行业动态

基于国产通用处理器的网络探针解决方案 媲美至强近八成性能表现 (2020.01.14)

网络探针——实现接入控制与行为分析的最佳工具

在企业IT运维管理中,网络管理员除本职网络管理工作外,还要经常帮用户调查各类使用问题,是最繁忙的岗位之一,而这些问题往往发生在应用服务端且不易复现,不胜其扰。然而通过网络探针工具的接入,网络管理人员能够快速发现问题,分析根源,确定问题边界,也可以通过实时监控网络行为,捕捉网络异常,为问题定位提供有力的数据支撑。

网络探针,就是一个用于捕获、分析网络数据包的组件,利用网络探针技术进行会话还原、机器学习、大数据分析等技术,可以先于用户发现网络异常,定位故障节点。排故效率可以提升5-10倍,网管也可以随时查看系统主动产生的告警事件和事故分析,也可以深度查询网络性能、服务器状态、应用服务性能,主动排查和界定故障根因,第一时间找到担责的部门,从而解决目前网络运维人员对故障的判断滞后问题。

网络探针现在也被充分用于IDC安全、互联网应用以及城域网运维等各个领域,可以针对不同的应用需求,形成网络攻击监测防护系统、网络应用性能监控系统、网络故障监测诊断系统等多种不同形态的解决方案,帮助这些场景的管理者更好的进行主动或被动工作,有效提升相关工作的效率与准确性。

网络探针解决方案的国产化迫在眉睫

中美贸易摩擦以来,国内通讯行业巨头先后遭遇美国制裁,进一步凸显了我国网络信息产业基础薄弱的现实问题。以核心芯片、操作系统等为代表的基础软硬件依赖进口,从信息安全和产业安全两个层面,都对我国网络信息产业的发展产生着不利影响。自上世纪80年代起,国家对国产自主可控信息技术的发展便予以高度关注,从863计划到“核高基”,以及《国家集成电路产业发展推进纲要》的公布以及大基金的成立等,无不剑指国产化基础软硬件的发展。目前,伴随着国产基础软硬件等产品的不断发展与日趋成熟,重点行业内的国产化应用替代步伐也愈发紧凑。

当前,网络信息技术已经高度渗透到全行业的发展进程之中,甚至成为行业发展的首要驱动力,网络信息产业中的不稳定因素,极有可能对行业的发展,特别是关乎国家经济命脉的通信、金融、交通、能源等重点行业造成负面影响,进而波及国家稳定和安全,而网络探针技术在上述国家重点基础行业中有着广泛的应用。网络探针技术的国产化,可以通过监控数据流量及网络行为等场景,从根本上帮助国家核心基础行业,实现网络攻击防御以及网络信息安全保障等工作,从而确保网络信息产业的安全可控。

基于兆芯国产通用处理器的网络探针解决方案

开胜KH-30000提供一颗强大的国产芯

开胜KH-30000系列处理器是兆芯自主研发的新一代国产高性能通用处理器,该处理器兼容x86指令集,支持SSE4.2/AVX扩展指令,SM3和SM4加速指令,支持处理器和IO虚拟化技术,具备杰出的操作系统和软硬件兼容性,主要面向高性能服务器/存储服务器等产品。

开胜KH-30000系列处理器采用16nm工艺制程,是国内首款主频达到3.0GHz的国产通用SoC处理器,单芯片集成8核心CPU、双通道DDR4内存控制器(可支持ECC UDIMM/RDIMM,最大内存配置容量128GB,最高频率3200MHz),以及PCIe 3.0、SATA、USB等通用外设接口,可良好兼容市场主流的硬件配置环境。开胜KH-30000系列处理器采用了全新自主研发的高速低功耗内核,单芯片综合性能提升多达50%,此外更引入兆芯自主研发的双路互联ZPI 2.0技术,支持将2颗处理器整合到一个ccNUMA(Cache Coherent Non-Uniform Memory Access)系统内,为系统带来双倍性能表现和更强的虚拟化表现,从而更好满足高性能服务器等专业应用需要。

