防火牆、UTM產品硬體平台架構分析

來源:互聯網
上載者:User

  現在市場上的防火牆、UTM產品從其架構上來說,大概分為三大類。

  第一類是基於X86平台的,這種平台通常使用一顆或多顆主CPU來處理業務資料,網卡晶片和CPU通過PCI匯流排來傳輸資料。

  由於傳統的32位PCI匯流排頻率為33MHZ,所以,理論通訊速率為:132 MB Bytes/S即:1056 MBits/S。單從PCI通訊的速率上來說是可以滿足千兆防火牆的需要,但實際上PCI匯流排在X86系統中是共用的,也就是說,如果有兩個網卡同時傳輸資料,那麼每個網卡所能獲得的速率就只有 66 MB Bytes/S,即:528 Mbits/S ,如果有四個網口同時傳輸資料,則每個網卡所能獲得的速度只有16 MB Bytes/S,即128Mbit/S。

  從匯流排速度來看基於32位PCI匯流排的X86平台,做為百兆防火牆的方案是沒有任何問題的。但X86平台的防火牆方案,資料從網卡到CPU之間的傳輸機制是靠“中斷”來實現的,中斷機制導致在有大量資料包的需要處理的情況下(如:64 Bytes的小包,以下簡稱小包),X86平台的防火牆吞吐速率不高,大概在30%左右,並且CPU佔用會很高。這是所有基於X86平台的防火牆所共同存在的問題。

  因此,基於32位PCI匯流排的X86平台是不能做為千兆防火牆使用的,因為32位PCI匯流排的通訊速率不能達到千兆防火牆的要求。針對這個問題,Intel提出瞭解決方案,可以把32位的PCI匯流排升級到了PCI-E ,即:PCI-Express,這樣,PCI-E 4X的匯流排的速度就可以達到 2000MB Bytes/S,即:16Gbits/S,並且PCI-E各個PCI裝置之間互相獨立不共用匯流排頻寬,每個基於PCI-E的網口可以使用的頻寬為:2000MB Bytes/S,即:16Gbits/S,所以基於PCI-E 4X的X86從系統頻寬上來說,做為千兆防火牆是沒有任何問題的。但是,基於PCI-E的防火牆資料從網卡到CPU之間傳輸同樣使用“中斷”機制來傳輸資料,所以小包(64 Bytes)的通過率仍然為:30-40%。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。