1 主板基礎(chǔ)
主板又叫主機(jī)板(mainboard)璧眠、系統(tǒng)板(systemboard)或母板(motherboard);它安裝在機(jī)箱內(nèi)读虏,是計(jì)算機(jī)最基本的也是最重要的部件之一责静,一般為矩形電路板,上面安裝了組成計(jì)算機(jī)的主要電路系統(tǒng)盖桥,所有的配件和外設(shè)都直接或通過線路與其相連灾螃,可以說主板是計(jì)算機(jī)系統(tǒng)的中樞神經(jīng)。
主板上的功能原件:
①芯片組
芯片組由北橋和南橋組成揩徊,它是主板的中樞腰鬼,不同芯片組廠商生產(chǎn)的南/北橋芯片不同。
北橋芯片是主板上離CPU最近的一塊芯片塑荒,負(fù)責(zé)與CPU的聯(lián)系熄赡,并控制內(nèi)存、AGP齿税、PCI數(shù)據(jù)在北橋內(nèi)部傳輸彼硫。由于該芯片一直安放在主板的上部而被命名為北橋芯片。Intel公司從815芯片組開始就已經(jīng)放棄了南/北橋這種說法偎窘,Intel的MCH相當(dāng)于北橋芯片乌助,它是內(nèi)存控制器中心,負(fù)責(zé)連接CPU陌知、顯卡總線和內(nèi)存他托。北橋芯片組工作時(shí)發(fā)熱量很大,通常配有散熱器仆葡,一些高端主板產(chǎn)品還配有風(fēng)扇或散熱管赏参。
相對于北橋志笼,南橋芯片位于主板的下部。Intel的ICH芯片相當(dāng)于南橋芯片把篓,它是輸入/輸出控制器中心纫溃,負(fù)責(zé)連接PCI總線、IDE/SATA設(shè)備和I/O設(shè)備等韧掩。
②BIOS芯片
BIOS是計(jì)算機(jī)開機(jī)所執(zhí)行的第一個(gè)程序紊浩,負(fù)責(zé)自檢(POST)、載入操作系統(tǒng)和設(shè)置CMOS等工作疗锐。為了適應(yīng)不斷出現(xiàn)的新硬件的需求坊谁,BIOS也必須適時(shí)更新,所以主板普遍使用Flash ROM存儲BIOS滑臊,讓用戶可以直接使用廠商提供的升級程序來修改內(nèi)容口芍。
計(jì)算機(jī)自身有許多信息需要保存和更新,如日期雇卷、時(shí)間鬓椭、磁盤數(shù)量與型號、內(nèi)存數(shù)量等关划,系統(tǒng)將這些信息存儲在某個(gè)可讀/寫RAM芯片上小染,而這個(gè)芯片是以CMOS半導(dǎo)體生產(chǎn)的,因此便稱為“CMOS”贮折。
③SATA控制芯片
現(xiàn)在雖然很多南橋芯片都直接提供了對SATA硬盤的支持氧映,但是還有一些主板的南橋并不支持SATA。因此脱货,這些主板往往會通過集成第三方芯片來提供SATA接口。SATA控制芯片能提供多個(gè)SATA接口律姨,具有RAID功能的SATA控制器可把幾個(gè)硬盤組成磁盤陣列以提高系統(tǒng)性能和穩(wěn)定性振峻。
④網(wǎng)絡(luò)控制芯片
網(wǎng)卡已經(jīng)成為主板的“標(biāo)配”組件,目前新型主板集成的網(wǎng)卡芯片幾乎都是千兆位網(wǎng)卡或100/1000 Mb/s自適應(yīng)網(wǎng)卡择份。Intel芯片組的主板多采用Intel公司自己的網(wǎng)卡芯片扣孟,其他主板則多采用Realtek公司或Marvell公司的芯片。
⑤音頻控制芯片
大部分主板都集成了聲卡荣赶,而集成聲卡少不了音頻控制芯片凤价,因此主板上一般都集成了一塊音頻控制芯片,較新的芯片支持HD Audio規(guī)范拔创。
2 工業(yè)主板的特點(diǎn)