开胜KH-30000系列处理器通过了一系列严苛的测试验证,软件仿真指令超过1800亿条,单次全芯片验证测试时间超过5000小时,软件项目测试超过500项,还包括60多种DDR、200多种USB和80多类PCIe的兼容性可靠性测试和1024小时高温可靠性测试,以保障其出众的可靠性和稳定性。此外,该处理支持Windows Server操作系统、中标麒麟、中科方德、普华、CentOS等服务器操作系统;阿里云、腾讯云TStack、深信服、中标易云、湖南麒麟、中国网安、云宏、OpenStack、Kubernetes等云系统;以及Ceph、GlusterFS等分布式存储系统和Hadoop大数据处理框架,产业化应用条件突出。

整体性能测试表现优异 可媲美至强八成的性能

无锡畅云iProbe是一款集流量可视化、网络与应用性能分析、用户行为监测、异常事件告警、服务故障诊断、原始报文回溯等功能于一体的灵活易用的可视化运维平台。产品以监控用户的真实体验为核心,从影响服务交付的网络流量和会话性能分析入手,整合网络设备监控和应用日志分析,充分运用大数据技术,先于用户发现各类影响用户体验的异常事件,为IT管理赢得第一时间响应异常的能力,帮助运维人员保障业务连续,提升用户体验。

通过将iProbe分别部署在基于兆芯KH-30000处理器和英特尔至强处理器的服务器平台上,并采用相同的内存、网卡等硬件配置(如表1)。将425字节长度的TCP数据包,通过两台发包机,对上述两台不同处理器平台的服务器双万兆网口进行发包,测试服务器软件及双万兆网口对数据包的接收处理能力,并持续增加发包机的发包速率,直至服务器开始丢包(此时,处理性能将到达极限),以此来比较两种平台的性能表现,具体测试结果如表2。

 

配置

基于兆芯的服务器

基于英特尔的服务器

CPU

兆芯KH-37800D @ 2.7GHz

Intel® Xeon® E5- 2650 v2 @ 2.60GHz

内存

64G

64G

网卡

10GbE (Intel I350)

10GbE (Intel 82599)

表1 测试服务器的硬件配置

 

CPU

发包最大流量

xGE0接收流量

丢包率

xGE1接收流量

丢包率

兆芯KH-37800D @2.7GHz

7.86Gbps

2.97Gbps

0.00%

4.89Gbps

0.00%

Intel® Xeon® E5- 2650 v2

@2.60GHz

10.20Gbps

5.30Gbps

0.00%

4.90Gbps

0.00%

表2 相同硬件配置,不同处理器平台下的发包最大流量性能比较

从表2的测试结果可以看出,当处理器达到极限的情况下,基于兆芯KH-30000处理器的xGE0网口接受流量可达2.97Gbps,xGE1网口接受流量总计4.89Gbps。相比英特尔的至强平台,整体性能表现可达到 77%,并且单台服务器在7.8Gbps流量的情况下可以达到稳定的状态,且不丢包。完全可以满足iProbe所需的性能。

拥抱主流生态  助力用户软硬件的无缝迁移

由于兆芯KH-30000处理器采用x86的技术架构,天然兼容市场上所有基于x86架构开发的软件应用。因此,相比其他国产化网络探针解决方案,基于兆芯KH-30000处理器的硬件平台,可以让用户更快速、更便捷的进行应用的移植,无需耗费人力和时间成本重新开发应用,真正做到零风险、低成本的应用迁移。

目前,基于兆芯KH-30000处理器的服务器硬件已完成与无锡畅云iProbe网络性能监控系统的适配,通过软硬件的整合,用户可以快速地部署该国产化的网络探针解决方案,解决国家关键基础行业的信息安全和网络安全的国产化需求。
有效降低用户的总体拥有成本
在国产化市场中,除了需要考虑硬件系统的整体性能表现之外,另外一个不可忽视的重要因素——总体拥有成本也是系统集成商和最终用户需要考虑的。

