从容面对网络的大提速

2007年4月18日，中国铁路系统进行了第六次提速，宽敞舒适的车厢、航空化周到的服务，加上最为重要的旅行时间缩短，乘坐火车旅行似乎成了一种享受。毫无疑问，这种大规模提速给铁路系统带来的整体运载能力的提升，极大的节省了社会的运输成本，提升工作效率。

　　虚拟世界的网络也被称为信息高速公路，多年来它也在进行着持续的提速，IP网络速度从10M到100M再到1000M以至万兆，网络节点的延迟也是以10倍、100倍的速度下降。这使得网络使用者拥有了越来越多的高速享受--网络电视、高速下载、网络视频会议……。

　　但是，IP网络业者在规划网络提速工程中，也在面对和交通系统一个完全不同的难题，网络中，限制系统速度快速提升的关键不是网线的道路建设，而是网络设备节点性能。确保网络节点持续的提升性能，特别是提升低速节点的性能，是网络设计者最需要关注的内容。而传统网络安全产品，特别是应用最为广泛的传统硬件防火墙产品经常会成为网络性能的瓶颈。这里不是说防火墙设备技术不好，而是因为安全设备本身的工作性质决定的。路由器类设备只是单纯转发，而且转发规则和策略相对固定而单一。网络安全设备的工作则要复杂的多，它需要加载多项策略，除了对每个报文进行转发外，还有可能进行各种拆包、组包、包头分析、深入的内容检查，这使其工作量和复杂度远大于纯网络转发类产品，这种天然的差异使得即使采用相同的硬件，防火墙的性能也会远低于路由器的性能。

　　对于现有的网络，高性能要求的各种实时应用确越来越多，例如VoIP|0">VoIP、视频会议或者网络教学。根据IDC的一份预测报告，未来几年即时通信类应用会呈现快速增长，并最终超过mail、www等时效要求并不高的应用(见下图)。

这种应用的变化对网络性能的要求，不但关注传统的带宽的增长--10M、100M、1000M，也注重带转发延迟减小、小包处理性能等参数。其中特别重要的是转发延迟，在有充足带宽的网络环境下，不同的延迟对于各种实时业务的影响是完全不同的。科学研究表明，人耳对10毫秒的声音延迟会有分辨能力。这意味着在VoIP应用中，如果IP电话通信线路上的所有设备网络延迟总和大于10ms，人耳会听见回声或者明显的声音延误。而很多性能较差的防火墙其转发延迟就可能是ms级别的。在视频会议中，有时会出现视频图像的冻结或声音的中断或抖动，导致这个现象的原因可能是因为带宽不足，但也很有可能是整个系统的转发延迟过大。

　　随着安全产品，特别是防火墙成为网络建设不可或缺的组成部分，越来越多的网络规划和设计者会直接面对"性能-安全"矛盾，不要安全设备直接面对网上无休止的攻击和蠕虫导致了视频系统的性能下降，可是安装上防火墙，转发延迟的迅速增大，也有可能导致网络性能的下降。面对这种情况，近年来各个防火墙厂商不断在技术上解决防火墙的性能瓶颈问题，这包括各种安全算法的优化、端口的扩容、负载均衡等，但其中从根本解决安全设备性能问题的方法是直接对防火墙硬件构架进行提升，特别是安全芯片的固化、ASIC化。

　　从各种不同硬件构架上看，传统防火墙通常都是X86或者一些通用CPU|0">CPU作为转发核心的工控机，这类核心处理器最大的特点是通用性强，对于安全处理和转发没有特殊优化处理。这使得传统防火墙在转发延迟和小包处理上面都显得能力不足。

　　近几年，国内部分较大的安全厂商也推出了NP构架的防火墙，试图提升安全设备的性能。NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于路由常用的数据转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理。但是由于NP在安全领域的应用也有天然不足，NP的概念是上世纪末推出的，在设计的理念上是面对主流路由器市场，当时硬件防火墙并没有形成规模应用，因此NP对于安全防火墙的各种安全算法并没有特别进行优化和设计。因此设计NP防火墙时，绝大多数NP防火墙主板上必须有配传统的X86 CPU，NP负责三层转发等路由工作，X86 CPU负责安全处理--但只能达到传统X86防火墙一样的安全处理性能。这使得尽管在路由转发时，NP防火墙都实测是线速转发，但是在实际安全应用中，不断的报文安全处理使得NP的性能还是有些力不从心，特别是在网络攻击强烈的时候，NP类防火墙性能下降表现出和传统X86同样的趋势。

　　以天融信、Juniper为主的几家国内外顶级安全厂商则直接跳过NP构架，推出了固化的ASIC构架防火墙。ASIC芯片技术与NP有所区别，ASIC--Application-Specific Integrated Circuit、专用集成电路，从电子工程学上来讲，ASIC并不是新概念，从有电路的一刻起，就开始了ASIC的开发与应用， ASIC采用硬接线的固定模式，最早的ASIC确实是完全量身订造，可编程芯片则从70年代初期开始起步，可编程逻辑装置(Programmable Logic Device;PLD)经历了PLA、PAL、GAL、PEEL、EPLD、CPLD、SPLD、FPGA等阶段，现在已经进入可编程ASIC阶段，将多个电路迭层(Layer)的数层的电路改成FPGA的型态(允许变动、调整电路)，并保留几层为原有的传统ASIC型态(不允许再行调整电路)，从而使现代ASIC设备即有硬件芯片级的高性能，又保证了充分的灵活性和可编程能力。

　　特别重要的是，安全ASIC其开发初衷就是安全专用的，它不具备其他多余功能，厂商自己开发的ASIC更是完全按照厂商具体需求开发而成。大多数安全功能的加速算法是可以集成到芯片内部的，从而实现快速的安全转发。对于ASIC防火墙，也需要配置有传统CPU，但是这时CPU主要是起管理作用和执行性能无关的业务，对于安全处理和转发的加速，则完全由ASIC来处理，从而确保了系统无论是路由转发还是网络攻击的环境都能保证较高的带宽。

　　同时，由于完全是芯片级的硬件转发，使得实时应用比较关注的网络延迟有极大的提升。根据对ASIC防火墙厂商Juniper、天融信的ASIC防火墙的测试表明，ASIC防火墙基本全都可以达到千兆满配线速转发，而转发延迟最低的天融信防火墙最小可以达到2微妙，这低于传统x86和NP防火墙几十到几千倍。达到甚至低于普通网络交换机的转发延迟，这对于安全网络中的实时业务--IP电话、视频会议、网上证券等应用的重要性是不言而喻的。

　　铁路的大提速，可能不单单是把火车运行速度提高，它是一个全方位的系统工程。同样，网络速率的提升也不单单是把端口从100M更换为1000M兆，它后面有一系列的工作，有网络拓扑的变化，网络管理的变化，更有设备硬件构架的本质改变，它更需要各个参与者全方位的配合，只有这样，才能真正给网络用户带来真正高速度的、高质量、完全不同的网络新体验。