工控防火墻的硬件架構(gòu)選擇首先需要滿足工業(yè)環(huán)境對硬件的要求利诺。一般都是無風(fēng)扇嵌入式工控機(jī)或?qū)iT定制的計(jì)算機(jī)。對于嵌入式的系統(tǒng)剩燥,其是計(jì)算機(jī)技術(shù)慢逾、半導(dǎo)體技術(shù)、電子技術(shù)和工業(yè)行業(yè)具體應(yīng)用相結(jié)合的產(chǎn)物,和我們通常使用的通用計(jì)算機(jī)相比侣滩,他們體積小口注、低功耗、集成度和可靠性高君珠,電磁兼容性好寝志,抗干擾能力比較強(qiáng),能在惡劣的環(huán)境下使用策添,即使死機(jī)也能在很短的時(shí)間重新啟動材部。因此根據(jù)工業(yè)環(huán)境的硬件需求,工業(yè)防火墻的硬件一般采用無風(fēng)扇嵌入式工控機(jī)來作為承載平臺舰攒,然后再設(shè)計(jì)的時(shí)候通過調(diào)研提出相應(yīng)的硬件組合需求败富,一般地,這種無風(fēng)扇嵌入式工控機(jī)都是采用一個(gè)工業(yè)主板外加一個(gè)殼體組裝起來的摩窃。
工業(yè)主板從規(guī)格尺寸兽叮、設(shè)計(jì),用料猾愿,生產(chǎn)鹦聪,制造,市場規(guī)模都是針對工業(yè)市場而生蒂秘,保證工業(yè)系統(tǒng)的正常泽本,高可靠性。目前工業(yè)主板為了適應(yīng)多種應(yīng)用環(huán)境姻僧,采用了多種尺寸規(guī)格的主板规丽。包括ATX、Micro-ATX撇贺、LPX赌莺、POS、PICMG松嘶、ETX艘狭、CPCI、PC104等各種規(guī)格翠订。在設(shè)計(jì)工業(yè)防火墻的時(shí)候巢音,根據(jù)產(chǎn)品設(shè)計(jì)的需要合理選擇不同規(guī)格的工業(yè)主板,并且搭配具有工業(yè)以太網(wǎng)口以及各種工業(yè)總線接口轉(zhuǎn)換模塊進(jìn)行合理布局尽超。工業(yè)主板選料會選用經(jīng)過長時(shí)間官撼,高要求驗(yàn)證元器件,用以保證產(chǎn)品在惡劣條件下高可靠性要求橙弱。比如一些如在服務(wù)器歧寺,以及高端商業(yè)主板才出現(xiàn)的固態(tài)電容燥狰,封閉電感等。因此工業(yè)主板可以達(dá)到一個(gè)長達(dá)5年甚至10年的生命周期斜筐。
整個(gè)工業(yè)主板由核心板和底板組成龙致,核心板主要包括:CPU、內(nèi)存顷链、Flash目代、標(biāo)準(zhǔn)的SODIMM接口、電源監(jiān)控及復(fù)位電路嗤练、時(shí)鐘驅(qū)動電路以及與底板相連的連接器榛了。底板主要包括:100M./1000M網(wǎng)絡(luò)接口電路、數(shù)據(jù)串口電路煞抬、BDM調(diào)試接口電路霜大、系統(tǒng)供電電路、實(shí)現(xiàn)控制和監(jiān)控功能的RS232接口電路和與核心板相連的連接器革答。還可以選擇添加組合一些譬如遠(yuǎn)程連接管理模塊战坤、遠(yuǎn)程無人值守的自動開關(guān)機(jī)功能以及通過內(nèi)嵌的IPMB,SMNP模塊残拐,實(shí)現(xiàn)系統(tǒng)實(shí)時(shí)運(yùn)行信息的管理途茫、記錄、發(fā)送功能等等溪食。最后做一些安全性設(shè)計(jì)囊卜,比如所有電阻選擇晶圓電阻,電源入口用本安的安全柵進(jìn)行隔離错沃,PCB表面圖三防漆栅组,硬件電路板放塵、防潮枢析、防靜電等笑窜。目前這些主板可以選擇自己開發(fā),也可以選擇第三方定制登疗,比如臺灣的研華科技,深圳的研祥智能等嫌蚤。
