本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严禁用于任何商业用途。
msn: yfydz_no1@hotmail.com
来源：http://yfydz.cublog.cn

1. 前言

网络处理器(NP)在防火墙领域的应用在前几年出现时即成为热点，当时觉得NP几乎是同时具备了ASIC和X86的优点，而且只要进行软件部分的开发就可以了，毕竟搞ASIC硬件国内厂商没有几家能够承担得起的，而搞软件就是国人的相对强项，门槛就低得多了，就算是微码编程，一般也就当作是汇编级别的编程了，毕竟国内的汇编高手还是很多的。因此当时的很多分析文章即使没有明确说，但言语之中都乐观表达NP将是x86工控机防火墙的终结者。当时 IXP2400是Intel推出的最新NP芯片，其早期版本IXP1200系列也已经在路由器等网络产品中应用，由于Intel在芯片界的名气，很多厂家都把2400作为了NP开发平台进行开发，几年过去了，真正推出适用IXP2400防火墙的厂商不多。

2. IXP作路由器

IXP2400处理分上下两层处理，上层处理核心为32位RISC处理器，称为Xscale，主频只有600M，处理速度不会比PIII600 强多少；下层处理称为微引擎(ME)，一共8个，并行处理，NP的特点也主要就是从ME体现出来了，ME最大的能力是查表操作，但其他方面的处理能力就比较弱，但如果8个ME都并行使用的话，ME之间的相互转发的确可以达到很高的速度，千兆线速是没有问题的。

如果要将IXP2400应用为路由器，可以发现是非常适合的，Xscale处理上层的路由表，ME处理底层的路由cache项，由于ME强在查表，因此数据包可以非常快地进行转发，只有新地址的包才需要上传到Xcale处理，由于路由表本身也不会太大，Xcsale处理起来也已经足够，所以用 2400做成一个路由器还算是不错的。

3. IXP作防火墙

但如果要将IXP2400应用为防火墙，初步考虑应该是可以实现的，Xscale处理上层数据，负则新连接的建立，把连接信息传到下层的ME，利用ME的快速查表功能，已建连接的后续包就可以直接查状态表，如果查到了就直接进行转发，不在表中才上传Xscale，因此可以实现很高的转发速度。事实的确也是如此，性能测试结果，两端口双向64字节达到千兆线速没有任何问题，而用最高配置的x86架构的防火墙，64字节转发速度最多也就200M。

从上述过程来看，可以看到处理的瓶颈在于上层Xscale建立新连接的速度，由于Xscale只有600M，因此处理速度很有限，所以测试新建连接率很差，甚至不如普通P3级别的X86防火墙，不过IXP的连接建立率一直比较稳定，而x86架构在连接数达到一定限度后连接建立率会迅速下降或有较大波动。

对于多连接协议、VPN、内容过滤等功能，ME是根本处理不了的，必须将连接中的所有数据上传到Xscale，Xscale对这些功能的处理速度也是很慢的，不如x86架构。

一些特殊的网络环境，透明模式、VLAN等情况，ME需要特别处理，和普通转发完全不同，因此基本模式切换时都需要重启系统。

最后是ME本身也有欠缺的地方，寄存器数量不够，存储器也有限，无法完成更多的复杂功能。

4. 结论：

IXP2400根本就是给路由器作的，用来作防火墙实在是有点勉为其难，做成防火墙后最适合的场合是流量大但连接率不高的场合，而且不需要作内容过滤或VPN。

当然如果IXP2400的升级版本能提高Xscale的处理能力，使其达到PIV2.0G以上处理能力时，NP能力就将有显著提升；同时如果ME的能力增强，使在ME上能完成更复杂的操作而不用上传的话，IXP系列芯片才真正适用于防火墙，可以取得ASIC的处理能力。对于其他类型的NP芯片，本人没接触过，不发表评论。

现在有厂家推出多核芯片，不是Intel或AMD的那种双核，而是至少4核，高端的可达32甚至64核，每核都有近PIII1G的处理能力，也就是将IXP的ME扩展化了，把ME和Xscale都完全等同，每个核可以当ME处理底层数据，也可以当Xscale处理上层数据，这些都可以编程指定，可以用C编程而不用微码。当这样的产品达到实用化时，NP估计也就没市场了。

IXP2400忽悠了谁相关推荐

1. 北理工硕士生「一字不差」抄袭顶会投稿，网友：买论文被忽悠了？

   点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达 来源丨机器之心 编辑丨极市平台 导读 竟然如此明目张胆,一字不差地抄 ...

