解决方案 | 基于英特尔凌动® P5000网络SoC处理器平台的易科腾国密SD-WAN方案

链路加密已经成为网络和边缘计算平台的基础功能，也是云计算时代数据安全的关键网络技术。互联网安全协议栈 (Internet Protocol Security, IPSec) 作为链路加密的最主要安全传输协议，通过动态密钥交换和隧道加密技术，为跨广域网传输的数据流提供端到端保护。IPSec有大量成熟和创新的应用场景，如远程办公、软件定义广域网 (SD-WAN) 等。高性能、低延时、广兼容，易开发的硬件平台特性对整合IPSec协议栈的整体方案实现至关重要，市场需要既符合中国市场对加密算法的技术要求，又能基于单芯片实现高性能高性价比的整体解决方案。

英特尔凌动^®P5000网络SoC处理器平台集成了Quick Assist Technology (QAT) 引擎，硬件支持国家商用密码算法（简称：国密）、AES 等加密算法。驱动软件实现与DPDK、OpenSSL等开源网络协议栈的整合，提供完整、成熟、友好的应用开发接口，是开发高性能、高性价比的网络和边缘计算解决方案的理想硬件平台。易科腾成功使用英特尔凌动^®P5000网络SoC处理器平台，开发出全新满足中国本地市场加密需求的高性能SD-WAN整体解决方案，在显著降低整机硬件成本的同时，助力基于国密算法的链路加密能力在运营商网络和企业网络的普及。

基于英特尔凌动^®P5000的易科腾SD-WAN方案

易科腾SD-WAN方案定位为面向运营的SD-WAN 网络，原生支持多租户、大规模组网，支持运营场景下运营商采用自有骨干网提供服务的场景，同时也可以支持无骨干网的私有化部署场景，汇聚设备支持全云化部署，支持多云互联场景。SD-WAN系统内置了ZTP业务开通、IPSecVPN加密、安全防护和广域网优化等能力，全面支持IPv4/v6双栈组网。

微信截图_20230919110257.png

图 1.易科腾 SD-WAN 方案

易科腾SD-WAN方案支持在出厂时预装易科腾或者客户颁发的数字证书，并采用公钥的Hash值作为设备的逻辑标识，控制器所有的配置可以基于设备ID进行预先配置。当设备在客户站点启动后，可以采用证书和控制器进行认证，认证通过后根据设备ID获取设备的配置数据，从而零配置实现自动化上线。该方案具备云原生多租户架构、远程办公和SD-WAN统一架构、创新的控制面和转发面配置对账技术、广域网大二层支持、支持NAT出口企业网的动态路由接入、微分段安全等多重优势。

为了解决链路加密所带来的算力挑战，易科腾SD-WAN方案采用了英特尔凌动^®P5000网络SoC处理器平台。该处理器支持可选的8-24个核心，目前较为广泛地应用于路由器/交换机、企业网、无线接入网基站等产品。英特尔凌动^®P5000集成的加速器及网络接口大幅提高了该系列CPU的可用性以及性价比。英特尔凌动^®P5000 集成了最高100G的英特尔最新的800系列网卡，最高可以支持8个端口，并且网络端口可以灵活配置，其支持英特尔^®VT-x、英特尔^®SR-IOV、英特尔^®VMDQ等技术，对于虚拟化场景亦有很好的支持。英特尔凌动^®P5000拥有丰富的I/O接口，有效提高了产品的可扩展性。

英特尔凌动^®P5000集成英特尔^®QAT、英特尔^®动态负载均衡（英特尔^®DLB）等多种网络及加速器模块，其中第三代英特尔^®QAT加速器在各种网络安全加解密场景中有十分广泛的应用，英特尔^®DLB加速器能够很好地解决动态负载、限速等应用难题。这些网络及加速器模块通过内部总线的方式挂接到处理器的核心单元上，各个加速器模块在CPU中均以PCIe设备的形式呈现。

微信截图_20230919110314.png

图 2.英特尔凌动® P5000 关键特性

英特尔^®QAT加速器提供加密和压缩加速功能，可以有效提高整个设备或产品的性能和效率。英特尔凌动^®P5000集成了第三代英特尔^®QAT加速器。QAT的加密功能广泛应用于网络安全(IPsec、SSL/TLS)、重复数据删除哈希、加密存储和安全密钥的硬件保护。QAT的压缩解压缩功能广泛应用于大数据加速、广域网加速、存储/数据库压缩、http压缩、文件系统等场景。安全和压缩加速功能主要分为三大类：对称加解密(Bulk Crypto/Symmetric)、非对称加解密(Public Key Engine/Asymmetric)、压缩解压缩(Compression/Decompression)。

英特尔^®QAT加速器的加解密通过PMD提供给DPDK应用程序，将PMD注册给对应的cryptodev接口来实现。PMD使用通用的QAT驱动程序代码管理QAT PCI设备。它们还依赖于平台上安装的QAT内核驱动程序，使用过程中需要创建QAT设备的VF，并将VF使用vﬁo/igb_uio驱动来绑定。易科腾高性能国密IPSec协议栈支持采用英特尔^®QAT加速器，来处理国密算法的加密负载。

微信截图_20230919110325.png

图 3.基于英特尔® QAT 和 DPDK 的国密加速框架

在验证中，易科腾在加密后端分别使用OpenSSL和QAT，并采用相同的组网环境、相同的加密套件对性能数据进行对比。在具体测试中，易科腾在CPE1与CPE2之间创建64条IPSec隧道，使用的加密套件是SM4-SM3，思博伦测试仪构建双向各512条流，报文大小512/256字节使用2544套件进行性能测试。

测试数据如图所示，相对于OpenSSL，使用QAT能够将网络性能提升约6.61倍，达到业内先进的水平。

微信截图_20230919110333.png

图 4. OpenSSL/QAT 性能对比

基于英特尔凌动^®P5000网络SoC处理器平台的易科腾国密 SD-WAN 方案通过采用SoC集成的英特尔^®QAT 进行加密处理，显著提升了性能表现，为用户带来了如下收益：

·提升了链路加密性能，能够有效应对国密等算法带来的算力挑战，通过将负载卸载到 QAT 加密器，降低 CPU 占用率，减少对于其他业务带来的负面影响。

·实现了单芯片的处理架构，不再需要额外的硬件加速器件支持国密算法，在显著降低整机硬件成本的同时，助力国密算法在运营商网络和企业网络的普及

·软件驱动提供完整、成熟、友好的应用开发接口，支持 DPDK、OpenSSL 等开源软件，具有易开发、易配置等特性，有助于降低 SD-WAN 支持国密新功能的开发门槛。