DPI处理器在多核平台上的应用

1、前言在目前的安全、数通及电信等诸多领域都可以看到基于多核处理器的设计，它们超强的处 理能力使得以往繁复的系统得以减小体积，实现单板平台。然而，在享受处理性能提升的同 时，结构设计人员却不得不忍受多核高功耗的折磨，动辄几十瓦甚至上百瓦的功耗成为多核进 入更多领域的一个瓶颈。在目前绿色环保的政策下如何实现机房或设备的低功耗成为系统工程 师必须考虑的一个重要设计因素。随着多核集成CPU数量的不断增加，单纯靠芯片工艺和代码优化来降低功耗越来越难，此时必须要从电路系统设计的角度来全盘考虑问题。多核处理器在 数据处理过程中的密集运算使得芯片的动态功耗不断增加，因此可将处理器的一部分负荷卸载 到专用加速器中

2、，以此来降低核心芯片的功耗。一方面它可以容许处理器工作在较低的频率 上，大幅降低系统的总功耗，另一方面还可以通过释放处理器来提升整个系统的性能，或者增 加高附加值的应用；最后还可以降低对处理器的要求，同时降低系统的BOM成本。目前安全领域的 DPI 检测就是一个计算密集型应用，它要求扫描整个数据包，计算开销非常大。现有网络 设备在实现此功能时大多采用软件方案，在独占一个CPU核的情况下也只能达到 Mbps 的处理能力。实验表明，通过加入 LSI 公司的 Tarari DPI 专用芯片可以使系统功耗大幅降低，而处 理能力可提升至 Gbps。本文将以 Tarari 为例介绍 DPI 技术以及相关实

3、现。 DPI 技术及芯片介 绍 DPI (Deep Packet Inspection)，即 “ 深度报文检测 ” 。所谓 “ 深度” 是和普通的报文分析层次相比较而言的， “ 普通报文检测 ” 仅分析 IP 包的 4 层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而 DPI 除了对前 面的层次分析外，还增加了应用层分析，识别各种应用及其内容，基本概念。图 1 DPI 的基本概念 普通报文检测是通过端口号来识别应用类型的。如检测到端口号为 80 时，则认为

4、该应用代表 着普通上网应用。而当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监 管，造成仿冒合法报文的数据流侵蚀网络。此时采用 L2L4 层的传统检测方法已无能为力了。 DPI 技术就是通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用。因为 非法应用可以隐藏端口号，但目前较难隐藏应用层的协议特征。 Tarari 系列芯片是实现上述 功能的一款硬件加速器，它支持行业内标准的正则表达式，规则数可以达到上百万条，支持 POSIX和 PCRE。针对安全应用中所需的跨包检测， Tarari 可以对 400 多万条数据的上下文进 行处理。处理跨包的过程中 Tarari 会用

5、内部缓存来自动记录跨包的上下文，包括正则表达式 搜索树的状态、前一包的部分内容以及所选的指令。该系列芯片从第四代产品 (T9000) 开始采 用 ASIC 设计，第五代产品则开始采用 T10 架构，产品目前包括 T1000 和 T2000 两个系列型 号。各芯片间软件兼容，提供从250Mbps到 10Gbps 不同的速度等级，以满足不同应用的需求。以 T2000系列芯片为例，它外围存储采用低成本的DDR2 SDRAM芯片，无需 TCAM或者RLDRAM等昂贵存储器。为了满足某些高性能场合的需求，T2000 也提供扩展接口，方便实现性能升级。在系统接口方面 T2000提供 PCI、PCI Exp

6、ress 等高速接口，每个 PCIe 通道都具有 Gbps的有效吞吐能力，最高可以达到 16Gbps。T2000 最高可支持 10G的单片峰值性能，通过 级联两片 T2000芯片可以提供 16Gb/s的吞吐量。 T2000 软件可同时监测多达四块 16Gb/s PCIe 电路板并提供负载均衡，从而为最苛刻的网络环境提供 64Gb/s 的性能。 T2000 系列芯片 的体积只有 29mm*29m，m 典型功耗为 5W。基于多核处理器的 DPI 平台设计硬件平台设计无论是 Intel 和 AMD的 x86 架构，还是 MIPs 架构，无论是 CISC 还是 RISC，Tarari 都可以很好的支

7、持这些主流的处理器技术。以某公司基于 MIPs 的多核芯片为例，图 2 所示为 Tarari 芯片与 MIPs 多核的设计框图。由于 Tarari 芯片具有 PCI、 PCI-X 以及 PCIe 接口，因此 Tarari 可以 通过这些接口与满足条件的多核处理器直接对接。对于很多高速应用，如果 PCIe 接口类型不 匹配，也可以在 PCIe与处理器间搭接 PCIe 与其它接口的转换桥片。对于低速应用， Tarari 可以实现无 RAM操作，即无需外围的 DDR2芯片，通过内部存储器就可以实现数据处理。图2所示电路的工作流程如下：当有数据包从GE接口进入 MIPs 多核处理器，处理器会通过 PC

