Software de cortafuegos acelerado en plataformas de hardware x86 listas para DPDK

high performance software x86 packet processingLa virtualización ha evolucionado masivamente hacia la computación en nube y las redes de computadoras, con VNF ahora disponibles y suficientes para muchas funciones de red que antes se realizaban a través de hardware dedicado. Sin embargo, aún hoy en día, lograr el rendimiento casi en tiempo real esperado del hardware de red sigue siendo un desafío para las funciones de red virtualizadas que normalmente se ejecutan en hardware de red basado en computación abierta x86.

Los cortafuegos y los sistemas de detección/protección de intrusiones realizan una inspección profunda de paquetes que requiere un procesamiento de paquetes altamente eficiente y escalable. Cualquier sobrecarga y cuellos de botella en el flujo de trabajo de paquetes de hardware y software limitará en última instancia el rendimiento general de este tipo de sistemas.

Por esta razón, PFSense, el software de cortafuegos de código abierto más popular del mundo, pronto lanzará su tercera iteración, trayendo consigo mejoras en el DPDK que aumentarán el rendimiento del procesamiento de paquetes varias veces en las configuraciones de hardware soportadas. Este software optimizado aportará mejoras en las capacidades de procesamiento de paquetes para los procesadores x86 estándar, con más de un 600% de aumento de rendimiento para determinadas cargas de trabajo por núcleo.

Linux se ha convertido en el sistema operativo principal de muchos sistemas con una cuota de mercado dominante para despliegues en nube, servidores baremetal y dispositivos de IO. Aunque se trata de un jack de todos los oficios, la pila de E/S de Linux siempre ha faltado en muchos aspectos del procesamiento de paquetes de alto rendimiento. Principalmente debido a los muchos pasos que los paquetes tienen que atravesar junto con la fragmentación en el soporte de software y los controladores NIC. Esto reduce enormemente el rendimiento del procesamiento de paquetes incluso con controladores de kernel de VirtIO altamente optimizados.

El Data Plane Development Kit (DPDK), ahora administrado por la fundación Linux, fue desarrollado por primera vez por Intel para resolver problemas de rendimiento con el procesamiento de paquetes derivados de las ineficiencias inherentes a la pila de E/S del kernel de Linux. En lugar de atravesar toda la pila de controladores en modo kernel de linux (izquierda), utiliza controladores mínimos en modo usuario para evitar la saturación del kernel y optimiza el procesamiento de paquetes con eficientes búferes de memoria de página de enlace (derecha).

El DPDK y la biblioteca Hyperscan de Intel para la correspondencia de expresiones regulares de alto rendimiento están optimizadas desde cero y son ideales para la E/S y para calcular las grandes cargas de trabajo que necesitan los modernos cortafuegos de procesamiento profundo de paquetes y los sistemas IPS/IDS.

 

Cómo evolucionó el procesamiento de paquetes DPDK:

  • Tarjetas de red liberadas del control del kernel y de la hinchazón
  • Controladores mínimos del modo de usuario que se originan desde el DPDK
  • Los búferes de memoria de espacio de usuario se utilizan para optimizar el uso de la memoria.
  • Capas de abstracción para aplicaciones (Firewalls, vSwitches, vRouters, DPI’s…) para hablar con el DPDK

Esto mejoró enormemente el software de procesamiento de paquetes, redujo masivamente el uso de memoria y eliminó las vulnerabilidades potenciales y los problemas que pueden surgir de la mayor pila de controladores en modo kernel de Linux.

 

Seguridad y rendimiento probados en hardware de red x86 escalable compatible con DPDK

El procesamiento de paquetes de software de alto rendimiento para la concordancia de patrones se sirve mejor ejecutando en hardware capaz con arquitecturas x86 hiperhiladas multi-core. Esta alta densidad de cálculo permite una seguridad profunda de la red con un alto rendimiento en un factor de forma rentable.

El NCA-5710 de Lanner satisface todos estos requisitos y más, con los procesadores escalables Xeon® de Intel® que permiten compatibilidad con CPU dual, gran flexibilidad de E/S con 4 ranuras de expansión de NIC que se pueden equipar con NIC compatibles con DPDK. Estas plataformas escalables están diseñadas para mejorar el rendimiento de la inspección profunda de paquetes (DPI) en un 600% usando aceleradores DPDK e Hyperscan integrados.

 

Hardware moderno. Software moderno. Modern Network Appliance.

Con la virtualización a la vanguardia de las redes informáticas, el software ahora dicta en gran medida lo que los dispositivos y dispositivos harán, ya sea un simple firewall de hardware, un túnel VPN seguro, una puerta de enlace SD-WAN en el borde o todo lo anterior (uCPE). El perfeccionamiento de este software proporciona a los dispositivos de hardware x86 más flexibilidad y libera núcleos para una miríada de software que puede simplificar las implementaciones diarias y reducir los costes, a la vez que mantiene las redes internas más seguras que nunca.

 

 


Related Posts