智能分布式处理先锋
- 来源:计算机世界
- 关键字:智能,分布式,处理,先锋
- 发布时间:2010-09-27 10:00
信息时代,运营商网络带宽不断增加,需要面对更多、更复杂的安全威胁。同时,行业用户及大型企业开始建设更具规模的数据中心,对安全产品的性能需求也与日俱增。但由于自身的业务复杂性限制,防火墙性能的提升速度总是逊于同时代的数据通信产品,成为新一代高速网络中的瓶颈。
针对这一现状,国内外安全行业领导厂商也推出了一些高端解决方案,它们无一例外地采用了分布式处理的思路,以增加业务处理节点的方式实现高性能。交换机加载防火墙模块是出现较早的一类成熟方案,它利用交换机的高速交换能力,将需要进行访问控制的流量通过背板导入防火墙模块,经处理后再进行转发。如果遇到性能瓶颈,可以多配置几个防火墙模块,线性提升系统的整体处理能力。但从实际应用的角度看,这种方案还存在一些问题。首先,如果想充分发挥性能,管理员必须非常了解自己的业务模型,人为地进行流量分配,才能使各业务节点达到较高的利用率。其次,当业务流量模型发生变化时,很难迅速找到合理的配置修改方案。对于业务灵活性要求不亚于性能的运营商和数据中心用户来说,这类产品显然不是最佳选择。
为采用分布式处理思路的高端防火墙增加智能负载均衡特性,使其可以自行为各业务节点合理分配流量,已成为业界公认比较先进的一类产品解决方案。由于该方案对厂商的研发实力有着非常高的要求,目前市场上可见的产品并不多,且多由国外厂商所推出。作为国内规模最大的信息安全解决方案提供商之一,华为赛门铁克亦成功推出了采用智能分布式处理方案的Secospace USG9100/USG9300(以下简称USG9100/USG9300)系列产品。近日,计算机世界实验室对USG9100 系列中的低端型号USG9110 进行了细致深入的评估测试,在此与读者朋友们分享。
ATCA 架构下的
智能分布式处理
USG9110 是第一款来到计算机世界实验室的基于ATCA架构设计的安全产品, 满足PICMG 3.0 规范的要求,在交换容量、可靠性、兼容性及功耗等方面有所保证。5U 规格的机框显得十分紧凑,前后面板都留满扩展槽位,主要用于扩充业务卡与接口卡。机框两侧是支持热插拔的风扇框,USG9110 可以根据内部温度传感器提供的信息动态调节风扇转速,在保证自身健康运行的同时减小功耗、降低噪音。顶部留有机框管理卡(SMM)插槽,该卡负责机框及所有扩展卡物理层面上的统一控管,属于必配部件之一。
USG9110 工作在主备模式的供电子系统支持多种规格的动力电输入,可以满足不同环境下的部署需求。
为了实现业务的分布式处理,USG9110 采用了以交换为核心、控制平面与业务平面相分离的设计思路。机框面板的最下侧两个扩展槽位属于主控交换卡(MSU),该卡运行着系统软件,负责完成路由协议的维护、系统配置及各层面功能特性的管理等工作,是USG9110 业务层面的控管核心。卡上集成的交换模块为USG9110 提供了120Gbps 的数据交换能力,并且当插入两块主控交换卡时,各卡上的交换模块将共同工作,使设备的交换容量达到240Gbps,同时提供相应的冗余特性。为了提升这部分带宽的应用效率,配置下发、信息统计和各部件/ 接口状态信息的收集将从另一个独立的交换网络上进行。这种设计符合ATCA 标准定义,是保证分布式系统稳定性的必然之选。
机框前面板的另外4 个槽位属于业务卡(SPUA),它与交换背板相连接,负责绝大多数安全业务的处理和数据转发,是USG9110 的业务处理核心。这块业务卡的设计十分惊艳,其思路和做法在安全产品范畴内实属罕见:华为赛门铁克的工程师在一块业务卡上集成了两颗运行在950MHz 的NetLogicXLR732 多核多线程处理器,提供了强大的计算与转发性能;而针对快速转发前访问控制对性能造成的微弱影响,更是不惜成本地采用了通常出现在高端路由器上的TCAM 来进行硬件加速。除此之外,作为智能分布式处理的关键因素,数据流的调度分配由业务卡上自行研发的FPGA 逻辑实现。它可以根据多种算法,实现不同的负载均衡模式,将流量下发到单块或多块业务卡上的处理器进行处理,是当之无愧的交通枢纽。单从硬件规格上看,这块业务卡已经体现了华为赛门铁克优秀的硬件研发实力,其水平在国内外均处于领先行列。
USG9110 的接口卡(RTM)被设计为插在机身背面的小卡形式,与前置的业务卡一一对应。规格方面,华为赛门铁克提供了多款集成不同种类、不同接口密度的型号,用户可根据自身情况灵活选择。接口卡的规格还在随着需求变化推陈出新,我们这次测试的产品就配备了两块新发布的高密度接口卡,单卡提供16 个千兆接口和两个万兆接口。
