Netscreen的岁月 之十 世界第一的防火墙芯片

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




NS-1000在市场上的一哥地位让管理层看到高端产品的重要性,然而机架式并行处理的软件复杂度也让高手们挠头。

当时网络处理器很热门,作为硬件组的头,我对Intel的IXP系列NPU很感兴趣。Intel的网络处理器部门对Netscreen也很重视,甚至连BU的总经理都亲自来拜访邓锋。要是邓锋还在Intel,恐怕和他都说不上话。

老毛和Raymond支持用芯片来实现快速流转发。确实用芯片来实现,会规避大量的微代码编程,而且性能极佳。不过事情都有另一面,芯片一旦设计死了,就没法改了。

经过一番争吵,邓锋最终决定采用第二种方案。老毛作为系统架构师,首先承担了芯片架构的设计任务。让软件工程师来设计芯片架构,听起来匪夷所思,然而却很有道理。只有软件人员才知道需要做什么,怎么做。后来有一家芯片公司,也想抄袭Netscreen的成功,自以为自己芯片设计牛逼,做防火墙小菜一碟,结果做出来的东西一直没有被市场接受,只好关门大吉。

老毛确实是技术天才,即使是当初自命不凡的我,也心服口服。他必须把所有软件flow的处理流程全部写清楚,而且由于芯片存储器和寄存器的限制,数据结构也必须调整。举例说,我们在软件处理的时候,通常不会把几个变量并在一个32位整数里,因为这样又慢又容易出错;然而在芯片里,就很有道理了,因为硬件很容易把位数取出来,而且由于内存的限制,也必须这样做。这些都要一次做对,对于习惯于靠升级版本来解bug的软件工程师来说,的确不容易。

这次芯片的复杂度大为提高,过去依靠FPGA固化的方法行不通了,只能采用定制芯片。但是硅谷工程师人太贵,而且Netscreen的ASIC设计小组根本没有后端的设计力量,最后决定用standard cell的方法。Standard cell技术有点类似FPGA,但是底层是更基础的逻辑门结构,而不是FPGA那种复杂的逻辑单元。这样芯片的定制能力大为提高,不过要依赖晶圆工厂的后端处理能力。

Raymond约来TSMC, Toshiba, Fujitsu等多家厂商,邓锋又拿出三寸不烂之舌忽悠了一圈。上次做Neptune时用的是Fujitsu,许诺人家一年10万片,结果几千片都不到,玩不转了。TSMC是台湾人,太精,也不好糊弄。最后Toshiba大概是新换了领导,急于拿业绩,通常两百万美金的活三十万就干了。

芯片基本上是一次流片成功,大概邓锋他们也没有预料到会这么顺利,这时候还没有承载这颗芯片的硬件平台。邓锋跑到我的工位,在旁边的白板上画了个架构图,这就是后来的NS-5200和NS-5400了。领导发话了,兄弟们什么也别嘀咕了,干吧。产品很快出来了,不过没有远虑必有近忧,NS-5400就靠一颗PowerPC处理器,要带3颗大芯片,显然心有余而力不足;而处理器与Saturn的通道还是标准的PCI总线,芯片设计的时候图省事,也没有设计Master模式,得靠CPU一遍遍查询。结果防火墙的一个最重要的指标每秒新建连接只有两万,还不如低端的NS-500。

老毛虽然能干,但是第一次流片难免还是有些bug的。不过现在顾不得那么多了,因为公司就要上市了,得来个大个的盒子冲冲。

—————————- 版权所有Hillstone 老童 欢迎转载 —————————-

(4个打分, 平均:4.75 / 5)

雁过留声

“Netscreen的岁月 之十 世界第一的防火墙芯片”有9个回复

  1. westermann 于 2011-10-03 6:44 下午

    呼唤首席华丽登场
    话说富士通的坏品率很高的

  2. 陈怀临 于 2011-10-03 8:18 下午

    我与童总不在一个层面上。。。他说的这些项目,我都是下面的小兵而已,不足挂齿的。他笔下的这些人都是Netscreeen的天骄。。。To be honest,童总为NetScreen等于当年的韩信,或者四野的林总。。。[当然,结局比林总好。毕竟邓总不是毛总。。。]

  3. Somebody 于 2011-10-03 10:00 下午

    @2楼,应该是: 当年“我与童总不在一个层面上“…..

  4. 理客 于 2011-10-04 12:22 上午

    软件设计师负责IP ASIC设计是非常有见地的做法,虽然需要硬件工程师配合,否则设计出来的芯片缺失在市场技术应用上容易会出一些难以修补的基本特性级问题
    总线尤其是带宽的设计也非常需求工程经验丰富的大架构师把握,涉及技术和成本等综合问题。高带宽虽然好,但成本怎么办?你可以设计一个技术上非常好的产品,但你有Jobs的营销水平卖上超好的价格吗?而选择和设计时成本匹配的总线,结果可能是当产品批量上市(一般要2年左右)后,发现总线的瓶颈产生了大问题,而此时高带宽总线的成本已经按照摩尔定律降为原来的1/4,成本已经完全可以接受,并且一些对手的新产品已经采用,即使系统设计做得再好,对于复杂的总线升级,投入也是非常大的,所以这种情况,应该提前采用高带宽总线的前瞻性设计,或者叫future-proof

  5. PPC 于 2011-10-05 8:01 上午

    首席绝对过谦 首席的position可能低于那些总监 但是技术水平绝不比他们逊色
    NS的几个产品和NSOS 即使放回当年看 说实话 也是有些幼稚 2000年左右华为数通的平台就已经比NSOS要强大多了

  6. PPC 于 2011-10-05 8:11 上午

    好像NS5000现在还在发货呢
    据说七八年以后 NS5000的BUG还不断,
    跟项目初期做的太匆忙 被J收购以后主创人员撤的太匆忙 有很大关系吧
    我一直在想 如果NS的那些ASIC产品的原创人员都在并且可以继续在ASIC这个方向上做5年的话 那么 基于ASIC做包处理的产品 能不能摆脱BUG多的宿命?

  7. 路过 于 2011-10-06 12:55 上午

    楼上,拍马不能这么过份,你又怎么肯定这些个Bug又不是首席制造的呢?首席可是声称是NSOS大贡献的呕。

  8. SRX 于 2011-10-06 8:15 上午

    不管怎样 netscreen是成功的

  9. anonymous 于 2011-10-06 12:56 下午

    楼上华为粉丝让人恶心。你不知道到现在华为内网自己用的就是netscreen防火墙吗?2000年华为的数通平台恐怕很烂吧,据说自己办事处VPN都连不起来。