實實在在的100G

毫無疑問，我們已經(jīng)步入了云時代。放眼神州大地，一座座數(shù)據(jù)中心如雨后春筍般拔地而起，服務(wù)器數(shù)量與網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的規(guī)模屢創(chuàng)新高；互聯(lián)網(wǎng)建設(shè)也在高速發(fā)展，骨干與接入帶寬的不斷提升，為用戶業(yè)務(wù)帶來了日新月異的應(yīng)用體驗；而3G與無線技術(shù)的普及，又讓移動終端成為后PC時代真正的寵兒，正在掀開移動互聯(lián)的新篇章。

從底層網(wǎng)絡(luò)的角度看，通信技術(shù)的發(fā)展構(gòu)建了多個維度的高速通路，讓一切變?yōu)楝F(xiàn)實。同樣，用戶也必須借助不斷創(chuàng)新的安全技術(shù)，建立與網(wǎng)絡(luò)規(guī)模相匹配的防護體系，為業(yè)務(wù)保駕護航。經(jīng)過國內(nèi)外安全廠商的不懈努力，目前頂級防火墻的處理能力已經(jīng)達到百G級別。這并不是個宣傳意義大于實際意義的噱頭，因為用戶的需求已經(jīng)迫在眉睫。在今年國內(nèi)運營商的安全產(chǎn)品招標中，對高端防火墻的性能要求達到了40G#12316;80G，距離部署百G產(chǎn)品的日子已不再遙遠。針對這一趨勢，華為賽門鐵克也于近期推出了全新的USG9500系列產(chǎn)品，再次升級了高端產(chǎn)品線。我們也在第一時間對USG9560這款產(chǎn)品進行了測試，親身體會了新一代百G產(chǎn)品帶來的與眾不同的應(yīng)用體驗，在此與讀者朋友們分享。

規(guī)格領(lǐng)先 功能全面

華為賽門鐵克USG9500系列包含USG9520、USG9560、USG9580三款產(chǎn)品，均基于華為高端路由硬件平臺打造。設(shè)備中所有部件均為冗余設(shè)計，其中單板、電源模塊和風(fēng)扇支持熱插拔，符合電信級別的高可靠性要求。三款產(chǎn)品的區(qū)別主要體現(xiàn)在擴展槽位的數(shù)量與整機性能方面，最高端的USG9580提供了多達16個接口/業(yè)務(wù)擴展槽位，標稱具有2.56T交換容量及240G接口容量，是新系列中的旗艦產(chǎn)品；最低端的USG9520則針對主流的萬兆及多千兆接入環(huán)境設(shè)計，提供3個接口/業(yè)務(wù)擴展槽位，標稱最大40G的整機處理能力，具有靈活的擴展性和相對較高的性價比。我們測試的這臺中端定位的USG9560則需占用14U的機架空間，提供了11個擴展槽位，其中3個用于安裝主控交換（SRU）及交換引擎（SFU）。SRU主要負責(zé)設(shè)備管理、系統(tǒng)監(jiān)控與調(diào)度、路由計算等工作，同時內(nèi)置一個交換引擎。當(dāng)插滿兩個SRU與1個SFU時，兩套主控系統(tǒng)會工作在主備狀態(tài)，3個交換引擎工作在2主1備的狀態(tài)，提供1.44T的交換容量。這種設(shè)計可以保證設(shè)備在任意一塊SRU或SFU出現(xiàn)故障時還能正常工作，且性能不會出現(xiàn)瓶頸。

USG9560上剩余的8個槽位用于安裝業(yè)務(wù)卡（SPU）與接口卡（LPU），考慮到未來接口容量與性能的升級，每槽位設(shè)計帶寬達到雙向200G。在SPU與LPU的設(shè)計上，華為賽門鐵克采用了模塊化的思路，顯得非常獨特。SPU板載了兩顆1GHz主頻的NetLogic XLR732處理器，具有10G的處理能力。該卡同時提供了一個子卡插槽，可安裝同樣配置的業(yè)務(wù)處理子卡（SPC），將單板處理能力提升至20G。而LPU也提供兩個子卡插槽，可安裝不同類型的接口模塊子卡（包括以太網(wǎng)與POS），目前可實現(xiàn)單子卡兩個萬兆或20個千兆的接口密度。與我們?nèi)ツ隃y試過的USG9110不同的是，USG9500系列產(chǎn)品中的SPU和LPU之間沒有任何強制性的對應(yīng)要求，用戶可根據(jù)需要進行靈活搭配。

