网络特警“创新直连”架构技术内幕
作者:大势至(北京)软件工程有限公司 日期:2011/8/12
一、“创新直连”架构的定义
“创新直连”是全球较重要的微处理器(CPU)厂商AMD公司首先提出的一个关于CPU连接架构的一项重要技术。
“创新直连”架构是针对传统的CPU架构的诸多不足和缺陷,尤其是以英特尔CPU为代表的、传统的以处理器+前端总线+北桥芯片+南桥I/O芯片为代表的架构而提出的一种全新的、具有明显优势的CPU架构。
以英特尔为代表的传统的架构模式下,处理器通过前端总线与北桥芯片连接,北桥芯片包括图形接口控制器和内存控制器两个逻辑单元,北桥芯片通过特定的总线与南桥芯片连接,南桥芯片则负责I/O扩展,包括存储、网络、音频、内部扩展总线(PCI、PCI Express x1)、外部连接总线(并口、串口、USB)等。在这种架构下,只有当前端总线的带宽高于内存总线时,处理器才能够充分利用内存资源。但由于技术上的限制,前端总线难有大幅度提升的空间,这就注定内存瓶颈难以消除;同时,由于CPU从内存读入数据和处理数据之后输出给内存的过程均需要要前端总线和北桥芯片的中转,所以处理器访问内存的延迟较长,导致处理器必须浪费很多时间在数据等待上,从而进一步降低了处理速度。由于上述两个弊端的制约,使得这种架构无法满足用户对更高性能、更高处理速度的需求。
为此,作为全球知名且极富创新精神的微处理器主要厂商。AMD公司在新一代的CPU架构中,进行了大胆的突破和革新,推出了“创新直连”架构的全新的CPU架构模式。“创新直连”架构具有两个关键创新:一是将内存控制器集成于处理器内部,处理器核心与内存控制器通过超高速、低延时的内部总线连接;其二就是引入通用的HyperTransport总线技术,实现处理器与处理器、处理器与I/O芯片组之间的高速直连。这两项技术有效改变了传统连接方案的弊病,让每个内核都享有自己的高速缓存,可以使用自己的”专用车道”直通输入/输出,避免了资源争抢的问题,从而克服了传统前端总线的带宽瓶颈,从而可以让处理器得以充分发挥自身潜能而不会被内存系统拖后腿,同时也有利于构建更强大的多路并行计算系统。
由于AMD公司“创新直连”架构的诸多优越性,使得AMD架构的CPU在浮点计算等综合性能上一举超越英特尔传统架构的CPU性能,使得一向高傲的英特尔公司不得不低下自己高高在上的头颅,并在自己的新款CPU中架构悄悄引入了直连架构(英特尔于2008年中期后即开始引入类似的设计。即将内存控制器集成于CPU内部,同时以一条“CSI(全称为Common Serial Interconnect)”高速直连总线建立多处理器之间,以及处理器与I/O芯片之间的互联,事实上,这其实只是AMD“创新直连”架构的翻版……)
二、网络特警“创新直连”的真正含义
我们之所以在新一代上网行为管理系统中引入“创新直连”架构,首先是对AMD公司不断创新、勇于进取精神的崇敬,以及面对强大竞争对手英特尔公司所表现出来的百折不饶、愈战愈勇斗志的学习和继承;其次,网络特警的“创新直连”技术,可以将网络特警直接连接交换机(二层交换机或三层交换机),并且通过单块网卡即可实现对局域网所有电脑、所有网段的上网行为的全面控制功能,彻底解决了当前互联网行为网关、上网行为管理系统等所通常采用的“旁路”(通过交换机做端口镜像、部署HUB集线器或代理服务器)、“串接”(双网卡,通过主板总线传输)、“桥接”(通过双网卡,搭建网络桥进行传输)等影响性能、部署复杂、风险较大的部署方式,同时也大幅度提升了网络监控的性能、效率和安全。
采用“创新直连”的网络特警与传统“串接”、“桥接”方式的网管系统的原理图解
