隨著企業(yè)和運營商網(wǎng)絡上網(wǎng)絡流量的不斷增長，推動了對于帶寬和線路速率需求的增加。基于內(nèi)容的深度包檢測(DPI)、安全處理等應用直接推動了網(wǎng)絡基礎設施的處理能力呈現(xiàn)指數(shù)級增長。在短短的時間內(nèi)，以太網(wǎng)網(wǎng)絡基礎設施帶寬從以10Gbit/s的規(guī)模擴展到40Gbit/s到100Gbit/s。相應的，網(wǎng)絡通信設備為了適應高速增長的基于協(xié)議、內(nèi)容、應用的可控制和可視性，必須要有相應的通信處理機制，一個新的多核、異構處理器架構是必需的。在此架構上采用通用多核X86 和網(wǎng)絡流處理器，支持L2 - L7的業(yè)務處理。 在此基礎上設計的架構將允許設備供應商提供高性能的、靈活和現(xiàn)場可編程的系統(tǒng)，能使服務供應商在更長的產(chǎn)品生命周期內(nèi)創(chuàng)造更多的用戶收入。

以下討論了一種新的網(wǎng)絡流處理架構以及在新的異構多核處理架構上的應用。

1深度包檢測

深度包檢測就是在L2-L7上分析處理網(wǎng)絡流量并實現(xiàn)網(wǎng)絡安全、服務保證、服務質(zhì)量和應用限速。相比傳統(tǒng)的L2－L4應用處理，DPI在基于流識別基礎上對包頭和包內(nèi)容進行分析處理。許多協(xié)議都不采用標準的IP，或者采用非標準或者可協(xié)商的TCP/UDP端口來建立連接，因此傳統(tǒng)的L2-L4包分類機制不能實現(xiàn)基于應用級的識別。多數(shù)應用和協(xié)議識別特征碼都存在單個報文中，或者是跨越幾個報文，因此僅僅分析單個報文頭意義不大。

這種對內(nèi)容的需求識別不僅適用于固定LAN/WAN，也涉及到越來越多的移動網(wǎng)絡。隨著3G和LTE帶寬（高達100Mbit/s的下載）的增長，同時融合數(shù)據(jù)、語音和視頻服務，可以預期，用戶將利用無線網(wǎng)絡支持所有固網(wǎng)業(yè)務的弱點來攻擊無線網(wǎng)絡的漏洞。

2 DPI及其DPI處理平臺面臨的挑戰(zhàn)

為了滿足DPI的網(wǎng)絡運營商的需求，DPI平臺必須滿足以下幾個特點：

（1）支持傳統(tǒng)的通用的L2–L4，包括源和目標IP地址、IP協(xié)議、源和目標的TCP/UDP端口號，差分服務代碼點（DSCP）和入口/接口/ VLAN；

（2）支持所有網(wǎng)絡協(xié)議層和完整的數(shù)據(jù)包有效載荷；

（3）支持靜態(tài)、動態(tài)和協(xié)商協(xié)議端口號的應用識別；

（4）能夠處理多個會話連接報文，擴展標準的TCP握手（SYN、SYN－ACK、SYN）；

（5）支持一個能夠識別通用協(xié)議的特征碼庫；

（6）能夠靈活可編程以支持網(wǎng)絡協(xié)議變化、演進和應用變化；

（7）支持線速的全業(yè)務分析；

（8）支持主動和被動的工作模式；

（9）基于報文和流分析，能裝支持以下處理結(jié)果的組合：

a. 主動和被動的包丟棄；

b. 流量標識；

c. 內(nèi)容植入；

d. 排隊、策略、流量整形、流速率控制；

e. 報文重定向；

f.負載均衡；

g. 報文和流的計數(shù)、測量、統(tǒng)計分析。

傳統(tǒng)的網(wǎng)絡和通信處理器不足以應付高速率的L2-L7數(shù)據(jù)報文分析。其他處理器如多核MIPS架構，雖然有能力執(zhí)行DPI，但是以性能下降為代價。這些架構要求所有的包處理發(fā)生在通用處理器中，但是缺乏集成安全模塊和高速數(shù)據(jù)平面的帶寬，同時缺少協(xié)處理包處理硬件。隨著網(wǎng)絡速度的增加，多核MIPS方案能在每一條流中的每一個報文實現(xiàn)DPI的同時還能實現(xiàn)性能的線性增長。另外的處理解決方案還有就是采用固定功能的網(wǎng)絡處理器，可以運行在高速數(shù)據(jù)的處理，但這些網(wǎng)絡處理器往往缺乏靈活可編程性，無法處理超越L2-L4層的業(yè)務。

3基于x86/IA+NFP網(wǎng)絡流處理器的異構平臺

為了達到真正實現(xiàn)DPI的要求，隨著對網(wǎng)絡I/O虛擬化，高性能流處理架構是必要的。為了使該系統(tǒng)具有可擴展性，一個很好的做法是使應用處理分開的L2 - L7數(shù)據(jù)平面處理。一般來說，多核處理器的重點放在應用層業(yè)務處理，而報文處理器的重點是數(shù)據(jù)平面處理。一個高級別規(guī)劃模型的異構多處理架構是必要的。這需要利用在高級別語言和使用開放源代碼的規(guī)劃工具，同時允許系統(tǒng)設計師定制的PPE最佳功率/性能比。這里介紹的異構處理架構是基于支持虛擬I / O的網(wǎng)絡流處理器和通用多核x86 CPU來實現(xiàn)的，其架構如圖1所示。其中圖1的左半部分描述多核心通用CPU和專用功能芯片架構，在異構模型中，解決方案是使用NFP網(wǎng)絡流處理器和通用多核CPU，NFP集成多個可編程報文處理器，安全處理器和優(yōu)化的I/O和內(nèi)存接口。