8、Ie接口或者 HT 桥片将其送入 Tarari 内容处理器，此时 Tarari 会通过内部的多个引擎对数据与 规则集进行比对匹配，因为匹配规则在处理期间已经调入 Tarari 芯片的内部缓存，并且数据 在处理过程中并不会进行任何形式的存储，所以匹配过程延时很小。匹配结束后，评估结果同 样经过 PCIe 或者 HT总线送回处理器，上层软件根据结果来决定对报文的处理。图 2 基于 MIPs 多核的 DPI 平台设计规则集编写及调用 Tarari 支持丰富的正则表达式语言和各种常用结构，可以在确定速度的情 况下并行处理超过 100 万条规则，它通过专利技术综合了DFA和 NFA的优点，支持各种复杂的

9、正则表达式。，正则表达式内容处理的第一步是编译规则集，然后将其调入 Tarari 硬件系 统。规则集可以一次全部编译，也可以只编译更新部分，即增量编译。被编译的规则文本文件 在编写时需要符合语法，编译结果是一个可以被调入 Tarari 硬件系统的二进制文件。图 3 规则集的编译过程全部编译的好处是可以进行字符级的压缩，对于许多应用来讲，这意味着可以大幅减小编译输 出的二进制文件大小，特别是对于诸如反垃圾邮件等基于文本的应用，全部编译同增量编译相 比可以减小编译结果。字符集压缩必须要检索起始状态条件下的所有规则。因此，某一个规则 的更新就会改变二进制指令在所有规则集上的生成方式。所以在这种模式下

10、任一规则的更新都 会要求所有的规则被重新编译。 IDS/IPS 类应用倾向于将 8 比特字符的 256 个可能数值都明确 地用规则表示出来，因此字符集压缩对此类应用来讲作用较小，所以适合采用增量编译。采用 增量编译的优势在于不会特别增加字节数。另外，为了进行包分类，这类应用通常使用很多的 起始状态条件，这也适合采用增量编译。有起始状态条件的规则集使用增量编译因为不需进行 字符集压缩，所以可减小第一次的编译时间；依赖于规则改变的数目和复杂度，第二次以及随 后的编译时间也会大幅缩短；并且减小了存储记录的需求。如果规则集没有起始条件，那么最 好还是使用全部编译的方式，因为全部编译具有字符集压缩的优势

11、。DPI 在 UTM平台上的应用目前企业网都面临着入侵防御、防病毒和防垃圾邮件等三个主要的安全问题，UTM的出现使得通过一台设备来解决上述安全问题成为可能。但这同时也带来了性能瓶颈，因为对不间断的数 据流进行处理，并根据不同的恶意威胁对包进行深度扫描的计算量非常庞大，即使是多核平台 也很难达到预定性能。在这种情况下，专用的加速引擎 Tarari 就可以帮助 UTM设备在安全能 力和处理性能间达到均衡。 Tarari 可以从主处理器上卸载内容处理任务，利用专用硬件来加 速评估过程，最后再将评估结果送回主处理器上的安全应用程序。对于入侵防御，UTM设备可以检测输入报文的所有内容，并将内容提交给 T

12、arari 的正则表达式处理引擎，由它来加速与 攻击模式的比较过程。匹配结果返回主处理器后，入侵防御应用程序会决定如何来处理攻击 包。对于防病毒保护，数据流以文件形式通过UTM设备进入正则表达式引擎，引擎在线速情况下会将文件与病毒特征数据库进行评估匹配，并对可疑内容进行启发分析。评估结束后，主处 理器上的防病毒应用程序就可以对感染文件进行预定处理。对于防垃圾邮件应用，输入流作为 Email 通过 UTM设备接入正则表达式引擎，引擎会将内容图案与垃圾邮件特征数据库进行评估 对比，识别出问题信息。主处理器上运行的反垃圾邮件应用程序读出返回值后可以应用不同策 略来处理这些信息。当 UTM平台有了 Tarari 的加速，它可以真正实现对数据报文、信息和文 件的深度检测，以对网络提供安全保护。总结通过软件的方式也可以实现DPI 检测功能，但这种方式性价比较低，功耗较高。比如在3GHz的 Xenon 四核平台上，每核只能实现 60Mbit/s 的吞吐量，而此时功耗为 90W；采用最低端的 T1000 芯片可以实现 250Mbit/s 的吞吐量，而功耗 不足 2W。 Tarari 与软件方式相比还有一个明显的优势，在于它基于硬件的跨包检测能力，相 对于用软件来检测跨包威胁，比