實(shí)實(shí)在在的100G

毫無疑問，我們已經(jīng)步入了云時(shí)代。放眼神州大地，一座座數(shù)據(jù)中心如雨后春筍般拔地而起，服務(wù)器數(shù)量與網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的規(guī)模屢創(chuàng)新高；互聯(lián)網(wǎng)建設(shè)也在高速發(fā)展，骨干與接入帶寬的不斷提升，為用戶業(yè)務(wù)帶來了日新月異的應(yīng)用體驗(yàn)；而3G與無線技術(shù)的普及，又讓移動(dòng)終端成為后PC時(shí)代真正的寵兒，正在掀開移動(dòng)互聯(lián)的新篇章。

從底層網(wǎng)絡(luò)的角度看，通信技術(shù)的發(fā)展構(gòu)建了多個(gè)維度的高速通路，讓一切變?yōu)楝F(xiàn)實(shí)。同樣，用戶也必須借助不斷創(chuàng)新的安全技術(shù)，建立與網(wǎng)絡(luò)規(guī)模相匹配的防護(hù)體系，為業(yè)務(wù)保駕護(hù)航。經(jīng)過國(guó)內(nèi)外安全廠商的不懈努力，目前頂級(jí)防火墻的處理能力已經(jīng)達(dá)到百G級(jí)別。這并不是個(gè)宣傳意義大于實(shí)際意義的噱頭，因?yàn)橛脩舻男枨笠呀?jīng)迫在眉睫。在今年國(guó)內(nèi)運(yùn)營(yíng)商的安全產(chǎn)品招標(biāo)中，對(duì)高端防火墻的性能要求達(dá)到了40G#12316;80G，距離部署百G產(chǎn)品的日子已不再遙遠(yuǎn)。針對(duì)這一趨勢(shì)，華為賽門鐵克也于近期推出了全新的USG9500系列產(chǎn)品，再次升級(jí)了高端產(chǎn)品線。我們也在第一時(shí)間對(duì)USG9560這款產(chǎn)品進(jìn)行了測(cè)試，親身體會(huì)了新一代百G產(chǎn)品帶來的與眾不同的應(yīng)用體驗(yàn)，在此與讀者朋友們分享。

規(guī)格領(lǐng)先 功能全面

華為賽門鐵克USG9500系列包含USG9520、USG9560、USG9580三款產(chǎn)品，均基于華為高端路由硬件平臺(tái)打造。設(shè)備中所有部件均為冗余設(shè)計(jì)，其中單板、電源模塊和風(fēng)扇支持熱插拔，符合電信級(jí)別的高可靠性要求。三款產(chǎn)品的區(qū)別主要體現(xiàn)在擴(kuò)展槽位的數(shù)量與整機(jī)性能方面，最高端的USG9580提供了多達(dá)16個(gè)接口/業(yè)務(wù)擴(kuò)展槽位，標(biāo)稱具有2.56T交換容量及240G接口容量，是新系列中的旗艦產(chǎn)品；最低端的USG9520則針對(duì)主流的萬兆及多千兆接入環(huán)境設(shè)計(jì)，提供3個(gè)接口/業(yè)務(wù)擴(kuò)展槽位，標(biāo)稱最大40G的整機(jī)處理能力，具有靈活的擴(kuò)展性和相對(duì)較高的性價(jià)比。我們測(cè)試的這臺(tái)中端定位的USG9560則需占用14U的機(jī)架空間，提供了11個(gè)擴(kuò)展槽位，其中3個(gè)用于安裝主控交換（SRU）及交換引擎（SFU）。SRU主要負(fù)責(zé)設(shè)備管理、系統(tǒng)監(jiān)控與調(diào)度、路由計(jì)算等工作，同時(shí)內(nèi)置一個(gè)交換引擎。當(dāng)插滿兩個(gè)SRU與1個(gè)SFU時(shí)，兩套主控系統(tǒng)會(huì)工作在主備狀態(tài)，3個(gè)交換引擎工作在2主1備的狀態(tài)，提供1.44T的交換容量。這種設(shè)計(jì)可以保證設(shè)備在任意一塊SRU或SFU出現(xiàn)故障時(shí)還能正常工作，且性能不會(huì)出現(xiàn)瓶頸。

