网络安全需要高度的灵活性,因为各种网络威胁的性质、通讯流量的多样性和数量,甚至底层网络结构都在快速变化。本文介绍了使用英特尔最新 Haswell 微架构技术的最新网络设备如何通过提供各种处理器、加速器和 I/O 配置来确保网络安全。


双核到 24 核的增强性能
若性能最大化是你的目标,Nexcom NSA 7130(图1)是个不错的选择。 这种 2U 设备采用了最新发布的英特尔 Xeon® 处理器 E5-2600 v3 系列,双插槽配置最多提供 24 核。 与上
Nexcom.jpg
图 1:Nexcom NSA 7130 在 2U 机架中提供双插槽性能 英特尔 Xeon® 处理器 E5-2600 v3 系列也受益于 Haswell 微架构的各种升级。
尤其值得一提的是英特尔高级向量扩展指令集(Intel® AVX) 2.02。该升级将大多数整数运算从 128 位扩大到了 256位,并且通过积和熔加运算(FMA)运算将乘加吞吐量扩大了一倍。可以说,这一升级显著提升了数据工作量性能。
使用此新处理器,开发人员可以期待高达 3 倍的性能提升,为你提供了一个功能强大的平台,实现像深度包检测(DPI)这类计算密集的安全网络功能。 另外,该平台还实现了高达 24% 的能效提升,降低了运营成本。 (此处可查看完整基准列表)。
Nexcom NSA 7130 也充分利用了这些升级,双插槽配置可从 12 核扩展到 24 核。 其他显著特点还包括 512GB DDR4 内存、4个 10 GbE 端口、8个 1 GbE 铜端口和8个 1 GbE 光纤端口。 该设备还可通过热插拔 PCI Express*(PCIe)模块进行配置,稍后会详述。
CASwell 在 CAR-5040 2U 机架安装系统(图 2)中也采用了同样方案。CAR-5040 是一款用于传统或软件定义网络(SDN)和网络功能虚拟(NFV)环境下的功能强大的网络安全平台,拥有高达 24 核、16 个 DDR4 DIMM @ 2133MHz以及 54 个网络端口。客户可选各种配置组合:3.5"/2.5" HDD/SSD、铜缆/光纤媒介、GbE/10GbE/40GbE 以及第三方硬件加速智能模块。值得注意的是,智能 N+1 热交换风扇模块在一个 CPU 风扇关闭的情况下可支持 72 小时运行。
CAR-5040.jpg
图 2:CASwell CAR-504 是一款功能强大的安全平台。
若想在性能与低功耗之间求得平衡,CASwell 最新推出的 CAR-4020(图3)则值得关注。 这款 1U 设备提供各种单插槽配置,从 2 核到 4 核,可选英特尔 Xeon® E3-1200 v3 处理器系列、英特尔 Core™ 和英特尔 Pentium® 处理器。 所有这些芯片和英特尔 Xeon E3-2600 v3 处理器系列一样使用了Haswell 微架构,可在这些平台上轻松扩展软件。 CAR-4020-s.jpg
图 3:CASwell CAR-4020 是一款 1U 设备,可配性高。
CAR-4020 值得注意的特点包括 32GB 双信道 DDR3 1600 内存、模块化 IPMI 和集成LCM 控制。 与 NSA 7130 一样,CAR-4020 也可以通过 PICe 模块进行配置。
强大的虚拟化支持
开发人员面临的挑战是设计可以充分利用这种灵活性能的软件。 设计擅长在虚拟化环境中(如不断增长的常见 SDN/NFV 架构)运行的软件尤为重要。 但令人欣喜的是,硬件可以胜任这一任务,根据基准测试,新英特尔 Xeon® 处理器可以处理高达 79% 以上的虚拟机。此外,它还有许多软件支持,包括数据平面开发套件(DPDK)。这种数据包处理库经过优化可在虚拟环境中提供裸机性能,保证最高吞吐量。
brocade.png
图 4:数据平面开发套件(DPDK)为虚拟安全功能提供了基础。(图片源自:Brocade
英特尔在该基础上提供了各种资源,例如 DPDK Accelerated Open vSwitch。这种虚拟交换机充分利用了DPDK 高吞吐量数据包交换,以及交换机与访客应用程序之间的零拷贝数据包交换。还将交换机从 Linux* 内核移动到用户空间,提供更多增强功能。
包括 6WINDWind River 在内的许多软件提供商都在 DPDK 上创建了其他安全功能。这些功能可大幅降低开发成本,因此,也降低了终端用户支出。
加密加速
DPDK 可与英特尔快速辅助技术一起使用,进一步加速加密、数据压缩和模式匹配(都是重要的网络安全任务)。 例如,英特尔快速辅助技术硬件加速器可以实现 47Gbps IPsec 的吞吐量。
所有这些 CASwell 和Nexcom 设备都可通过插入式 PCIe 模块支持英特尔快速辅助技术。 这些模块还提供了另外一种灵活性,让你可以选择适用于你的应用的加速级别。 例如,Nexcom 设备可以采用下列配置:
  • NSK-CTCK,采用英特尔通信芯片集 8925(Intel® DH8925 PCH)可达到 47Gbps 批量加密速度。
  • NSK-CVCK,采用英特尔通信芯片集 8920(Intel® DH8920 PCH)和 4 个铜端口实现 20Gbps 批量加密速度。
  • 各种提供 I/O 的其他模块,但无加速器。

灵活的配置
除了提供灵活的处理器和加速器配置之外,CASwell 和 Nexcom 设备还通过插入式 PCIe 模块支持高可配性。 例如,6 插槽的 CAR-5040 可配置 3.5"/2.5" HDD/SSD、铜缆/光纤媒介、GbE/10GbE/40GbE 以及硬件加速模块。模块设计支持各种网络适配器,从铜缆到光纤、双端口到 8 端口、无旁路或旁路以及 1GbE到 4GbE 选项。 同样,Nexcom 也配备了两个 PCIe* Gen 3x8 插槽,提供混合接口和 HDD 模块,以帮助应用向内、向上和向外扩展。
这些灵活性能帮助你应对不断变化的网络安全需求。 本文仅简单介绍了个别解决方案。 可在我们的解决方案目录中找到更多基于英特尔 Haswell 微架构的安全设备。请前往查看找出最适合你的解决方案。
了解更多
联系推荐的联盟成员:此博客中的解决方案:相关主题:
CASwell 为英特尔物联网解决方案联盟 Premier 级成员 Portwell 旗下公司。NexcomWind River Systems 为联盟 Associate 级成员;6WIND SA 为 Affiliate 级成员。

Kenton Williston 流动记者(英特尔特约记者),英特尔®物联网解决方案联盟 Embedded Innovator杂志总编辑
Twitter上关注我: @kentonwilliston