在基本功能與安全業(yè)務(wù)方面，USG9500系列產(chǎn)品已經(jīng)實現(xiàn)得相當(dāng)全面。該產(chǎn)品可以支持NAT端口復(fù)用，能夠有效減少海量用戶使用互聯(lián)網(wǎng)時對公網(wǎng)IP的依賴，對運營商、行業(yè)用戶及園區(qū)網(wǎng)用戶有很大的實際意義。除了防火墻，USG9500還具有VPN、應(yīng)用流量識別控制、IPS和抗DDoS的能力（后兩者使用單獨的業(yè)務(wù)插板實現(xiàn)），以滿足數(shù)據(jù)中心為代表的新應(yīng)用場景的復(fù)雜需求。借助華為在數(shù)通領(lǐng)域的長期積累，USG9500系列產(chǎn)品在路由支持的種類、兼容性等方面有著先天優(yōu)勢，既能可靠地獨立或參與組網(wǎng)，亦可在遭到DDoS攻擊時與上下游網(wǎng)絡(luò)設(shè)備聯(lián)動，實現(xiàn)流量的牽引、清洗與回注。

架構(gòu)靈活 性能強大

與USG9000家族中的其他產(chǎn)品一樣，USG9500系列產(chǎn)品也采用了“兩分布、一統(tǒng)一”的設(shè)計思路，即分布式處理、分布式轉(zhuǎn)發(fā)與統(tǒng)一管理。由于集成了高性能的網(wǎng)絡(luò)處理器，LPU可以實現(xiàn)基于多種策略的數(shù)據(jù)分發(fā)操作，將流量盡可能均衡地交給每個SPU上的每一顆處理器進行處理。這也意味著，該產(chǎn)品可以通過增加SPU數(shù)量的方式，線性提升整機的處理能力。

我們在隨后的測試中使用了多至5塊內(nèi)置SPC子卡的SPU及3塊具有4個萬兆XFP接口的LPU，組成20G#12316;100G規(guī)格的多種配置，對這一特點進行了驗證。測試儀器為搭配了多個10G-LSM-XM4S網(wǎng)絡(luò)層測試模塊和Acceleron-NP應(yīng)用層測試模塊的IXIA Optixia XM12。當(dāng)USG9560中只有1塊SPU卡工作時，該系統(tǒng)（路由模式，1條全通策略，后同）在IMIX模型（UDP混合包，64Byte:594Byte:1518Byte=7:4:1）下的吞吐量為20G，平均延遲為85微秒。如果再增加一塊SPU，IMIX吞吐量馬上提升至40G，平均延遲保持不變。當(dāng)5塊SPU卡均處于工作狀態(tài)時，系統(tǒng)的整機IMIX吞吐量達到100G，平均延遲則小幅上升至106微秒。在這個過程中，每顆CPU的使用率都保持一致，系統(tǒng)的負載均衡效果十分優(yōu)秀。我們也試著在處理能力留有足夠余量的情況下在線減少SPU卡的數(shù)量，USG9560會立刻自動對負載進行重新分配，達到新的均衡處理狀態(tài)。

除了吞吐量與延遲外，分布式處理、轉(zhuǎn)發(fā)的優(yōu)勢在連接相關(guān)的性能指標上也有所體現(xiàn)。當(dāng)使用1塊SPU卡時，我們測得的整機HTTP新建能力（64Byte頁面，后同）為每秒669463個連接，最大并發(fā)連接數(shù)為8340904，達到并超過50萬/800萬的標稱值；兩塊SPU同時工作時，HTTP新建連接數(shù)提升至1360407，最大并發(fā)連接數(shù)也達到了16681108。由于測試儀器的限制，我們沒有再對配備更多SPU卡時的性能進行測試，但僅從這兩組數(shù)據(jù)中，已經(jīng)可以看出整機的連接處理能力可以隨著SPU板卡數(shù)量的增多而線性提升。