USG9560上剩余的8個(gè)槽位用于安裝業(yè)務(wù)卡（SPU）與接口卡（LPU），考慮到未來接口容量與性能的升級(jí)，每槽位設(shè)計(jì)帶寬達(dá)到雙向200G。在SPU與LPU的設(shè)計(jì)上，華為賽門鐵克采用了模塊化的思路，顯得非常獨(dú)特。SPU板載了兩顆1GHz主頻的NetLogic XLR732處理器，具有10G的處理能力。該卡同時(shí)提供了一個(gè)子卡插槽，可安裝同樣配置的業(yè)務(wù)處理子卡（SPC），將單板處理能力提升至20G。而LPU也提供兩個(gè)子卡插槽，可安裝不同類型的接口模塊子卡（包括以太網(wǎng)與POS），目前可實(shí)現(xiàn)單子卡兩個(gè)萬兆或20個(gè)千兆的接口密度。與我們?nèi)ツ隃y(cè)試過的USG9110不同的是，USG9500系列產(chǎn)品中的SPU和LPU之間沒有任何強(qiáng)制性的對(duì)應(yīng)要求，用戶可根據(jù)需要進(jìn)行靈活搭配。

在基本功能與安全業(yè)務(wù)方面，USG9500系列產(chǎn)品已經(jīng)實(shí)現(xiàn)得相當(dāng)全面。該產(chǎn)品可以支持NAT端口復(fù)用，能夠有效減少海量用戶使用互聯(lián)網(wǎng)時(shí)對(duì)公網(wǎng)IP的依賴，對(duì)運(yùn)營(yíng)商、行業(yè)用戶及園區(qū)網(wǎng)用戶有很大的實(shí)際意義。除了防火墻，USG9500還具有VPN、應(yīng)用流量識(shí)別控制、IPS和抗DDoS的能力（后兩者使用單獨(dú)的業(yè)務(wù)插板實(shí)現(xiàn)），以滿足數(shù)據(jù)中心為代表的新應(yīng)用場(chǎng)景的復(fù)雜需求。借助華為在數(shù)通領(lǐng)域的長(zhǎng)期積累，USG9500系列產(chǎn)品在路由支持的種類、兼容性等方面有著先天優(yōu)勢(shì)，既能可靠地獨(dú)立或參與組網(wǎng)，亦可在遭到DDoS攻擊時(shí)與上下游網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)流量的牽引、清洗與回注。

架構(gòu)靈活 性能強(qiáng)大

與USG9000家族中的其他產(chǎn)品一樣，USG9500系列產(chǎn)品也采用了“兩分布、一統(tǒng)一”的設(shè)計(jì)思路，即分布式處理、分布式轉(zhuǎn)發(fā)與統(tǒng)一管理。由于集成了高性能的網(wǎng)絡(luò)處理器，LPU可以實(shí)現(xiàn)基于多種策略的數(shù)據(jù)分發(fā)操作，將流量盡可能均衡地交給每個(gè)SPU上的每一顆處理器進(jìn)行處理。這也意味著，該產(chǎn)品可以通過增加SPU數(shù)量的方式，線性提升整機(jī)的處理能力。

我們?cè)陔S后的測(cè)試中使用了多至5塊內(nèi)置SPC子卡的SPU及3塊具有4個(gè)萬兆XFP接口的LPU，組成20G#12316;100G規(guī)格的多種配置，對(duì)這一特點(diǎn)進(jìn)行了驗(yàn)證。測(cè)試儀器為搭配了多個(gè)10G-LSM-XM4S網(wǎng)絡(luò)層測(cè)試模塊和Acceleron-NP應(yīng)用層測(cè)試模塊的IXIA Optixia XM12。當(dāng)USG9560中只有1塊SPU卡工作時(shí)，該系統(tǒng)（路由模式，1條全通策略，后同）在IMIX模型（UDP混合包，64Byte:594Byte:1518Byte=7:4:1）下的吞吐量為20G，平均延遲為85微秒。如果再增加一塊SPU，IMIX吞吐量馬上提升至40G，平均延遲保持不變。當(dāng)5塊SPU卡均處于工作狀態(tài)時(shí)，系統(tǒng)的整機(jī)IMIX吞吐量達(dá)到100G，平均延遲則小幅上升至106微秒。在這個(gè)過程中，每顆CPU的使用率都保持一致，系統(tǒng)的負(fù)載均衡效果十分優(yōu)秀。我們也試著在處理能力留有足夠余量的情況下在線減少SPU卡的數(shù)量，USG9560會(huì)立刻自動(dòng)對(duì)負(fù)載進(jìn)行重新分配，達(dá)到新的均衡處理狀態(tài)。