USG9110 定位于高端应用环境,各方面特性都与常见的中低端产品有明显不同,我们用了很长时间来熟悉这款产品。
各类模块的全冗余设计是最引人注目的一点,也是运营商及大型行业用户最关注的指标。在测试中,我们曾对主控交换卡、业务卡和接口卡都进行过热插拔操作,系统一直保持稳定运行。
由于USG9110 具有智能负载均衡的能力,当一块业务卡被拔出时,该卡承担的所有任务会被自动分发到其他业务卡进行处理,最大化地减小了上层业务中断的可能性。
通常,高端产品也意味着高功耗、高发热,但USG9110 并不在此列。这款遵循ATCA 标准设计的产品对整机与各模块的功耗、散热控制得十分严格,官方给出的整机最大功耗仅为800W。而经过实测,采用双路供电、配备两块机框管理卡、两块主控交换卡、单块业务卡和单块高密度接口卡的USG9110在满载运行时的功耗为每路174W,双业务卡、双接口卡时每路的功耗为264W,在同级别产品中优势明显。
性能:随业务卡
数量线性增长
有了强大的硬件平台做基础,USG9110 的性能可谓十分强悍。每秒25 万HTTP 新建、400 万并发连接、10Gbps 的吞吐量……这仅仅是产品规格表中给出的USG9110 单块业务处理卡的性能,却已经为测试带来不小的难度。2009 年9 月, 华为赛门铁克联合实验室合作伙伴思博伦通信对该系列产品进行了测试,其中某些项目竟然动用了20 台当时最先进的应用层性能测试仪Avalanche2900 方可完成。本次测试中,虽然思博伦通信为我们提供了最新的Avalanche3100 测试仪,却仍然无法测出USG9110 的某些性能值,我们会在统计图表中特别注明。受整体测试环境的限制,所有项目中都使用测试仪直接连接USG9110 的两个10Gbps 端口进行测试。
吞吐量与延迟是防火墙产品永恒的性能指标。我们按照RFC2544 规范的要求,使用思博伦SmartBits 网络层性能测试仪对透明模式下的两个10Gbps链路进行了测试。USG9110 在配备单块业务卡的情况下,64Byte 帧长时的双向吞吐量接近15%,256Byte 以上帧长时超过90%。而在配备两块业务卡的情况下,只要带宽不成为瓶颈,吞吐量就都可以翻番,达到了智能分布式处理最理想的效果。平均延迟方面,单/ 双业务卡下的测试结果几乎没有区别,显示出分布式处理并未给业务流程带来额外的开销。TCAM 的引入理论上可以大幅增加访问控制的实现效率,我们在USG9110上加载5000 条策略后重复进行了测试,结果未发生丝毫变化。
随着互联网应用技术的变化,防火墙的连接处理能力已逐渐超越包转发性能,成为用户选型时最关键的评估指标。
而USG9110 在这部分测试中表现出来的性能,令人相信华为赛门铁克的工程师们深谙这一点。我们按照RFC3511 规范的要求,使用Avalanche3100 应用层性能测试仪考察了USG9110在透明模式、加载5000 条访问控制策略情况下的性能。遗憾的是,在对HTTP 新建速率和最大并发连接数进行测试时,即便只配备单业务卡,测试仪还是先于USG9110 到达性能极限。
虽然我们无法验证官方给出的性能数据,但从测试仪达到满载时USG9110 的CPU 资源占用情况推断,该产品“单卡25 万HTTP 新建/400 万并发连接、双卡性能增加一倍”的指标合情合理。而在最大HTTP 可用带宽的测试中,9.8Gbps 的实测结果也只是10Gbps 链路能够达到的最大性能,USG9110 处理起来显得游刃有余。
防火墙集成IPSec VPN 接入已经是业界的事实标准,许多用户为了业务的安全,也在进行愈发复杂的VPN 部署。借助高性能硬件平台,USG9110 也提供了相当强悍的IPSec 隧道处理能力,并且同样可以借助更多的业务卡实现性能的进一步提升。测试结果也证明了这一点,在野蛮+ 快速/DES+MD5 的参数配置下,该产品配备单业务卡时的隧道新建速率达到每秒221 条(峰值速度,平均稳定在170 左右),最大隧道容量接近4 万;双业务卡时,两个指标都有了将近一倍的增幅。需要说明的是,我们并没有对新加入的业务卡进行任何设置,USG9110 可以自动进行VPN 隧道协商的分布式处理,效果也令人满意。在隧道的可用带宽测试中,测试仪的性能又很不幸地成为瓶颈,实测得到的结果只有官方标称值(单业务卡8Gbps)的零头。有了如此强大的性能和分布式处理机制做基础,相信在网络带宽没有发生量级变化前,USG9110 可以胜任任何规模的VPN 部署。