對于數(shù)據(jù)中心這樣的應(yīng)用場景來說，其可能受到攻擊的規(guī)模之大、種類之復(fù)雜，是集成于UTM、NGFW等設(shè)備中的抗DDoS功能所難以抵御的。針對這種情況，華為賽門鐵克將該功能獨立出來，以專用業(yè)務(wù)卡的形式提供了高性能抗DDoS解決方案（單卡標稱10G流量清洗能力，同樣可以通過擴展子卡提升一倍）。我們也利用手頭的測試儀器，對插入1塊抗DDoS業(yè)務(wù)卡（不含擴展子卡）的USG9560進行了測試。面對測試儀分別生成的10G線速SYN-Flood、UDP Flood和DNS-Flood攻擊流量（64Byte，后同），該設(shè)備可以將攻擊流量完全阻斷，同時保證后端服務(wù)器的正常訪問，此時DDoS業(yè)務(wù)卡上的CPU使用率分別為87%、70%、83%；我們又按1:1:1的比例發(fā)起了包含三種攻擊的混合流量，USG9560依然可以將攻擊完全阻斷，此時的CPU平均使用率為81%，仍留有部分余量。

TCAM：

讓天塹變通途

作為成本、查找速度均極為驚人的可尋址存儲器，TCAM大多被用于核心路由器、數(shù)據(jù)中心交換機等高端數(shù)據(jù)通信產(chǎn)品，在安全設(shè)備中極少出現(xiàn)。不過，我們?nèi)ツ暝赨SG9110產(chǎn)品測試中，已經(jīng)注意到其業(yè)務(wù)板上配備有TCAM。如今，這一設(shè)計被USG9500系列產(chǎn)品所沿用，大有發(fā)揚光大之勢。這是個令人費解的舉動，因為廠商在設(shè)計產(chǎn)品時會本著“次優(yōu)”和“榨干”硬件處理能力的原則，選擇能滿足需求的最簡單、成本最低的解決方式。對于TCAM這種成本極高昂的器件來說，除非它能讓產(chǎn)品性能產(chǎn)生革命性的變化，否則絕無使用的道理。那么，華為賽門鐵克堅持在高端安全產(chǎn)品中使用TCAM意義何在？我們通過混合非法流量和訪問控制列表（以下簡稱ACL）查找兩個測試用例，進行了一系列的驗證。

在合法數(shù)據(jù)流中混合非法流量，是安全產(chǎn)品測試中不可或缺的手段之一。目前，幾乎所有狀態(tài)檢測防火墻都借助快速轉(zhuǎn)發(fā)技術(shù)提升性能，當(dāng)合法數(shù)據(jù)流建立后，流信息會被下發(fā)到防火墻狀態(tài)表中，剩余報文可根據(jù)狀態(tài)信息直接轉(zhuǎn)發(fā)；非法流量則通常不會建立狀態(tài)，這就意味著流中每一個數(shù)據(jù)包均要由處理器進行完整流程上的處理，其中就包括了資源開銷非常大的ACL查找操作。當(dāng)非法流量的比例達到一定程度的時候，防火墻就會因資源耗盡導(dǎo)致性能大幅下降。以我們?nèi)ツ隃y試過的一款64Byte UDP幀吞吐量達到8Gbps的防火墻為例，當(dāng)測試流量由合法的8G變?yōu)?G合法流量+2G非法流量后，該設(shè)備的吞吐量竟然下降到100Mbps以下。

由于TCAM的存在，USG9560在處理非法流量時的性能開銷大幅減小，處理能力也就得到了保證。我們在1塊SPU處于工作狀態(tài)的前提下，向設(shè)備的ACL中加入一條阻斷特定流量的策略，再使用測試儀先后發(fā)起16G的正常流量與4G應(yīng)被阻斷的非法流量（均為UDP/386Byte幀長）。USG9560在只有正常流量通過的情況下，可以做到不丟包轉(zhuǎn)發(fā)，此時的CPU使用率僅為21%；當(dāng)加入4G非法流量后，正常流量的轉(zhuǎn)發(fā)沒有受到任何影響，非法流量則被完全阻斷。此時SPU卡的CPU占用率上升至47%，仍有余力處理其他安全業(yè)務(wù)。從這個結(jié)果中可以看出，雖然TCAM沒能讓設(shè)備的理論性能得到進一步提升，卻在處理非法流量時彌補了性能短板，在實際環(huán)境中體現(xiàn)了其存在的價值。

