x86平臺網絡應用效能實測

雖然一些業內人士已經看到x86平臺的發展，認為其將在網絡領域有所斬獲，但對于普通用戶來說，再次接受x86平臺有著很大的難度。一方面，這個曾經不太適合做網絡業務處理的硬件平臺為許多用戶留下過不好的應用體驗；另一方面，一些廠商長期對x86架構并不客觀的宣導，也加深了其在用戶心中的負面印象。

先入為主的誤會

我們在之前的調研中發現，抱有這種看法的用戶并不在少數。北京市某學校信息中心負責人李老師就是一個典型代表，雖然他在目前進行的流控產品選型中比較中意連續兩年獲得《計算機世界》年度產品獎的Panabit應用層流量管理系統，卻因其運行在x86平臺上而猶豫不決。

“我們一直用著一臺x86架構的UTM產品，效果越來越不好。”李老師介紹說，“以前網絡負載不大時，設備運行沒有任何問題；現在越來越多的教學、科研任務要通過網絡進行，學校網絡出口的百兆帶寬經常被占滿，UTM運行也變得不穩定。”令人沒有想到的是，他緊接著又說出一個令我們很難理解的結論，“看來，x86平臺也就是這個樣子了。”

x86架構與網絡運行不穩定有直接關系？實驗室工程師習慣以量化的數據去看待問題，自然無法認同李老師的推斷。在他的協助下，我們走進該校信息中心，對網絡運行情況進行了實地考察。經過分析，我們發現造成學校網絡出口擁塞的主要原因大致有三：其一是在線課件播放系統產生的數據流量，由于學生分布在不同校區，遠程教學會在上課時段對網絡造成比較大的壓力。其二是學校周邊視頻監控的數據上傳流量，根據教委要求，為加強校園安全工作，各學校的視頻監控數據需實時匯總到教委信息中心，以便對突發事件做到事前預警、事中監控及事后取證。李老師所在的學校需要實時上傳4路監控視頻，這也是該校網絡上行帶寬占用率居高不下的原因之一。其三則是P2P、在線視頻等非業務應用產生的流量，此類應用會無限制地占用網絡帶寬，是每一個網絡管理員都非常頭疼的問題。我們在分析報表中看到，以迅雷為代表的下載應用在網絡使用高峰期一度搶占了70%左右的帶寬，嚴重影響了該校教學工作的正常開展。

根據分析得到的數據，我們建議李老師對UTM上的安全策略進行了調整，不再對遠程教學與視頻監控相關的流量進行應用層面的安全防護。由于它們都是可信流量，修改過的訪問控制策略非但不會造成安全隱患，還能有效降低UTM的負載。很快，我們看到設備的CPU占用率顯著下降，內網用戶訪問網絡的延遲也回到相對合理的水平，x86“不行”的誤會也就此得到解除。但對于非業務流量的控制需求，該校主出口使用的這臺國外某品牌的UTM產品并沒有足夠的本土化保障，對國內主流應用的支持力度相對薄弱，無法進行有效的控制。可以說，流控產品的部署勢在必行。

標前測試：大放異彩

雖然解決了UTM運行不穩定的問題，李老師所在的信息中心管理團隊還是對x86架構產品存有疑慮，不愿直接將設備接入實際環境進行測試。這一點大家都能理解，畢竟學校網絡承擔著大量的教學、科研任務，萬一出現意外，后果將不堪設想。在我們看來，李老師所在團隊目前所需要的是一次客觀、嚴謹的標前測試。實際上，這一環節已經被國內越來越多的用戶所認可，因為是否選購產品，或者是否再接入實際環境測試，都可以用標前測試得到的量化數據作為決策依據。

在實驗室合作伙伴思博倫通信的支持下，我們與李老師所在團隊合作，于近日測試了他們關注的Panabit應用層流量管理系統。

該產品運行在x86平臺上，擁有優秀的協議識別率及性能。商務模式方面，Panabit可以通過軟件授權或服務的形式進行交付，給用戶自行選擇硬件的自由，還可以節省大量開支。李老師這次帶來的硬件，就是供應商基于該校網絡實際情況，推薦的一款帶有6個千兆電口的基于Atom N270的x86網絡通信硬件平臺。

Atom N270？實驗室工程師們感到難以置信。要知道，流控引擎是在DPI（Deep Packet Inspection，深度包檢測）的基礎上結合多種技術發展而來，屬于處理模型相對復雜的一類業務應用，對硬件平臺的計算能力有著相當高的要求。而Atom N270是什么級別的產品？放在上網本里也算是兩代之前的配置了，它真能滿足百兆級別應用層流量管理的需求？

諸多疑問化做動力，促使我們立即開始了測試。被測設備預裝了Panabit 10.10專業版，開啟了應用層流量分析，作用于4個千兆口綁定成的兩組橋。根據聯合制定的測試方案，我們首先對帶業務情況下的吞吐量、延遲進行了測試。雖然常用的UDP測試流量對于IPS、WAF等應用層安全設備來說意義不大，對流控產品測試卻有著十分現實的意義——據統計，目前互聯網中占流量比例最大的是在線視頻應用（在教育、網吧等行業中比例數字更為驚人），它們其中大多數都使用了UDP傳輸，且數據包偏小。測試結果令人震驚，當我們單獨測試1組橋的性能時，該平臺64Byte幀的吞吐量達到41%，也就是800多兆的處理能力。當幀長逐漸增加時，吞吐量也呈線性增長，并在1518Byte時達到線速。此時最大的平均延遲也僅為68微秒。而在同時對2組橋的測試中，設備的整體吞吐量又有所增加，在256Byte時就已擁有接近2G的性能。我們也利用全部4個接口測試了該產品的鏈接處理能力，當鏈接的Timeout時間設為0時，Avalanche測得的穩定值在90000左右，峰值為90014CPS（HTTP）。這一次的數據體現出了設備的極限性能，根據以往經驗，其表現完全可以勝任普通千兆接入環境中的應用。

有了這些測試數據，老師們基本放下心來，將設備接入實際環境中進行了長時間的測試。對于流控設備上線后的效果，李老師給予了充分的肯定：“業務流量控制住了，學校網絡出口的流量也就下來了，UTM的負載就更小了。”而在穩定性方面，他也坦言沒有遇到過任何異常情況，不過我們仍然建議做更長時間的測試，以便進一步考察x86網絡通信硬件平臺長期不間斷運行的效果。

后記

廣闊天地 大有作為

從測試結果中可以看出，x86平臺的網絡業務處理能力確實有了長足的進步。目前，在英特爾面向網絡應用的嵌入式產品線中，Atom N270是最低端的一款產品，都有著如此強大的處理能力。隨著網絡通信和信息安全業務的關注點逐步向應用層遷移，x86平臺的優勢將會越來越明顯。當然，現有基于x86架構的產品仍不足以在高端市場和基于專用網絡通信處理平臺的產品競爭，但在其他諸多領域內，x86已經表現出了一定的競爭力。對開源系統良好的支持、海量的軟件資源、較低的開發難度、價格優勢和易獲取性，這些都是其取勝的砝碼。是否有點眼熟？沒錯，如果哪天基于x86架構的網絡通信和信息安全產品（至少是中低端）開始山寨化，大可不必感到奇怪。