……
针对这一现状,国内外安全行业领导厂商也推出了一些高端解决方案,它们无一例外地采用了分布式处理的思路,以增加业务处理节点的方式实现高性能。交换机加载防火墙模块是出现较早的一类成熟方案,它利用交换机的高速交换能力,将需要进行访问控制的流量通过背板导入防火墙模块,经处理后再进行转发。如果遇到性能瓶颈,可以多配置几个防火墙模块,线性提升系统的整体处理能力。但从实际应用的角度看,这种方案还存在一些问题。首先,如果想充分发挥性能,管理员必须非常了解自己的业务模型,人为地进行流量分配,才能使各业务节点达到较高的利用率。其次,当业务流量模型发生变化时,很难迅速找到合理的配置修改方案。对于业务灵活性要求不亚于性能的运营商和数据中心用户来说,这类产品显然不是最佳选择。
为采用分布式处理思路的高端防火墙增加智能负载均衡特性,使其可以自行为各业务节点合理分配流量,已成为业界公认比较先进的一类产品解决方案。由于该方案对厂商的研发实力有着非常高的要求,目前市场上可见的产品并不多,且多由国外厂商所推出。作为国内规模最大的信息安全解决方案提供商之一,华为赛门铁克亦成功推出了采用智能分布式处理方案的Secospace USG9100/USG9300(以下简称USG9100/USG9300)系列产品。近日,计算机世界实验室对USG9100 系列中的低端型号USG9110 进行了细致深入的评估测试,在此与读者朋友们分享。
ATCA 架构下的
智能分布式处理
USG9110 是第一款来到计算机世界实验室的基于ATCA架构设计的安全产品, 满足PICMG 3.0 规范的要求,在交换容量、可靠性、兼容性及功耗等方面有所保证。5U 规格的机框显得十分紧凑,前后面板都留满扩展槽位,主要用于扩充业务卡与接口卡。机框两侧是支持热插拔的风扇框,USG9110 可以根据内部温度传感器提供的信息动态调节风扇转速,在保证自身健康运行的同时减小功耗、降低噪音。顶部留有机框管理卡(SMM)插槽,该卡负责机框及所有扩展卡物理层面上的统一控管,属于必配部件之一。
USG9110 工作在主备模式的供电子系统支持多种规格的动力电输入,可以满足不同环境下的部署需求。
为了实现业务的分布式处理,USG9110 采用了以交换为核心、控制平面与业务平面相分离的设计思路。机框面板的最下侧两个扩展槽位属于主控交换卡(MSU),该卡运行着系统软件,负责完成路由协议的维护、系统配置及各层面功能特性的管理等工作,是USG9110 业务层面的控管核心。卡上集成的交换模块为USG9110 提供了120Gbps 的数据交换能力,并且当插入两块主控交换卡时,各卡上的交换模块将共同工作,使设备的交换容量达到240Gbps,同时提供相应的冗余特性。为了提升这部分带宽的应用效率,配置下发、信息统计和各部件/ 接口状态信息的收集将从另一个独立的交换网络上进行。这种设计符合ATCA 标准定义,是保证分布式系统稳定性的必然之选。
机框前面板的另外4 个槽位属于业务卡(SPUA),它与交换背板相连接,负责绝大多数安全业务的处理和数据转发,是USG9110 的业务处理核心。这块业务卡的设计十分惊艳,其思路和做法在安全产品范畴内实属罕见:华为赛门铁克的工程师在一块业务卡上集成了两颗运行在950MHz 的NetLogicXLR732 多核多线程处理器,提供了强大的计算与转发性能;而针对快速转发前访问控制对性能造成的微弱影响,更是不惜成本地采用了通常出现在高端路由器上的TCAM 来进行硬件加速。除此之外,作为智能分布式处理的关键因素,数据流的调度分配由业务卡上自行研发的FPGA 逻辑实现。它可以根据多种算法,实现不同的负载均衡模式,将流量下发到单块或多块业务卡上的处理器进行处理,是当之无愧的交通枢纽。单从硬件规格上看,这块业务卡已经体现了华为赛门铁克优秀的硬件研发实力,其水平在国内外均处于领先行列。
USG9110 的接口卡(RTM)被设计为插在机身背面的小卡形式,与前置的业务卡一一对应。规格方面,华为赛门铁克提供了多款集成不同种类、不同接口密度的型号,用户可根据自身情况灵活选择。接口卡的规格还在随着需求变化推陈出新,我们这次测试的产品就配备了两块新发布的高密度接口卡,单卡提供16 个千兆接口和两个万兆接口。
USG9110 定位于高端应用环境,各方面特性都与常见的中低端产品有明显不同,我们用了很长时间来熟悉这款产品。
