,IBM将要用其0.18mm的ASIC技术生产NP-1样机,在批
量生产时,改用0.12mm的铜互连技术。
同Ezchip建立一种新的结构的做法不同,Xstream采用类似MIPS的结构。MIPS是在八十年代早
期由斯坦福大学开发的处理器,它的指令集已相当普遍地用于现在的路由器、交换机之中,
人们已经熟悉了MIPS指令,而且有许多开发工具可供采用,Xstream采用MIPS着眼点就在于M
IPS指令已经为通信行业的设计者所普遍地接受这一点。
但是,与通用的微处理器不同,网络处理器要求在OC-192的速率下执行复杂的OSI七层协议。
为此Xstream开发了动态多线程(Dynamic Multi Streaming,DMS) 处理核和智能包管理单元
(intelligent Packet Management Unit,PMU)。
DMS使用户可以在一个时钟周期内安排8个线程,每个线程可以有4个指令。在这32个指令中
,DMS保证在一个时钟周期内有至少6个指令同时执行,即IPC(Instruction Per Clock)>6,
而PowerPC或Pentium的IPC仅稍大于1。PMU的工作则是把包存入存储器,或由存储器取出交给
处理器,以最大限度地减轻处理器的负担。
网络处理器正在得到一些大的半导体公司的注意,它们纷纷收购有专长的小企业。Vitesse在
去年并购了Sitera(www.sitera.com),一家开发了Prisma网络处理器的小公司。Broadcom(w
ww.broadcom. Com)在2000年12月以20亿美元的巨资购买了从事网络处理器合成的公司SiByt
e(www.sibyte.com,其网络处理器产品为Mercurian SB-1250)。Lucent Microelectronic
s 先是在去年春购入了Agere(www.agere.com),开发其Payload Plus,继之将其微电子业务
连同Payload Plus和在一起成立一个新公司,名字仍叫Agere Systems。
Motorola把C-Port 公司(www.cportcorp.com)的C-5处理器(由公司开发)其它通信和数字处理
技术第三方的软件以及开发工具合成为网络系统的设计平台。这样,网络设备的制造公司如
Cisco、Ericsson和Nortel就可以把Motorola的处理器同第三方的软件混合使用在它们的产品
中,而不是样样都由这些公司自己设计。
有人估计,网络处理器的产值将以每年60%的速度急速增长,到2004年达到29亿美元。到那时
,网络处理器将出现在几乎每一台网络设备之中。