與混合非法流量的測試相比，ACL查找能力測試更偏向底層，但在園區(qū)網(wǎng)、骨干網(wǎng)和數(shù)據(jù)中心規(guī)模不斷擴大的今天，許多用戶需要借助防火墻實現(xiàn)更加復(fù)雜的訪問控制，這個原本偏重理論層面的測試用例也就有了更多的實際意義。我們知道，大部分采用狀態(tài)檢測機制的防火墻會在啟動時對用戶設(shè)定的ACL進行預(yù)處理，將其轉(zhuǎn)換為引擎可識別、查找的樹或矩陣。轉(zhuǎn)換算法的優(yōu)劣決定了存儲空間的占用、轉(zhuǎn)換速度和查找性能，是廠商核心技術(shù)能力的體現(xiàn)。好的轉(zhuǎn)換算法不但能以較低的資源代價實現(xiàn)較高的查找性能，還可以對ACL進行有效的優(yōu)化合并。比如許多測試中使用的針對1個C段內(nèi)連續(xù)IP而設(shè)定的策略，最優(yōu)狀態(tài)下可以被合并為1條等效策略，其測試數(shù)據(jù)顯然不能代表設(shè)備在實際環(huán)境下的性能。

有鑒于此，我們在制定實驗室安全產(chǎn)品測試規(guī)范的過程中，包含了基于復(fù)雜策略的測試用例。該用例中的ACL列表模擬部分用戶的配置思路，包含了5000條不相關(guān)聯(lián)的策略。它使用有針對性的算法生成，阻止主流轉(zhuǎn)換算法對其進行優(yōu)化，且令生成的樹或矩陣變得極其復(fù)雜，顯著提升了設(shè)備查找時的性能開銷。一些產(chǎn)品在測試中無法正常加載此ACL，或會在加載后性能大幅下降。這樣的產(chǎn)品如果被部署在實際環(huán)境中，會為用戶帶來無窮無盡的煩惱。某行業(yè)信息中心主管與我們交流時就曾談到這樣一個情況：當(dāng)他們逐步將分散的服務(wù)器群組遷移至數(shù)據(jù)中心后，防火墻的ACL數(shù)量已接近3萬條。此時設(shè)備從加電到進入正常工作狀態(tài)需要長達40多分鐘的時間，且設(shè)備每次在添加新的訪問控制策略時，都會有1分多鐘處于無響應(yīng)狀態(tài)。而他們先前使用的產(chǎn)品則在加載1萬條左右的策略后直接罷工，嚴重影響了業(yè)務(wù)的正常開展。

不過，我們在對USG9560的測試中沒有絲毫擔(dān)心，因為TCAM的工作機制決定了其策略查找性能不受策略復(fù)雜度的影響。測試數(shù)據(jù)也很好地證明了這一點：在加載復(fù)雜策略的情況下，USG9560的開機時間僅由之前1條全通策略時的9分4秒增加到12分12秒。在此基礎(chǔ)上使用測試儀發(fā)起命中第4999條策略的16G正常流量（UDP/386Byte），系統(tǒng)可實現(xiàn)不丟包轉(zhuǎn)發(fā)，CPU占用率為33%；當(dāng)另外加入命中第5000條策略的4G非法流量后，正常流量的轉(zhuǎn)發(fā)沒有受到影響，非法流量也被完全阻斷，此時CPU占用率上升至55%。這樣完美的測試結(jié)果，足以保證USG9560在海量策略的應(yīng)用場景中保持應(yīng)有的性能表現(xiàn)。