除了吞吐量與延遲外，分布式處理、轉(zhuǎn)發(fā)的優(yōu)勢(shì)在連接相關(guān)的性能指標(biāo)上也有所體現(xiàn)。當(dāng)使用1塊SPU卡時(shí)，我們測(cè)得的整機(jī)HTTP新建能力（64Byte頁(yè)面，后同）為每秒669463個(gè)連接，最大并發(fā)連接數(shù)為8340904，達(dá)到并超過50萬/800萬的標(biāo)稱值；兩塊SPU同時(shí)工作時(shí)，HTTP新建連接數(shù)提升至1360407，最大并發(fā)連接數(shù)也達(dá)到了16681108。由于測(cè)試儀器的限制，我們沒有再對(duì)配備更多SPU卡時(shí)的性能進(jìn)行測(cè)試，但僅從這兩組數(shù)據(jù)中，已經(jīng)可以看出整機(jī)的連接處理能力可以隨著SPU板卡數(shù)量的增多而線性提升。

對(duì)于數(shù)據(jù)中心這樣的應(yīng)用場(chǎng)景來說，其可能受到攻擊的規(guī)模之大、種類之復(fù)雜，是集成于UTM、NGFW等設(shè)備中的抗DDoS功能所難以抵御的。針對(duì)這種情況，華為賽門鐵克將該功能獨(dú)立出來，以專用業(yè)務(wù)卡的形式提供了高性能抗DDoS解決方案（單卡標(biāo)稱10G流量清洗能力，同樣可以通過擴(kuò)展子卡提升一倍）。我們也利用手頭的測(cè)試儀器，對(duì)插入1塊抗DDoS業(yè)務(wù)卡（不含擴(kuò)展子卡）的USG9560進(jìn)行了測(cè)試。面對(duì)測(cè)試儀分別生成的10G線速SYN-Flood、UDP Flood和DNS-Flood攻擊流量（64Byte，后同），該設(shè)備可以將攻擊流量完全阻斷，同時(shí)保證后端服務(wù)器的正常訪問，此時(shí)DDoS業(yè)務(wù)卡上的CPU使用率分別為87%、70%、83%；我們又按1:1:1的比例發(fā)起了包含三種攻擊的混合流量，USG9560依然可以將攻擊完全阻斷，此時(shí)的CPU平均使用率為81%，仍留有部分余量。

TCAM：

讓天塹變通途

作為成本、查找速度均極為驚人的可尋址存儲(chǔ)器，TCAM大多被用于核心路由器、數(shù)據(jù)中心交換機(jī)等高端數(shù)據(jù)通信產(chǎn)品，在安全設(shè)備中極少出現(xiàn)。不過，我們?nèi)ツ暝赨SG9110產(chǎn)品測(cè)試中，已經(jīng)注意到其業(yè)務(wù)板上配備有TCAM。如今，這一設(shè)計(jì)被USG9500系列產(chǎn)品所沿用，大有發(fā)揚(yáng)光大之勢(shì)。這是個(gè)令人費(fèi)解的舉動(dòng)，因?yàn)閺S商在設(shè)計(jì)產(chǎn)品時(shí)會(huì)本著“次優(yōu)”和“榨干”硬件處理能力的原則，選擇能滿足需求的最簡(jiǎn)單、成本最低的解決方式。對(duì)于TCAM這種成本極高昂的器件來說，除非它能讓產(chǎn)品性能產(chǎn)生革命性的變化，否則絕無使用的道理。那么，華為賽門鐵克堅(jiān)持在高端安全產(chǎn)品中使用TCAM意義何在？我們通過混合非法流量和訪問控制列表（以下簡(jiǎn)稱ACL）查找兩個(gè)測(cè)試用例，進(jìn)行了一系列的驗(yàn)證。