2. 每年“骗”马云10亿，被骂大忽悠，他却当选中国工程院院士？

   从来都是马云"骗"我们钱 把我们的钱包掏得空空的 那么你见过有人"骗"马云的钱吗? 见了一面就"骗"了马云10亿 整整10年! 这个人就是马 ...

3. ubuntu系统声音_今日热闻 | 小米11有望首发骁龙875、折叠iPhone测试、新规禁止网购忽悠打折、印度真米粉、M1 Mac运行Ubuntu...

   今日热点新闻 曝小米11有望首发骁龙875 据数码博主 @数码闲聊站爆料,小米 11(暂命名)已经送往备案,有望在下个月官宣,现在已开始产能爬坡. 高通的骁龙技术峰会,届时有望正式发布骁龙 875 旗 ...

4. “忽悠”智能机器人，竟然改改物品纹理就成功了！北航新研究：时空融合对抗攻击算法...

   作者:刘艾杉 编辑:鱼羊 量子位 报道 | 公众号 QbitAI 简单修改环境物体的纹理颜色,就能让机器人执行攻击者设计的错误行为! 来自北航.悉尼大学.伯克利和伦敦大学的一项最新研究成果显示: 通过 ...

5. 掌握4个基本点 不被云计算忽悠

   掌握4个基本点 不被云计算忽悠 http://cloud.51cto.com  2010-10-21 11:31    eNet硅谷动力  我要评论(0) 摘要:现今没有那个概念比云计算更加火热,在引 ...

6. 这次不忽悠：3个成功案例告诉你，开一家AI公司其实不难

   CNET科技行者 9月6日 北京消息:之前拆解了<忽悠VC指南,假装成一名人工智能专家的正确姿势>.这次,我们不忽悠 ,玩真的,带来升级版的"AI公司"速成攻略,并附上 ...

7. 自学python三个月能赚钱吗-培训三个月拿“高薪”？起底人工智能“速成班”忽悠大法...

   近年来,人工智能的"火"逐渐从学界"烧"到业界.据不完全统计,2019年底,我国人工智能企业数量超过2600家,各地方政府共出台人工智能相关政策270多项.各类 ...

8. python是人工智能最大骗局-培训三个月拿“高薪”？起底人工智能“速成班”忽悠大法...

   新华社上海8月3日电 题:培训三个月拿"高薪"?起底人工智能"速成班"忽悠大法 新华社记者胡洁菲.何欣荣 "学完Python,可以上天"&q ...

9. python培训骗局-python 无良培训忽悠骗局知多少？

   作者:前海之家 python 无良培训忽悠骗局知多少?-1.jpg (27.16 KB, 下载次数: 6) 2019-11-29 09:16 上传 这里专指哪些利用Python热,不问结果,骗培训的人 ...

最新文章

1. Sql Server 因为触发器问题导致数据库更新报错“在触发器执行过程中引发了错误，批处理已中止”的问题处理...
2. 【JavaSE】双向链表的实现与讲解
3. parseInt 与 parseFloat 解析
4. javascript设计模式--单例模式
5. seg是伪操作符，用来取后面符号的段地址
6. Struts的几个精细之处
7. Promise.allSettled
8. java菜鸟驿站_阿里巴巴内推(菜鸟驿站)一面总结
9. 使用Fiddler抓取websocket包-Android
10. 创业公司系统安全的搭建
11. 看完这篇文章，线上再遇到Jedis「Redis客户端」异常相信你不再怕了！
12. Hibernate基于JAP注解开发
13. 联发科mtk手机处理器怎么样_联发科发布G25和G35手机处理器，定位入门市场
14. React18降版本操作
15. 历经四个月，谷歌联盟的PIN码问题终于解决了
16. onchange与onpropertychange
17. nlp, ml, 学习书单
18. centos查看进程及结束掉
19. 常用字节单位转化和字符中英文长度计算
20. php判断百度ua展示不同页面,通过UA或反查IP两种方法识别百度蜘蛛【官方说法】...

热门文章

1. 重返设计模式--原型模式
2. 链接器工具错误 LNK2019
3. 狗脸识别python_实现人脸识别、人脸68个特征点提取，或许这个 Python 库能帮到你！...
4. 2021.04.06JAVA定义一个数组，随便输入一个数字，判断这个数在数组中是否存在，存在返回数组的下标，否则返回-1
5. 重启光猫显示dns服务器,光猫如何查dns服务器地址
6. Pyqt清空Win回收站
7. 实战技术：从王者荣耀聊聊游戏的帧同步
8. 室内空气流动原理图_空气净化器工作原理是什么?
9. iOS 右滑手势返回上一级
10. 论文翻译：X2CT-GAN: Reconstructing CT from Biplanar X-Rays with Generative Adversarial Networks