3 工業(yè)防火墻主板優(yōu)化
任何防火墻的基本技術(shù)功能都是過濾報(bào)文辐益。
防火墻檢查其接收的每個(gè)數(shù)據(jù)包,以確定數(shù)據(jù)包是否對應(yīng)于流量模式的所需模板脱吱。防火墻然后過濾(丟棄)或轉(zhuǎn)發(fā)與這些模板匹配的數(shù)據(jù)包智政。這些模板以規(guī)則的形式進(jìn)行建模。在工控防火墻中箱蝠,有針對已知協(xié)議提前建模好的規(guī)則模板续捂,也有后期自動學(xué)習(xí)進(jìn)行建模的規(guī)則模板垦垂。由于工控防火墻處理數(shù)據(jù)包是一個(gè)一個(gè)處理,包括數(shù)據(jù)包的校驗(yàn)牙瓢,數(shù)據(jù)包每一層包頭的處理劫拗,所以數(shù)據(jù)包越小,到達(dá)時(shí)間就越短矾克,服務(wù)器處理數(shù)據(jù)包要求就越高页慷。比如64B的小包,如果處理數(shù)據(jù)包要達(dá)到線速胁附,那么就要求防火墻67.20納秒就要處理完一個(gè)包酒繁,隨著物理線路速率越大,處理時(shí)間就要求越短控妻,這也就要求服務(wù)器硬件和軟件都要相應(yīng)的發(fā)展和升級來應(yīng)對越來越多的數(shù)據(jù)包處理需求州袒。并且工業(yè)環(huán)境中各家設(shè)備的不同以及使用的工業(yè)協(xié)議不同,工控防火墻需要同時(shí)在工業(yè)網(wǎng)絡(luò)流量中同時(shí)并行處理多種工業(yè)協(xié)議報(bào)文弓候。同時(shí)郎哭,規(guī)則庫隨著時(shí)間的增加規(guī)則條數(shù)也在持續(xù)增加,這些都是需要防火墻處理性能的支撐弓叛,保障網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度與模式匹配的檢測速度滿足工業(yè)網(wǎng)絡(luò)的實(shí)時(shí)性需求彰居。因此,為了考慮工控防火墻對數(shù)據(jù)包的處理性能以及實(shí)時(shí)性要求撰筷,除了在操作系統(tǒng)層面進(jìn)行優(yōu)化設(shè)計(jì)外陈惰,重點(diǎn)考慮在硬件架構(gòu)設(shè)計(jì)層面利用硬件加速工控防火墻的處理性能。
一般認(rèn)為服務(wù)器處理能力很強(qiáng)毕籽,不是數(shù)據(jù)包處理的瓶頸抬闯,而通過物理線路能夠傳送數(shù)據(jù)包的最大速率,即線速(從100Mpbs关筒、1Gbpbs溶握、10Gbpbs、25Gbpbs蒸播、40Gbpbs睡榆,甚至到100Gpbs)才是網(wǎng)絡(luò)性能的瓶頸點(diǎn)。當(dāng)數(shù)據(jù)包到達(dá)防火墻之后袍榆,防火墻需要對數(shù)據(jù)包進(jìn)行拆包-解析-匹配-過濾-封包-轉(zhuǎn)發(fā)的動作胀屿。這種動作無疑是整個(gè)工業(yè)網(wǎng)絡(luò)線路上的最低速的一環(huán)。
工控防火墻的處理架構(gòu)如何能夠更快的處理數(shù)據(jù)包包雀?處理架構(gòu)是什么宿崭?這里傾向于理解為“數(shù)據(jù)從網(wǎng)卡接受數(shù)據(jù)并通過防火墻內(nèi)部運(yùn)作之后再通過網(wǎng)卡傳輸出去”的這個(gè)路徑稱之為處理架構(gòu)。