在合法數(shù)據(jù)流中混合非法流量，是安全產(chǎn)品測(cè)試中不可或缺的手段之一。目前，幾乎所有狀態(tài)檢測(cè)防火墻都借助快速轉(zhuǎn)發(fā)技術(shù)提升性能，當(dāng)合法數(shù)據(jù)流建立后，流信息會(huì)被下發(fā)到防火墻狀態(tài)表中，剩余報(bào)文可根據(jù)狀態(tài)信息直接轉(zhuǎn)發(fā)；非法流量則通常不會(huì)建立狀態(tài)，這就意味著流中每一個(gè)數(shù)據(jù)包均要由處理器進(jìn)行完整流程上的處理，其中就包括了資源開銷非常大的ACL查找操作。當(dāng)非法流量的比例達(dá)到一定程度的時(shí)候，防火墻就會(huì)因資源耗盡導(dǎo)致性能大幅下降。以我們?nèi)ツ隃y(cè)試過的一款64Byte UDP幀吞吐量達(dá)到8Gbps的防火墻為例，當(dāng)測(cè)試流量由合法的8G變?yōu)?G合法流量+2G非法流量后，該設(shè)備的吞吐量竟然下降到100Mbps以下。

由于TCAM的存在，USG9560在處理非法流量時(shí)的性能開銷大幅減小，處理能力也就得到了保證。我們?cè)?塊SPU處于工作狀態(tài)的前提下，向設(shè)備的ACL中加入一條阻斷特定流量的策略，再使用測(cè)試儀先后發(fā)起16G的正常流量與4G應(yīng)被阻斷的非法流量（均為UDP/386Byte幀長(zhǎng)）。USG9560在只有正常流量通過的情況下，可以做到不丟包轉(zhuǎn)發(fā)，此時(shí)的CPU使用率僅為21%；當(dāng)加入4G非法流量后，正常流量的轉(zhuǎn)發(fā)沒有受到任何影響，非法流量則被完全阻斷。此時(shí)SPU卡的CPU占用率上升至47%，仍有余力處理其他安全業(yè)務(wù)。從這個(gè)結(jié)果中可以看出，雖然TCAM沒能讓設(shè)備的理論性能得到進(jìn)一步提升，卻在處理非法流量時(shí)彌補(bǔ)了性能短板，在實(shí)際環(huán)境中體現(xiàn)了其存在的價(jià)值。

與混合非法流量的測(cè)試相比，ACL查找能力測(cè)試更偏向底層，但在園區(qū)網(wǎng)、骨干網(wǎng)和數(shù)據(jù)中心規(guī)模不斷擴(kuò)大的今天，許多用戶需要借助防火墻實(shí)現(xiàn)更加復(fù)雜的訪問控制，這個(gè)原本偏重理論層面的測(cè)試用例也就有了更多的實(shí)際意義。我們知道，大部分采用狀態(tài)檢測(cè)機(jī)制的防火墻會(huì)在啟動(dòng)時(shí)對(duì)用戶設(shè)定的ACL進(jìn)行預(yù)處理，將其轉(zhuǎn)換為引擎可識(shí)別、查找的樹或矩陣。轉(zhuǎn)換算法的優(yōu)劣決定了存儲(chǔ)空間的占用、轉(zhuǎn)換速度和查找性能，是廠商核心技術(shù)能力的體現(xiàn)。好的轉(zhuǎn)換算法不但能以較低的資源代價(jià)實(shí)現(xiàn)較高的查找性能，還可以對(duì)ACL進(jìn)行有效的優(yōu)化合并。比如許多測(cè)試中使用的針對(duì)1個(gè)C段內(nèi)連續(xù)IP而設(shè)定的策略，最優(yōu)狀態(tài)下可以被合并為1條等效策略，其測(cè)試數(shù)據(jù)顯然不能代表設(shè)備在實(shí)際環(huán)境下的性能。