各类模块的全冗余设计是最引人注目的一点,也是运营商及大型行业用户最关注的指标。在测试中,我们曾对主控交换卡、业务卡和接口卡都进行过热插拔操作,系统一直保持稳定运行。
由于USG9110 具有智能负载均衡的能力,当一块业务卡被拔出时,该卡承担的所有任务会被自动分发到其他业务卡进行处理,最大化地减小了上层业务中断的可能性。
通常,高端产品也意味着高功耗、高发热,但USG9110 并不在此列。这款遵循ATCA 标准设计的产品对整机与各模块的功耗、散热控制得十分严格,官方给出的整机最大功耗仅为800W。而经过实测,采用双路供电、配备两块机框管理卡、两块主控交换卡、单块业务卡和单块高密度接口卡的USG9110在满载运行时的功耗为每路174W,双业务卡、双接口卡时每路的功耗为264W,在同级别产品中优势明显。
性能:随业务卡
数量线性增长
有了强大的硬件平台做基础,USG9110 的性能可谓十分强悍。每秒25 万HTTP 新建、400 万并发连接、10Gbps 的吞吐量……这仅仅是产品规格表中给出的USG9110 单块业务处理卡的性能,却已经为测试带来不小的难度。2009 年9 月, 华为赛门铁克联合实验室合作伙伴思博伦通信对该系列产品进行了测试,其中某些项目竟然动用了20 台当时最先进的应用层性能测试仪Avalanche2900 方可完成。本次测试中,虽然思博伦通信为我们提供了最新的Avalanche3100 测试仪,却仍然无法测出USG9110 的某些性能值,我们会在统计图表中特别注明。受整体测试环境的限制,所有项目中都使用测试仪直接连接USG9110 的两个10Gbps 端口进行测试。
吞吐量与延迟是防火墙产品永恒的性能指标。我们按照RFC2544 规范的要求,使用思博伦SmartBits 网络层性能测试仪对透明模式下的两个10Gbps链路进行了测试。USG9110 在配备单块业务卡的情况下,64Byte 帧长时的双向吞吐量接近15%,256Byte 以上帧长时超过90%。而在配备两块业务卡的情况下,只要带宽不成为瓶颈,吞吐量就都可以翻番,达到了智能分布式处理最理想的效果。平均延迟方面,单/ 双业务卡下的测试结果几乎没有区别,显示出分布式处理并未给业务流程带来额外的开销。TCAM 的引入理论上可以大幅增加访问控制的实现效率,我们在USG9110上加载5000 条策略后重复进行了测试,结果未发生丝毫变化。
随着互联网应用技术的变化,防火墙的连接处理能力已逐渐超越包转发性能,成为用户选型时最关键的评估指标。
而USG9110 在这部分测试中表现出来的性能,令人相信华为赛门铁克的工程师们深谙这一点。我们按照RFC3511 规范的要求,使用Avalanche3100 应用层性能测试仪考察了USG9110在透明模式、加载5000 条访问控制策略情况下的性能。遗憾的是,在对HTTP 新建速率和最大并发连接数进行测试时,即便只配备单业务卡,测试仪还是先于USG9110 到达性能极限。
虽然我们无法验证官方给出的性能数据,但从测试仪达到满载时USG9110 的CPU 资源占用情况推断,该产品“单卡25 万HTTP 新建/400 万并发连接、双卡性能增加一倍”的指标合情合理。而在最大HTTP 可用带宽的测试中,9.8Gbps 的实测结果也只是10Gbps 链路能够达到的最大性能,USG9110 处理起来显得游刃有余。
防火墙集成IPSec VPN 接入已经是业界的事实标准,许多用户为了业务的安全,也在进行愈发复杂的VPN 部署。借助高性能硬件平台,USG9110 也提供了相当强悍的IPSec 隧道处理能力,并且同样可以借助更多的业务卡实现性能的进一步提升。测试结果也证明了这一点,在野蛮+ 快速/DES+MD5 的参数配置下,该产品配备单业务卡时的隧道新建速率达到每秒221 条(峰值速度,平均稳定在170 左右),最大隧道容量接近4 万;双业务卡时,两个指标都有了将近一倍的增幅。需要说明的是,我们并没有对新加入的业务卡进行任何设置,USG9110 可以自动进行VPN 隧道协商的分布式处理,效果也令人满意。在隧道的可用带宽测试中,测试仪的性能又很不幸地成为瓶颈,实测得到的结果只有官方标称值(单业务卡8Gbps)的零头。有了如此强大的性能和分布式处理机制做基础,相信在网络带宽没有发生量级变化前,USG9110 可以胜任任何规模的VPN 部署。
关注读览天下微信,
100万篇深度好文,
等你来看……