圖四 IXP-2400在網(wǎng)絡(luò)安全的應用－『入侵檢測系統(tǒng)』方塊圖

圖五 ADLINK cPCI-6240系列網(wǎng)絡(luò)安全平臺

　　網(wǎng)絡(luò)安全系統(tǒng)內(nèi)最關(guān)鍵性的功能可以說是封包表頭辨識(Classification)及內(nèi)容檢查(Content Inspection)，表頭辨識是針對其流向、連結(jié)、輸入端口及目的地址等做比對；內(nèi)容檢查則有復雜的算法，處理帶寬及內(nèi)存容量需求極高，很顯然內(nèi)容檢查即將是此系統(tǒng)非常嚴重的交通瓶頸所在，這個運算將耗用大量IXP-2400網(wǎng)絡(luò)處理器的運算資源。因此必須采用另一顆處理器卸載此運算，有兩種方法可行，其一是如圖四：加入一顆可編程內(nèi)容檢查引擎(Programmable CIE, Content Inspection Engine)，比如IDT PAX.port 2500 CIE；或是在封包經(jīng)網(wǎng)絡(luò)處理器集結(jié)成較大封包后，進入一張專屬內(nèi)容檢查的高速運算服務器，比如ADLINK cPCI-6860 Dual-Xeon Server Blade。加CIE的做法可以卸載95% 的MicroEngine資源使用量，刪除掉85%的MicroCode，同時削減75%內(nèi)存帶寬使用量，成本可大大節(jié)省，TTM(Time to Market)時間可以顯著縮減。加一張專屬服務器則維持舊有軟件延續(xù)使用，節(jié)省軟件開發(fā)的時間及人力成本，兩者各有優(yōu)點，但是CIE是純硬件運算所以效率較好，從長遠角度看應會成為較受歡迎的選擇。

　　網(wǎng)絡(luò)處理器的時代已經(jīng)來臨，它可以有效解決網(wǎng)絡(luò)交通擁塞的問題，也可以處理復雜的封包運算。無論如何，Inetel IXA架構(gòu)已經(jīng)正確的跨出第一步，接下來就須要更多的平臺設(shè)計者投入開發(fā)工作，以及更多的應用開發(fā)者投入資源，發(fā)展軟件程序，逐步建立完整的可攜式Microblocks。網(wǎng)絡(luò)興起、帶寬加速拓展，使整個網(wǎng)絡(luò)通訊的市場板塊不斷的在調(diào)整、挪動，凌華科技與Intel合作，共同推廣IXP-2XXX網(wǎng)絡(luò)處理器的應用，希望能有拋磚引玉之效。

凌華科技公司供稿 CTI論壇編輯