有鑒于此，我們?cè)谥贫▽?shí)驗(yàn)室安全產(chǎn)品測(cè)試規(guī)范的過程中，包含了基于復(fù)雜策略的測(cè)試用例。該用例中的ACL列表模擬部分用戶的配置思路，包含了5000條不相關(guān)聯(lián)的策略。它使用有針對(duì)性的算法生成，阻止主流轉(zhuǎn)換算法對(duì)其進(jìn)行優(yōu)化，且令生成的樹或矩陣變得極其復(fù)雜，顯著提升了設(shè)備查找時(shí)的性能開銷。一些產(chǎn)品在測(cè)試中無法正常加載此ACL，或會(huì)在加載后性能大幅下降。這樣的產(chǎn)品如果被部署在實(shí)際環(huán)境中，會(huì)為用戶帶來無窮無盡的煩惱。某行業(yè)信息中心主管與我們交流時(shí)就曾談到這樣一個(gè)情況：當(dāng)他們逐步將分散的服務(wù)器群組遷移至數(shù)據(jù)中心后，防火墻的ACL數(shù)量已接近3萬條。此時(shí)設(shè)備從加電到進(jìn)入正常工作狀態(tài)需要長(zhǎng)達(dá)40多分鐘的時(shí)間，且設(shè)備每次在添加新的訪問控制策略時(shí)，都會(huì)有1分多鐘處于無響應(yīng)狀態(tài)。而他們先前使用的產(chǎn)品則在加載1萬條左右的策略后直接罷工，嚴(yán)重影響了業(yè)務(wù)的正常開展。

不過，我們?cè)趯?duì)USG9560的測(cè)試中沒有絲毫擔(dān)心，因?yàn)門CAM的工作機(jī)制決定了其策略查找性能不受策略復(fù)雜度的影響。測(cè)試數(shù)據(jù)也很好地證明了這一點(diǎn)：在加載復(fù)雜策略的情況下，USG9560的開機(jī)時(shí)間僅由之前1條全通策略時(shí)的9分4秒增加到12分12秒。在此基礎(chǔ)上使用測(cè)試儀發(fā)起命中第4999條策略的16G正常流量（UDP/386Byte），系統(tǒng)可實(shí)現(xiàn)不丟包轉(zhuǎn)發(fā)，CPU占用率為33%；當(dāng)另外加入命中第5000條策略的4G非法流量后，正常流量的轉(zhuǎn)發(fā)沒有受到影響，非法流量也被完全阻斷，此時(shí)CPU占用率上升至55%。這樣完美的測(cè)試結(jié)果，足以保證USG9560在海量策略的應(yīng)用場(chǎng)景中保持應(yīng)有的性能表現(xiàn)。

應(yīng)用識(shí)別步入

百G免費(fèi)時(shí)代

從用戶群體的需求角度出發(fā)，高端防火墻通常強(qiáng)調(diào)高性能、高可靠性，提供的安全業(yè)務(wù)并不像企業(yè)級(jí)產(chǎn)品那樣全面。如果要增加特定功能，通常也會(huì)以專用業(yè)務(wù)插板的形式實(shí)現(xiàn)，盡可能減小對(duì)設(shè)備性能的影響。不過華為賽門鐵克在USG9500系列產(chǎn)品中，將應(yīng)用流量識(shí)別控制與防火墻、NAT、VPN等一同列為產(chǎn)品的基礎(chǔ)特性，免費(fèi)交付給用戶使用，令人十分驚訝。眾所周知，應(yīng)用流量識(shí)別控制確實(shí)是一個(gè)快速增長(zhǎng)的市場(chǎng)需求，以此為基礎(chǔ)甚至誕生了下一代防火墻（NGFW）這一新產(chǎn)品形態(tài)，但因其需要消耗大量系統(tǒng)資源，對(duì)防火墻性能造成很大影響，罕有廠商會(huì)在最高端產(chǎn)品中加入該特性。華為賽門鐵克此舉，是為運(yùn)營(yíng)商及大型行業(yè)用戶提供增值服務(wù)，還是為了迎合市場(chǎng)的推廣策略？

