Stephan Groß <[email protected]>Ralf Lehmann <[email protected]>
Technische Universität DresdenFakultät Informatik, Institut für SystemarchitekturLehrstuhl RechnernetzeD-01062 Dresden, Germany
CeBIT 2003CeBIT 2003Hannover, 18. März 2003Hannover, 18. März 2003
Beschleunigung Virtueller Beschleunigung Virtueller Privater Netze durch Privater Netze durch NetzwerkprozessorenNetzwerkprozessoren
Folie 2 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Forschungsschwerpunkte
• High Speed Networking und Multimedia– Flexible Kommunikationsplattformen für
neue Rechnernetztechnologien– Hardwarebeschleunigung von
Internetprotokollen
• Middleware und Ubiquitous Computing• Teleteaching and Teleworking
Folie 3 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Inhalt
• Motivation
• Stand der Technik
• Probleme
• Unsere Lösung
– Methodik
– Die Intel IXP Netzwerkprozessorfamilie
– Aktueller Stand der Arbeiten
• Ergebnisse
Folie 4 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Motivation
Ungeschützte Datenübertragung im Internet
• Verlust der Vertraulichkeit
• Verlust der Datenintegrität
• Verlust Nutzerintegrität
Folie 5 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Stand der Technik
Folie 6 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Probleme
• Schlechte VPN Performance mit reinen Softwarelösungen• Hohe Kosten spezieller Hardware-Lösungen• Fehlende Flexibilität reiner Hardware-Lösungen bei Anpassungen
an neue Algorithmen und Techniken
0
50
100
150
200
250
300
350
400
450
500
1 10 100 1000 10000 100000
[byte]
[Mb
it/s
] RAW
SHA1
AES_SHA1
3DES_SHA1
NetzwerkperformanceHigh-End Linux
Folie 7 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Unsere Lösung
Netzwerkprozessorbasierte IPSec-Realisierung für VPN-Gateways
• Zentrale Komponenten– Intel IXP Netzwerkprozessor– Embedded Linux– IPSec-Implementierung
• Ziele– Unterstützung für MD5, SHA-1, 3DES, AES– Flexibel zu erweitern (z.B. IPv6)– Hochperformant und skalierbar bis 10 Gbit/s– Kosteneffektives Design
Folie 8 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Methodik
• Analyse der Linux IPSec Implementierung
• Extrahierung des Datenpfades
• Portierung auf den IXP 1200 C Dialekt
• Optimierung der kryptographischen Algorithmen
• Integration in Linux IPSec Implementierung
Folie 9 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Die Intel IXP Netzwerkprozessorfamilie
64
32
64
PCI Bus 66Mhz
FIFO Bus 66Mhz
32
10/100MB
Ethernet MACs
10/100MB
Ethernet MACs
SDRAM
up to 256MB
SDRAM
up to 256MB
FlashROM
up to 8MB
FlashROM
up to 8MB
Memory Mapped
I/O Device
(ex MAC Control)
Memory Mapped
I/O Device
(ex MAC Control)
SRAM
up to 8MB
SRAM
up to 8MB
SDRAM
Unit
SDRAM
Unit
SRAM
Unit
SRAM
Unit
FIFO bus Interface (FBI) Unit
FIFO bus Interface (FBI) Unit
PCI Bus UnitPCI Bus Unit
PCI MAC devicePCI MAC deviceHost CPU (optional)Host CPU (optional)
StrongARM Core
166Mhz
StrongARM Core
166Mhz
Microengine 1Microengine 1
Microengine 2Microengine 2
Microengine 3Microengine 3
Microengine 4Microengine 4
Microengine 5Microengine 5
Microengine 6Microengine 6
IXP120083Mhz
83Mhz166Mhz
look ups
Folie 10 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Die Intel IXP Netzwerkprozessorfamilie
Folie 11 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Die Intel IXP Netzwerkprozessorfamilie
Intel IXP2400 – Ausblick
• 8 Threads / 8 Micro Engines @ 600 MHz
• Lokaler Speicher 2560 Bytes
– z.B. für S-Boxen moderner Verschlüsselungsalgorithmen
– Ermöglicht die Implementierung von AES
Folie 12 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Status der Arbeiten
• Analyse der Linux IPSec Implementierung
• Extrahierung des Datenpfades
• Portierung auf den IXP 1200 C Dialekt
• Optimierung der kryptographischen Algorithmen
• Integration in Linux IPSec Implementierung
OK
OK
Begonnen, AES und MD5
Begonnen, AES und MD5
Steht noch aus
Folie 13 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Ergebnisse
MD5
• Gute Performance
–Single thread: 118 Mbit/s (MD5Transform)
–Vergleich: Pentium III, 1GHz: 250 Mbit/s
• Hohe Lokalität der Daten
• IXP1200 gut geeignet
• Ausblick:weitere Optimierungen sollten Performance verbessern
AES
• Erste Versuche problematisch
• IXP1200 ungeeignet
• Gründe:
– Implementierung geht nicht genügend auf Besonderheiten der IXP-Architektur ein
– Geringe Lokalität der Daten verursacht hohe Kosten bei Speicherzugriffen
• Ausblick: IXP2400
Folie 14 / 14
Copyright © TU Dresden 2003
CeBIT 2003Hannover, 18. März 2003
Motivation
Stand der Technik
Probleme
Unsere Lösung
Inhalt
Ergebnisse
Methodik
Intel IXP
Status
Vielen Dank für Ihre Aufmerksamkeit
Besuchen Sie unsin Halle 11,Stand D27 – S3