從工控防火墻本身架構(gòu)來看才写,這個(gè)處理架構(gòu)包含了:CPU葡兑、RAM奖蔓、主板總線(南北橋或IO橋、PICE)讹堤、網(wǎng)卡吆鹤、網(wǎng)卡控制器。
先來說下網(wǎng)卡蜕劝,網(wǎng)卡作為這個(gè)架構(gòu)的第一道門戶檀头,負(fù)責(zé)數(shù)據(jù)包的發(fā)送和接收。
發(fā)送流程如下:
①CPU通知網(wǎng)卡控制器發(fā)送內(nèi)存中的數(shù)據(jù)岖沛;
②網(wǎng)卡控制器使用DMA將內(nèi)存中的數(shù)據(jù)拷貝到網(wǎng)卡本地內(nèi)存的發(fā)送隊(duì)列暑始;
③網(wǎng)卡的MAC單元等待數(shù)據(jù)拷貝完成,準(zhǔn)備發(fā)送婴削;
④網(wǎng)卡MAC單元通過PHY(Port Physical Layer)單元將數(shù)據(jù)的數(shù)字信號轉(zhuǎn)換為對應(yīng)的電信號或光信號從線纜發(fā)送出去廊镜;
⑤網(wǎng)卡控制器通知CPU數(shù)據(jù)發(fā)送完成。
其接收流程如下:
①網(wǎng)卡的PHY單元接收到數(shù)據(jù)包信號唉俗,將其轉(zhuǎn)換為數(shù)字信號嗤朴;
②網(wǎng)卡的MAC單元將數(shù)據(jù)包存儲在本地內(nèi)存的接收隊(duì)列上;
③網(wǎng)卡控制器使用DMA將數(shù)據(jù)拷貝到系統(tǒng)內(nèi)存上虫溜;
④網(wǎng)卡控制器以中斷方式告訴CPU數(shù)據(jù)包已放在了指定的內(nèi)存空間雹姊。
那么網(wǎng)卡位于體系中的位置就顯得十分重要,決定著數(shù)據(jù)包傳輸路徑的長短衡楞。網(wǎng)卡最開始集成在主板通過南橋連接吱雏,后來網(wǎng)卡插在PCI插槽上,插在PCI-E插槽上瘾境,數(shù)據(jù)包進(jìn)入網(wǎng)卡后歧杏,需要經(jīng)過南橋(主要管理IO設(shè)備),PCI/PCI-E迷守,北橋(主要管理內(nèi)存)犬绒,內(nèi)存和CPU的處理。網(wǎng)卡需要頻繁訪問內(nèi)存存取數(shù)據(jù)包兑凿,CPU處理數(shù)據(jù)包需要頻繁訪問內(nèi)存凯力,此時(shí)北橋是瓶頸,當(dāng)CPU個(gè)數(shù)增加時(shí)礼华,單個(gè)內(nèi)存控制器也是瓶頸沮协。為了解決這些瓶頸,就出現(xiàn)了NUMA(Non-UniformMemory Architecture)架構(gòu)卓嫂,每個(gè)CPU都有自己的內(nèi)存(將北橋功能集成到了CPU),每個(gè)CPU也有直接管理的PCI-E插槽聘殖,低速設(shè)備比如SATA/SAS晨雳,USB等被PCH,Platform Controller Hub(替換了南橋)管理行瑞。多核CPU以及NUMA架構(gòu)使得數(shù)據(jù)包處理可以以幾乎相同處理性能橫向擴(kuò)展,加上網(wǎng)卡的多隊(duì)列機(jī)制餐禁,可以實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的并發(fā)處理血久。