應(yīng)用識別步入

百G免費時代

從用戶群體的需求角度出發(fā)，高端防火墻通常強調(diào)高性能、高可靠性，提供的安全業(yè)務(wù)并不像企業(yè)級產(chǎn)品那樣全面。如果要增加特定功能，通常也會以專用業(yè)務(wù)插板的形式實現(xiàn)，盡可能減小對設(shè)備性能的影響。不過華為賽門鐵克在USG9500系列產(chǎn)品中，將應(yīng)用流量識別控制與防火墻、NAT、VPN等一同列為產(chǎn)品的基礎(chǔ)特性，免費交付給用戶使用，令人十分驚訝。眾所周知，應(yīng)用流量識別控制確實是一個快速增長的市場需求，以此為基礎(chǔ)甚至誕生了下一代防火墻（NGFW）這一新產(chǎn)品形態(tài)，但因其需要消耗大量系統(tǒng)資源，對防火墻性能造成很大影響，罕有廠商會在最高端產(chǎn)品中加入該特性。華為賽門鐵克此舉，是為運營商及大型行業(yè)用戶提供增值服務(wù)，還是為了迎合市場的推廣策略？

只有測試能給出答案。我們使用BreakingPoint提供的測試儀表，對配備1塊SPU的USG9560進行了檢測率與性能測試。該測試儀可以模擬多種互聯(lián)網(wǎng)應(yīng)用，實時生成近乎真實的測試流量，而不是簡單地利用PCAP回放進行仿真。在開啟防火墻與應(yīng)用流量識別控制功能（路由模式，加載1條全通策略，只識別不做控制）的情況下，USG9560對測試儀發(fā)出的包含HTTP、BT、eDonkey、流媒體等業(yè)務(wù)的10G混合流量（預(yù)設(shè)并達到每秒10萬新建連接/最大保持200萬并發(fā)連接）可以做到完全識別與線速轉(zhuǎn)發(fā)。此時SPU上的CPU占用率比單純防火墻模式時略有小幅上升，數(shù)據(jù)包轉(zhuǎn)發(fā)的平均延遲也僅增至160微秒。不過也許是為了減少大流量時的系統(tǒng)負載，設(shè)備并沒有在內(nèi)置的圖形化界面中提供應(yīng)用層流量的相關(guān)統(tǒng)計，而是通過eLog集中分析報表系統(tǒng)進行統(tǒng)一的挖掘與呈現(xiàn)。

作為USG9500系列產(chǎn)品的基礎(chǔ)功能，應(yīng)用識別特性以進程形式工作在SPU中，理論上性能可隨SPU數(shù)量增加而線性提升。我們也在之前測試100G吞吐量的硬件配置下，對開啟應(yīng)用識別功能時的整機處理能力進行了考察。BreakingPoint測試儀此時已無法生成如此巨大的測試流量，所以我們改用IXIA Optixia XM12以發(fā)送雙向UDP報文（IMIX模型，包含800個并發(fā)連接）的方式進行測試。在100G的UDP流量壓力下，USG9560仍然順利完成了測試，將數(shù)據(jù)報文正常識別為未知UDP流量，性能也如預(yù)期般達到線速轉(zhuǎn)發(fā)。我們在測試過程中也注意了設(shè)備的資源占用情況，可以看到5塊SPU上的20顆處理器基本保持著同樣的負載，不存在單點瓶頸的隱患，并且開啟應(yīng)用流量識別后，CPU負載并沒有上升很多，相信在錯綜復(fù)雜的現(xiàn)網(wǎng)環(huán)境中仍可保證線速處理。

集成高性能的應(yīng)用識別引擎并免費交付給用戶，無疑是USG9500系列產(chǎn)品的最大亮點之一。從華為賽門鐵克公布的信息來看，該引擎目前已能鑒別超過1000種應(yīng)用協(xié)議，且有專人對協(xié)議特征進行擴充與更新。對于運營商與行業(yè)用戶來說，集防火墻、NAT、應(yīng)用流量識別控制功能于一身的高端設(shè)備正是他們目前夢寐以求的產(chǎn)品形態(tài)。我們感覺華為賽門鐵克的思路很清晰，即短期以免費流控和應(yīng)用防火墻為賣點，增強產(chǎn)品的競爭力，爭取更多的市場份額。長期來看，應(yīng)用識別的價值絕不僅僅在于流控或應(yīng)用防火墻，它是未來幾乎所有安全業(yè)務(wù)的核心，以此為基礎(chǔ)通過升級的方式增加新的安全業(yè)務(wù)，對供求雙方來說都是雙贏的結(jié)果。