图1传统的网管设备
如上图所示,传统的网管设备由于通过双网卡部署,一块网卡连接交换机,另一块网卡连接出口网关设备(如路由器、防火墙等),所以数据包的传输过程首先是发送到连接交换机的网卡,也就是内网口,然后内网口将数据包通过主板总线传输给外网口,然后外网口将数据包发送到出口网关完成上行数据包发送过程,而下行数据包(也就是下载、打开网页等数据包),由出口网关设备先发回到外网口,然后在通过主板总线发送到内网口,然后内网口再将数据包发送到交换机上并较终分发到各个电脑上。在这一传输过程中,数据包要经过三次中转才能完成,分别是内网口、主板总线、外网口等三个地方,每一次中转都会消耗性能并导致数据包延迟,因此对网络速度的影响较大,特别是网络数据包较大的情况下对网络性能的影响更为明显。同时,一旦这种设备的某一个网卡或者操作系统停止工作,将使得整个网络发生中断,对局域网安全、稳定和畅通造成严重影响;此外,由于这种“独木桥”式的部署方式,使得内网所有的主机,包括领导等免监控的电脑或者一些服务器等没必要监控的主机的上下行报文也不得不流经这三个传输点,不仅影响这些主机本身的上网速度,而且还导致网络更为拥堵,同时也使得这些主机处在监控设备单点故障而面临网络中断、掉线的风险。综上所述,这种“串接”、“桥接”部署网管设备的方式由于面临着诸多弊端已经越来越无法满足企事业单位对高效、稳定、畅通、安全的网络管理需要。
图1:可以安装在二层交换机上、普通交换机等设备上
图2:可以直接接入三层交换机的任意一个VLAN
而网络特警采用“创新直连”架构,通过单块网卡直接连接局域网二层交换机、接入交换机、三层交换机、核心交换机等即可实现对局域网所有网段、所有电脑上网行为的全面控制。“创新直连”的具体含义如下:
1、 直接连接交换机或者路由器。不论是二层交换机、还是三层交换机、甚至是核心交换机,即可实现对下面所有网段、所有电脑的上网行为的全面控制。同时,也只需要连接交换机,而不需要连接出口网关或者其他设备,也不需要对网络做出任何调整或加装任何其他网络设备。
2、 网络特警直接从网卡缓存抓取数据包进行处理,处理完毕之后直接放入网卡缓存,网卡通过内部集成的高速芯片(峰值传输速度可以达到2.5G,远超主板总线传输速度)直接将数据包发送到公网出口,而不是给主板总线和另一块网卡,从而大幅度提升了监控效率,避免了网络延迟。
3、 基于单向监控的模式下,下行数据包由出口网关直接发送到交换机而不需要再流经网络特警监控设备,考虑到下行包常常远大于上行包,从而可以有效避免网络延迟,同时也极大地降低了监控设备的负荷。
4、 对于局域网一些免监控的电脑,如领导或服务器等主机的公网报文,通过简单设置,即可完全不流经网络特警的监控设备,而是直接通过交换机发送到出口网关,从而一方面降低了监控设备负荷,避免了公网报文的拥堵排队情况;另一方面也避免了监控设备出现单点故障可能出现的断网风险;此外,也使得这些重要电脑的数据报文不会被监控设备等第三方设备捕获,有利于保护信息安全和商业机密!
网络特警对服务器、领导电脑免监控模拟图
5、 全透明安装,支持热插拔网络自动导通。在某些不需要监控的情况下,可以直接停止监控设备的工作,甚至可以将监控设备直接移除,网络即可自动、智能恢复,从而极大地降低了特殊情况下的网络通讯风险。
总之,网络特警基于五个方面的“直连”技术,不但避免了传统部署网管系统的复杂性、网络性能消耗、数据包延迟、单点故障风险等诸多不足和缺陷,而且还大幅度提升了监控设备的监控效率、优化了整体网络性能、降低了部署网管设备的复杂性和工作量,而且可以进一步保护企业信息安全和商业机密,从根本上保证网络的安全、稳定和畅通。