同時(shí),在這個(gè)環(huán)節(jié)中帮非,隨著網(wǎng)卡的網(wǎng)卡控制器(網(wǎng)卡里面的控制器)的更新發(fā)展氧吐,也對處理架構(gòu)的性能提升有著重要的影響。目前的網(wǎng)卡控制器都是ASIC(專用集成電路)芯片末盔,該芯片固化了網(wǎng)絡(luò)的功能筑舅,速度快,設(shè)計(jì)完成后陨舱,成本低翠拣。但不可編程。現(xiàn)在針對FPGA的網(wǎng)卡控制器越來越流行游盲,F(xiàn)PGA的網(wǎng)卡控制器的好處就是可編程性误墓,具有軟件定義網(wǎng)卡的特質(zhì),因此是未來發(fā)展的方向益缎。ASIC芯片控制器的發(fā)展使得網(wǎng)卡的功能越來越強(qiáng)大谜慌,之前很多數(shù)據(jù)包處理的功能都是CPU來完成,占用大量CPU時(shí)間莺奔,很多重復(fù)簡單的工作被網(wǎng)卡控制器來處理大大減輕了CPU的負(fù)擔(dān)欣范,這就是網(wǎng)卡Offload功能。網(wǎng)卡的Offload功能會接管原先CPU的部分網(wǎng)絡(luò)處理功能弊仪,比如將TCP熙卡,UDP數(shù)據(jù)包的checksum計(jì)算和校驗(yàn)交由網(wǎng)卡處理;將數(shù)據(jù)包中發(fā)送的時(shí)候?qū)⒋髷?shù)據(jù)包的切分為小數(shù)據(jù)的封裝交由網(wǎng)卡處理励饵;同時(shí)將接收到的小包合成為一個(gè)大包再給到應(yīng)用程序驳癌,這樣既減少了CPU的中斷,也減少了CPU處理大量包頭的負(fù)擔(dān)役听;除此之外颓鲜,DMA將內(nèi)存中的數(shù)據(jù)包拷貝到網(wǎng)卡內(nèi)存時(shí),由于內(nèi)存中的數(shù)據(jù)包內(nèi)容在物理內(nèi)存上是分散存儲的典予,如果沒有Offload功能甜滨,DMA沒法直接拷貝,需要系統(tǒng)kernel拷貝一次數(shù)據(jù)讓地址連續(xù)瘤袖,有了Offload功能衣摩,就可以少一次內(nèi)存拷貝。
因此可以得出性能提升的第一個(gè)解決方案:NUMA架構(gòu)+PCIE網(wǎng)卡直連捂敌!這種方案也就是多核并行處理艾扮〖惹伲基于這種方案還可以優(yōu)化的地方在于,網(wǎng)卡的每個(gè)隊(duì)列會對應(yīng)一個(gè)CPU來處理數(shù)據(jù)包到達(dá)的軟中斷泡嘴,合理的將網(wǎng)卡隊(duì)列綁定到指定的CPU能更好的并發(fā)處理數(shù)據(jù)包甫恩,比如將網(wǎng)卡隊(duì)列綁定到離網(wǎng)卡近的CPU上。
這種方案對于處理架構(gòu)的性能提升是巨大的酌予,但是成本也是最高的磺箕。如果考慮到工業(yè)環(huán)境的硬件需求,這么多的X86 CPU設(shè)計(jì)出來的產(chǎn)品似乎也很難去適應(yīng)工業(yè)環(huán)境的嚴(yán)苛條件抛虫。而基于嵌入式的工業(yè)主板來說松靡,集成那么多的X86 CPU無風(fēng)扇顯然又是個(gè)悖論。并且網(wǎng)卡的處理機(jī)制是數(shù)據(jù)從網(wǎng)卡到CPU之間的傳輸依靠“中斷”實(shí)現(xiàn)莱褒,當(dāng)高速網(wǎng)絡(luò)流量經(jīng)過時(shí)击困,頻繁的“中斷”控制導(dǎo)致CPU?占用率迅速上升,防火墻吞吐速率受到嚴(yán)重影響广凸。這也是現(xiàn)今基于X86架構(gòu)的工控防火墻性能提升存在困難的原因阅茶。