只有測(cè)試能給出答案。我們使用BreakingPoint提供的測(cè)試儀表，對(duì)配備1塊SPU的USG9560進(jìn)行了檢測(cè)率與性能測(cè)試。該測(cè)試儀可以模擬多種互聯(lián)網(wǎng)應(yīng)用，實(shí)時(shí)生成近乎真實(shí)的測(cè)試流量，而不是簡(jiǎn)單地利用PCAP回放進(jìn)行仿真。在開啟防火墻與應(yīng)用流量識(shí)別控制功能（路由模式，加載1條全通策略，只識(shí)別不做控制）的情況下，USG9560對(duì)測(cè)試儀發(fā)出的包含HTTP、BT、eDonkey、流媒體等業(yè)務(wù)的10G混合流量（預(yù)設(shè)并達(dá)到每秒10萬新建連接/最大保持200萬并發(fā)連接）可以做到完全識(shí)別與線速轉(zhuǎn)發(fā)。此時(shí)SPU上的CPU占用率比單純防火墻模式時(shí)略有小幅上升，數(shù)據(jù)包轉(zhuǎn)發(fā)的平均延遲也僅增至160微秒。不過也許是為了減少大流量時(shí)的系統(tǒng)負(fù)載，設(shè)備并沒有在內(nèi)置的圖形化界面中提供應(yīng)用層流量的相關(guān)統(tǒng)計(jì)，而是通過eLog集中分析報(bào)表系統(tǒng)進(jìn)行統(tǒng)一的挖掘與呈現(xiàn)。

作為USG9500系列產(chǎn)品的基礎(chǔ)功能，應(yīng)用識(shí)別特性以進(jìn)程形式工作在SPU中，理論上性能可隨SPU數(shù)量增加而線性提升。我們也在之前測(cè)試100G吞吐量的硬件配置下，對(duì)開啟應(yīng)用識(shí)別功能時(shí)的整機(jī)處理能力進(jìn)行了考察。BreakingPoint測(cè)試儀此時(shí)已無法生成如此巨大的測(cè)試流量，所以我們改用IXIA Optixia XM12以發(fā)送雙向UDP報(bào)文（IMIX模型，包含800個(gè)并發(fā)連接）的方式進(jìn)行測(cè)試。在100G的UDP流量壓力下，USG9560仍然順利完成了測(cè)試，將數(shù)據(jù)報(bào)文正常識(shí)別為未知UDP流量，性能也如預(yù)期般達(dá)到線速轉(zhuǎn)發(fā)。我們?cè)跍y(cè)試過程中也注意了設(shè)備的資源占用情況，可以看到5塊SPU上的20顆處理器基本保持著同樣的負(fù)載，不存在單點(diǎn)瓶頸的隱患，并且開啟應(yīng)用流量識(shí)別后，CPU負(fù)載并沒有上升很多，相信在錯(cuò)綜復(fù)雜的現(xiàn)網(wǎng)環(huán)境中仍可保證線速處理。

集成高性能的應(yīng)用識(shí)別引擎并免費(fèi)交付給用戶，無疑是USG9500系列產(chǎn)品的最大亮點(diǎn)之一。從華為賽門鐵克公布的信息來看，該引擎目前已能鑒別超過1000種應(yīng)用協(xié)議，且有專人對(duì)協(xié)議特征進(jìn)行擴(kuò)充與更新。對(duì)于運(yùn)營(yíng)商與行業(yè)用戶來說，集防火墻、NAT、應(yīng)用流量識(shí)別控制功能于一身的高端設(shè)備正是他們目前夢(mèng)寐以求的產(chǎn)品形態(tài)。我們感覺華為賽門鐵克的思路很清晰，即短期以免費(fèi)流控和應(yīng)用防火墻為賣點(diǎn)，增強(qiáng)產(chǎn)品的競(jìng)爭(zhēng)力，爭(zhēng)取更多的市場(chǎng)份額。長(zhǎng)期來看，應(yīng)用識(shí)別的價(jià)值絕不僅僅在于流控或應(yīng)用防火墻，它是未來幾乎所有安全業(yè)務(wù)的核心，以此為基礎(chǔ)通過升級(jí)的方式增加新的安全業(yè)務(wù)，對(duì)供求雙方來說都是雙贏的結(jié)果。