对于系统集成商而言,如果采用非x86的架构,意味着相关的应用软件就需要完全重建,从程序设计的逻辑到功能实现的方法,都需要有一个全新的规划。此外,开发过程中还会遇到各种各样的问题,从而花费大量的人力、物力以及时间成本。而对于用户而言,采用非x86架构的解决方案,除了要花费更加昂贵的网络探针解决方案之外,还要考虑其整个网络系统的配置和管理的迁移成本。更严重的是随之而来的学习成本,基础的应用与使用习惯在更换了相应方案后需要全部推翻,适应与学习将会是一个非常痛苦的过程。因此,对于系统集成商和最终用户,从迁移的时间和总体成本考虑,基于x86架构的解决方案不失为最佳的国产化解决方案。

应用领域

IDC网络安全:网络攻击监测防护系统

  • 攻击检测:检测L3-L7层的网络攻击行为;关联攻击目标、攻击源和攻击类型
  • 秒级响应:支持40Gbps的DDos攻击检测,自动开启防护策略,时延小于15秒

互联网应用:网络应用性能监控系统

  • 网络性能分析:全流量DPI,实时解析会话,分析会话传输性能
  • 应用性能分析:分析统计应用协议的请求类型、回复状态、响应延迟等性能指标

城域网运维:网络故障监测诊断系统

  • 主动探测全网:分布式部署,实时获悉网络传输的可用性和性能,发现服务异常
  • 网络延时诊断:对网内业务请求进行会话跟踪和延时诊断,定位问题故障区间

总结

网络信息安全关乎国家发展与命运,习近平总书记在“419”网信工作座谈会上的讲话中明确提出了“全天候全方位感知网络安全态势”的重要课题,充分体现出国家对网络信息安全问题高度关注的态势。基于兆芯开胜KH-30000处理器的国产化网络探针解决方案,凭借其媲美英特尔至强的性能表现,以及兼容国际主流的独特优势,可以帮助用户更快速、更节省、零风险的实现网络探针解决方案的移植,从根本上保障国家基础行业的网络安全和信息安全。

信息中心>企业信息

基于国产通用处理器的网络探针解决方案 媲美至强近八成性能表现 (2020.01.14)

网络探针——实现接入控制与行为分析的最佳工具

在企业IT运维管理中,网络管理员除本职网络管理工作外,还要经常帮用户调查各类使用问题,是最繁忙的岗位之一,而这些问题往往发生在应用服务端且不易复现,不胜其扰。然而通过网络探针工具的接入,网络管理人员能够快速发现问题,分析根源,确定问题边界,也可以通过实时监控网络行为,捕捉网络异常,为问题定位提供有力的数据支撑。

网络探针,就是一个用于捕获、分析网络数据包的组件,利用网络探针技术进行会话还原、机器学习、大数据分析等技术,可以先于用户发现网络异常,定位故障节点。排故效率可以提升5-10倍,网管也可以随时查看系统主动产生的告警事件和事故分析,也可以深度查询网络性能、服务器状态、应用服务性能,主动排查和界定故障根因,第一时间找到担责的部门,从而解决目前网络运维人员对故障的判断滞后问题。

网络探针现在也被充分用于IDC安全、互联网应用以及城域网运维等各个领域,可以针对不同的应用需求,形成网络攻击监测防护系统、网络应用性能监控系统、网络故障监测诊断系统等多种不同形态的解决方案,帮助这些场景的管理者更好的进行主动或被动工作,有效提升相关工作的效率与准确性。

网络探针解决方案的国产化迫在眉睫

中美贸易摩擦以来,国内通讯行业巨头先后遭遇美国制裁,进一步凸显了我国网络信息产业基础薄弱的现实问题。以核心芯片、操作系统等为代表的基础软硬件依赖进口,从信息安全和产业安全两个层面,都对我国网络信息产业的发展产生着不利影响。自上世纪80年代起,国家对国产自主可控信息技术的发展便予以高度关注,从863计划到“核高基”,以及《国家集成电路产业发展推进纲要》的公布以及大基金的成立等,无不剑指国产化基础软硬件的发展。目前,伴随着国产基础软硬件等产品的不断发展与日趋成熟,重点行业内的国产化应用替代步伐也愈发紧凑。

