Netscreen的岁月 之一 初识邓锋

Netscreen的岁月 之十三 ISG-2000 (2011-10-01 19:46:26)转载▼
标签： 杂谈 网络安全    分类： Netscreen的岁月
2002年我开始构思下一代高端平台。NS-5400和Saturn毕竟有许多先天的不足。这段时间公司并购了一家做IPS的公司，叫OneSecure。 OneSecure的创始人是Nir Zuk， 一个以色列人，之前在Checkpoint干过。我就在考虑如何能够在一个系统里同时支持Firewall和IPS，甚至包括和Trend Micro合作的病毒防护功能。把别人的软件融合到ScreenOS里是不现实的，软件升级很麻烦，bug又多，还把整体性能给拖下来了。
因此我设想规划四个内部处理模块，除了防火墙主控CPU外，还可以支持另外三个CPU板，板间通过Xilinx FPGA的Rocket I/O串行总线相连，拿ASIC和一颗大FPGA组成交换总线板，前面板还有固定端口和4个接口扩展槽 。有了三个CPU板，类似IPS和AV的处理功能就可以跑在各自独立的操作系统上了。事后证明，这是一个非常优越和超前的设计。后来Netscreen的IPS主要通过这个平台销售，始料未及的是，客户大多买的是独立的IPS系统，因为通过三块双CPU卡加速的IPS性能已经可以与一些专业硬件加速的平台相竞争。
我给这个项目取了一个代码名，叫Tasmania。 原因是公司每年都有President Club，拉业绩优异的销售去风景优美的地方有吃有玩，让我们一帮工程师十分眼热。他们也请工程师，不过只请支持过项目的工程师，而且每年就一个名额，那就只有测试组的人才有资格参加。那一年，他们去的是澳大利亚的Tasmania岛，我留了这个私心，希望产品大卖的时候那帮销售能够想起我来，不过到我离开，这个心愿也没有实现。
这个设计构想没有异议地得到了大家的支持。不过后来Raymond找到邓锋，担心Rocket I/O技术太新，会有风险。在他俩的坚持下，第一版还是用传统的FIFO bus作为主数据通道，但是我还是要求FPGA一定要支持Rocket I/O，可以不用但是生产时要可以测试。多年后，我离开了Juniper，老兄弟聚会的时候，有人还提起幸好当年留下了Rocket I/O，解决了板间互联的性能问题，这个平台才能支撑那么久。屈指一算，ISG-2000在市场上活跃了八年，可谓长寿矣。
这次做ISG-2000，软件方面又是老搭档老黄来负责。其实当时整个软件部门也在讨论大的改变。创业时柯严写的ScreenOS操作系统，修修补补多年，已经不敷使用。首先要解决的是内存保护的问题，不然一个飞指针就能把系统搞死，太可怕了，尤其是代码量越来越大，新手不断进入，这个问题非解决不可。
2000年底，老毛介绍了他的南开学弟陈怀临加入Netscreen。陈怀临就是现在大名鼎鼎弯曲评论的创始人，不过当时他既不姓陈，也不叫怀临。他在这个项目上的工作就是给ScreenOS加上内存保护，基本上是改变直接寻址的模式，转而用虚地址和MMU映射，一旦发生内存overwrite，CPU会启动Exception，这样就可以定位问题了。
ISG-2000用的是PowerPC G4，而且麻烦的是，为了追求性能，我设计了两片处理器，跑在一个LVTTL并行总线上。从电路设计上，这是我遇到最难的一个，原因是信号的终结termination非常麻烦，因为是T形总线。后来的串行技术，就算速率再高，比起这个几乎就没有太大技术含量了。
当时我还年轻，火气也比较大，遇事不服输，系统不稳定，陈怀临怀疑是硬件问题，我就和他争辩。他吵不过，干脆要port一个Linux来验证。邓锋是学并行计算出身的，他推荐我读了一本处理器原理的权威著作，最后我也弄明白了Cache, MMU的工作原理，因此能够读懂Exception寄存器的含义了，算是一大收获。
这个项目上我基本上只负责架构，我们硬件组的Edward, Scott Chastain和机构工程师Eugene负责具体的设计。技术的挑战最终提升了整个团队的个人和团队协同作战能力，这是第二个收获。
几经周折，这个系统终于发布了，而且大获成功。
---------------------------- 版权所有Hillstone 老童 欢迎转载  ----

Netscreen的岁月 之大结局 邓锋隐退 (2011-10-01 19:48:27)转载▼
标签： 杂谈 网络安全    分类： Netscreen的岁月
上市之后，大家都松了口气，晚上和周末加班的人越来越少，停车场上的豪车也越来越多。不过出于惯性，加上911后外面的机会很少，我们就继续这么呆着，错过了中国经济起飞的最好时代。
邓锋还是很有追求的。他应该早就看出一些问题：上市后，为了维持股价，满足贪婪的华尔街对利润的追求，Robert他们减少了在研发上的投入，邓锋也无能为力。不久，我们发现这个老兄居然拿起一本GMAT的书，在办公室里做题。他倒也不避讳，直言准备读MBA，后来被最有名的宾州大学的Wharton School录取。
他也在主动寻找替代自己的人。Frank Marshall向他推荐了Cisco的一个VP，Anson Chen。Anson是台湾人，在Cisco算是中国人级别最高的一个。他来后，首先邀请我们品尝了一圈雪茄，然后推荐大家去买名表，整个一个富家公子气。接下来是搞新操作系统。当时Cisco推出高端产品时，拿出了一个基于QNX的新IOX操作系统。我们也跃跃欲试，陈怀临也是当时的QNX鼓吹者之一。
不过新的操作系统还没整出来，04年公司就被Juniper以四十亿美金的高价收购了，整个项目无疾而终。那时邓锋已经转任首席战略官，这项并购应该就是他操的盘吧。
并购之后，Robert, Mark Smith, David Flynn ,邓锋，柯严相继退出了，我赶上了一个机会，为Juniper在中国创办研发中心，从此开始了海归的生涯。

---------------- 完 ----------------