——華為賽門鐵克USG9560評測報告
產品評測
作者:韓勖
毫無疑問,我們已經步入了雲時代。放眼神州大地,一座座數據中心如雨後春筍般拔地而起,服務器數量與網絡基礎架構的規模屢創新高;互聯網建設也在高速發展,骨幹與接入帶寬的不斷提升,為用戶業務帶來了日新月異的應用體驗;而3G與無線技術的普及,又讓移動終端成為後PC時代真正的寵兒,正在掀開移動互聯的新篇章。
從底層網絡的角度看,通信技術的發展構建了多個維度的高速通路,讓一切變為現實。同樣,用戶也必須借助不斷創新的安全技術,建立與網絡規模相匹配的防護體係,為業務保駕護航。經過國內外安全廠商的不懈努力,目前頂級防火牆的處理能力已經達到百G級別。這並不是個宣傳意義大於實際意義的噱頭,因為用戶的需求已經迫在眉睫。在今年國內運營商的安全產品招標中,對高端防火牆的性能要求達到了40G——80G,距離部署百G產品的日子已不再遙遠。針對這一趨勢,華為賽門鐵克也於近期推出了全新的USG9500係列產品,再次升級了高端產品線。我們也在第一時間對USG9560這款產品進行了測試,親身體會了新一代百G產品帶來的與眾不同的應用體驗,在此與讀者朋友們分享。
規格領先 功能全麵
華為賽門鐵克USG9500係列包含USG9520、USG9560、USG9580三款產品,均基於華為高端路由硬件平台打造。設備中所有部件均為冗餘設計,其中單板、電源模塊和風扇支持熱插拔,符合電信級別的高可靠性要求。三款產品的區別主要體現在擴展槽位的數量與整機性能方麵,最高端的USG9580提供了多達16個接口/業務擴展槽位,標稱具有2.56T交換容量及240G接口容量,是新係列中的旗艦產品;最低端的USG9520則針對主流的萬兆及多千兆接入環境設計,提供3個接口/業務擴展槽位,標稱最大40G的整機處理能力,具有靈活的擴展性和相對較高的性價比。我們測試的這台中端定位的USG9560則需占用14U的機架空間,提供了11個擴展槽位,其中3個用於安裝主控交換(SRU)及交換引擎(SFU)。SRU主要負責設備管理、係統監控與調度、路由計算等工作,同時內置一個交換引擎。當插滿兩個SRU與1個SFU時,兩套主控係統會工作在主備狀態,3個交換引擎工作在2主1備的狀態,提供1.44T的交換容量。這種設計可以保證設備在任意一塊SRU或SFU出現故障時還能正常工作,且性能不會出現瓶頸。
USG9560上剩餘的8個槽位用於安裝業務卡(SPU)與接口卡(LPU),考慮到未來接口容量與性能的升級,每槽位設計帶寬達到雙向200G。在SPU與LPU的設計上,華為賽門鐵克采用了模塊化的思路,顯得非常獨特。SPU板載了兩顆1GHz主頻的NetLogic XLR732處理器,具有10G的處理能力。該卡同時提供了一個子卡插槽,可安裝同樣配置的業務處理子卡(SPC),將單板處理能力提升至20G。而LPU也提供兩個子卡插槽,可安裝不同類型的接口模塊子卡(包括以太網與POS),目前可實現單子卡兩個萬兆或20個千兆的接口密度。與我們去年測試過的USG9110不同的是,USG9500係列產品中的SPU和LPU之間沒有任何強製性的對應要求,用戶可根據需要進行靈活搭配。
在基本功能與安全業務方麵,USG9500係列產品已經實現得相當全麵。該產品可以支持NAT端口複用,能夠有效減少海量用戶使用互聯網時對公網IP的依賴,對運營商、行業用戶及園區網用戶有很大的實際意義。除了防火牆,USG9500還具有VPN、應用流量識別控製、IPS和抗DDoS的能力(後兩者使用單獨的業務插板實現),以滿足數據中心為代表的新應用場景的複雜需求。借助華為在數通領域的長期積累,USG9500係列產品在路由支持的種類、兼容性等方麵有著先天優勢,既能可靠地獨立或參與組網,亦可在遭到DDoS攻擊時與上下遊網絡設備聯動,實現流量的牽引、清洗與回注。
架構靈活 性能強大
與USG9000家族中的其他產品一樣,USG9500係列產品也采用了“兩分布、一統一”的設計思路,即分布式處理、分布式轉發與統一管理。由於集成了高性能的網絡處理器,LPU可以實現基於多種策略的數據分發操作,將流量盡可能均衡地交給每個SPU上的每一顆處理器進行處理。這也意味著,該產品可以通過增加SPU數量的方式,線性提升整機的處理能力。
我們在隨後的測試中使用了多至5塊內置SPC子卡的SPU及3塊具有4個萬兆XFP接口的LPU,組成20G——100G規格的多種配置,對這一特點進行了驗證。測試儀器為搭配了多個10G-LSM-XM4S網絡層測試模塊和Acceleron-NP應用層測試模塊的IXIA Optixia XM12。當USG9560中隻有1塊SPU卡工作時,該係統(路由模式,1條全通策略,後同)在IMIX模型(UDP混合包,64Byte:594Byte:1518Byte=7:4:1)下的吞吐量為20G,平均延遲為85微秒。如果再增加一塊SPU,IMIX吞吐量馬上提升至40G,平均延遲保持不變。當5塊SPU卡均處於工作狀態時,係統的整機IMIX吞吐量達到100G,平均延遲則小幅上升至106微秒。在這個過程中,每顆CPU的使用率都保持一致,係統的負載均衡效果十分優秀。我們也試著在處理能力留有足夠餘量的情況下在線減少SPU卡的數量,USG9560會立刻自動對負載進行重新分配,達到新的均衡處理狀態。