当前,网络信息技术已经高度渗透到全行业的发展进程之中,甚至成为行业发展的首要驱动力,网络信息产业中的不稳定因素,极有可能对行业的发展,特别是关乎国家经济命脉的通信、金融、交通、能源等重点行业造成负面影响,进而波及国家稳定和安全,而网络探针技术在上述国家重点基础行业中有着广泛的应用。网络探针技术的国产化,可以通过监控数据流量及网络行为等场景,从根本上帮助国家核心基础行业,实现网络攻击防御以及网络信息安全保障等工作,从而确保网络信息产业的安全可控。

基于兆芯国产通用处理器的网络探针解决方案

开胜KH-30000提供一颗强大的国产芯

开胜KH-30000系列处理器是兆芯自主研发的新一代国产高性能通用处理器,该处理器兼容x86指令集,支持SSE4.2/AVX扩展指令,SM3和SM4加速指令,支持处理器和IO虚拟化技术,具备杰出的操作系统和软硬件兼容性,主要面向高性能服务器/存储服务器等产品。

开胜KH-30000系列处理器采用16nm工艺制程,是国内首款主频达到3.0GHz的国产通用SoC处理器,单芯片集成8核心CPU、双通道DDR4内存控制器(可支持ECC UDIMM/RDIMM,最大内存配置容量128GB,最高频率3200MHz),以及PCIe 3.0、SATA、USB等通用外设接口,可良好兼容市场主流的硬件配置环境。开胜KH-30000系列处理器采用了全新自主研发的高速低功耗内核,单芯片综合性能提升多达50%,此外更引入兆芯自主研发的双路互联ZPI 2.0技术,支持将2颗处理器整合到一个ccNUMA(Cache Coherent Non-Uniform Memory Access)系统内,为系统带来双倍性能表现和更强的虚拟化表现,从而更好满足高性能服务器等专业应用需要。

开胜KH-30000系列处理器通过了一系列严苛的测试验证,软件仿真指令超过1800亿条,单次全芯片验证测试时间超过5000小时,软件项目测试超过500项,还包括60多种DDR、200多种USB和80多类PCIe的兼容性可靠性测试和1024小时高温可靠性测试,以保障其出众的可靠性和稳定性。此外,该处理支持Windows Server操作系统、中标麒麟、中科方德、普华、CentOS等服务器操作系统;阿里云、腾讯云TStack、深信服、中标易云、湖南麒麟、中国网安、云宏、OpenStack、Kubernetes等云系统;以及Ceph、GlusterFS等分布式存储系统和Hadoop大数据处理框架,产业化应用条件突出。

整体性能测试表现优异 可媲美至强八成的性能

无锡畅云iProbe是一款集流量可视化、网络与应用性能分析、用户行为监测、异常事件告警、服务故障诊断、原始报文回溯等功能于一体的灵活易用的可视化运维平台。产品以监控用户的真实体验为核心,从影响服务交付的网络流量和会话性能分析入手,整合网络设备监控和应用日志分析,充分运用大数据技术,先于用户发现各类影响用户体验的异常事件,为IT管理赢得第一时间响应异常的能力,帮助运维人员保障业务连续,提升用户体验。

通过将iProbe分别部署在基于兆芯KH-30000处理器和英特尔至强处理器的服务器平台上,并采用相同的内存、网卡等硬件配置(如表1)。将425字节长度的TCP数据包,通过两台发包机,对上述两台不同处理器平台的服务器双万兆网口进行发包,测试服务器软件及双万兆网口对数据包的接收处理能力,并持续增加发包机的发包速率,直至服务器开始丢包(此时,处理性能将到达极限),以此来比较两种平台的性能表现,具体测试结果如表2。

 

配置

基于兆芯的服务器

基于英特尔的服务器

CPU

兆芯KH-37800D @ 2.7GHz

Intel® Xeon® E5- 2650 v2 @ 2.60GHz

内存

64G

64G

网卡

10GbE (Intel I350)

10GbE (Intel 82599)

表1 测试服务器的硬件配置

 

CPU

发包最大流量

xGE0接收流量

丢包率

xGE1接收流量

丢包率

兆芯KH-37800D @2.7GHz

7.86Gbps

2.97Gbps

0.00%

4.89Gbps

0.00%

Intel® Xeon® E5- 2650 v2

@2.60GHz

10.20Gbps

5.30Gbps

0.00%

4.90Gbps

0.00%

表2 相同硬件配置,不同处理器平台下的发包最大流量性能比较

从表2的测试结果可以看出,当处理器达到极限的情况下,基于兆芯KH-30000处理器的xGE0网口接受流量可达2.97Gbps,xGE1网口接受流量总计4.89Gbps。相比英特尔的至强平台,整体性能表现可达到 77%,并且单台服务器在7.8Gbps流量的情况下可以达到稳定的状态,且不丢包。完全可以满足iProbe所需的性能。

拥抱主流生态  助力用户软硬件的无缝迁移

由于兆芯KH-30000处理器采用x86的技术架构,天然兼容市场上所有基于x86架构开发的软件应用。因此,相比其他国产化网络探针解决方案,基于兆芯KH-30000处理器的硬件平台,可以让用户更快速、更便捷的进行应用的移植,无需耗费人力和时间成本重新开发应用,真正做到零风险、低成本的应用迁移。

目前,基于兆芯KH-30000处理器的服务器硬件已完成与无锡畅云iProbe网络性能监控系统的适配,通过软硬件的整合,用户可以快速地部署该国产化的网络探针解决方案,解决国家关键基础行业的信息安全和网络安全的国产化需求。
有效降低用户的总体拥有成本
在国产化市场中,除了需要考虑硬件系统的整体性能表现之外,另外一个不可忽视的重要因素——总体拥有成本也是系统集成商和最终用户需要考虑的。

对于系统集成商而言,如果采用非x86的架构,意味着相关的应用软件就需要完全重建,从程序设计的逻辑到功能实现的方法,都需要有一个全新的规划。此外,开发过程中还会遇到各种各样的问题,从而花费大量的人力、物力以及时间成本。而对于用户而言,采用非x86架构的解决方案,除了要花费更加昂贵的网络探针解决方案之外,还要考虑其整个网络系统的配置和管理的迁移成本。更严重的是随之而来的学习成本,基础的应用与使用习惯在更换了相应方案后需要全部推翻,适应与学习将会是一个非常痛苦的过程。因此,对于系统集成商和最终用户,从迁移的时间和总体成本考虑,基于x86架构的解决方案不失为最佳的国产化解决方案。

应用领域

IDC网络安全:网络攻击监测防护系统

  • 攻击检测:检测L3-L7层的网络攻击行为;关联攻击目标、攻击源和攻击类型
  • 秒级响应:支持40Gbps的DDos攻击检测,自动开启防护策略,时延小于15秒

互联网应用:网络应用性能监控系统

  • 网络性能分析:全流量DPI,实时解析会话,分析会话传输性能
  • 应用性能分析:分析统计应用协议的请求类型、回复状态、响应延迟等性能指标

城域网运维:网络故障监测诊断系统

  • 主动探测全网:分布式部署,实时获悉网络传输的可用性和性能,发现服务异常
  • 网络延时诊断:对网内业务请求进行会话跟踪和延时诊断,定位问题故障区间

总结

网络信息安全关乎国家发展与命运,习近平总书记在“419”网信工作座谈会上的讲话中明确提出了“全天候全方位感知网络安全态势”的重要课题,充分体现出国家对网络信息安全问题高度关注的态势。基于兆芯开胜KH-30000处理器的国产化网络探针解决方案,凭借其媲美英特尔至强的性能表现,以及兼容国际主流的独特优势,可以帮助用户更快速、更节省、零风险的实现网络探针解决方案的移植,从根本上保障国家基础行业的网络安全和信息安全。