引子
長江大學(以下簡稱長大)信息中心的領導這幾天愁眉不展的,張主任一直在琢磨或許信息中心才是最能感受到學校招生規模擴大的教學組。這話怎么說呢,自上個學期以來校園網出口帶寬日益吃緊,總是不斷的聽到學生在抱怨怎么學校這上網速度就跟秋后的螞蚱一樣 ---- 是一天不如一天了。學校為了解決這個現代化教學中面臨的問題,已經先后3次對網絡出口帶寬進行了升級,由最初的200M一路飆升到現在的1G,應該說投入力度不可謂不大。最初一兩次還一次擴容個1、2百兆,但每次都是剛改造完的一段時間能起到一定的效果,而每次又都好景不長,用不了多長時間學生們又開始怨聲載道了。誰讓現在是個信息化高速膨脹的時代呢?最后的一次帶寬升級學校領導們咬咬牙決定直接將出口帶寬升級到1G,而且是Cernet和Internet兩個出口各1G。
俗話說:一分錢一分貨,這1G帶寬的效果確實是今非昔比,升級完后效果也是立竿見影的,張主任本想這回起碼一年半載的是不會再為這上網速度問題頭疼了。可是過了沒幾天學生們的意見又上來了;最近這上網速度是明顯改善了,可又出現了新的問題:各種網絡應用開始頻繁掉線了,也就是說與校園網與互聯網的連接開始頻繁中斷了。什么QQ啊、網游啊用一段時間就會掉線,你說信息時代的學子哪能忍受的了這種網絡狀況。后來一排查才知道,原來是校園網出口防火墻的性能在出口帶寬經過幾次升級后已經不足以支撐現在這么高的轉發速率了,從而導致防火墻出現了頻繁的當機、重啟現象。聽到這個結論張主任這回是真的有點苦笑不得了,真應了那句老話了:不是驢不推就是磨不轉啊!看來還是對困難估計不足啊。當務之急只能是報請學校采購新的出口防火墻了。
發現之旅
新防火墻的采購申請不多日子就批下來了,但由于這次不是計劃內的網絡改造或擴容,所以學校能撥付的采購經費不是很寬裕,張主任看著審批單不禁皺了皺眉,因為這之前他已經對市面上的防火墻做過一些調研工作了,能滿足長江大學網絡使用情況的防火墻價格基本都在這個審批價格之上,牌子硬一些的國外廠商的產品自不用說,就是大部分國內廠商能符合他要求的設備價格也普遍在這個審批額度之上。而且張主任心中也知道,即便他現在通過公開渠道查到的設備參數符合他們的要求,而這樣的設備一旦拿到實際網絡環境中真正使用上了其實際性能與標稱能打多少折扣還是個未知數。所以說在采購前必須要對各廠家的設備做一次實地測試,而測試完之后各廠家能真正達到要求的防火墻還不一定是哪個檔次的呢。
既然上頭只給這么多那就只能硬著頭皮來了,不是有那么句話嘛:有條件要上,沒條件創造條件也要上,而且說辦就辦。張主任馬不停蹄起草了一個招標文檔,這個文檔中特別強調了一個環節就是投標前的設備測試環節。這要求所有參加投標的單位必須將投標的產品事先拿到長江大學的實際網絡環境中運行一段時間,以確認其是否能真正達到自己的實際要求。其實張主任本來也沒想把招標過程搞的這么繁冗,但之前吃虧上當的經歷使得他不得不小心謹慎。往往在采購階段各廠家都把設備參數寫的天花亂墜,但到了真正使用時就不是那么回事兒了,這個參數也不付那個指標也不夠這個需求無法滿足那個功能也不具備,結果回頭還得跟設備供應商唇槍舌戰,雖然那時廠家一般也都會積極的配合解決,但這中間是需要花費大量時間精力的。何況長江大學這個上網問題本來就積壓已久了,如果到時花了錢而沒有達到應有的效果,那做完信息中心的領導他自己也是沒辦法向學校交代的。所以基于以上這些考慮,張主任就將這次防火墻的采購計劃的很嚴謹。
發給投標單位的防火墻性能指標文檔中大概包括了以下幾個方面的要求:
1. 防火墻最大并發連接數至少要能到達100萬
2. 防火墻實際吞吐量不低于2G
3. 每秒新建會話數不低于2萬
4. 至少要具備6個千兆接口
5. 要能滿足下連兩臺做雙機熱備運行的交換機
并給出了學校現有網絡狀況的一個基本描述:學校現有上網用戶3000左右,未來一年內有可能上升到4000-5000用戶的規模。出口防火墻的主要功能是保障校園網內部免受外來非法用戶的入侵并為校內師生訪問Internet及Cernet提供接入服務,外網兩條線路的接入帶寬分別為1G,防火墻的轉發性能要能充分發揮兩條接入線路的帶寬優勢。
同時也給出了現有網絡拓撲結構做為參考,具體拓撲結構如下:
其實張主任的這個招標要求描述的已經很寬泛了,按照他手里現有的采購費用額度能買到一臺將Internet出口帶寬跑滿的防火墻已經是燒高香了,更不必說能將兩條1G帶寬的線路都做到充分利用了。而且根據之前對網絡流量的統計情況來看即使是上網高峰時段也幾乎不可能將出口帶寬跑滿,當然了這里面可有防火墻性能不足的因素。
招標意向書發布后不久就不斷的有單位來約時間要求測試設備。因為各投標單位都看中了長江大學后續的網絡擴容項目,所以雖然這次的采購規模不是很大,但各廠家還是都投入了相當大的熱情。
幾輪測試下來后張主任心中已基本有個大概的意向了。從測試的結果來看基本上可以分為這么幾類,第一類是測試結果可以達到要求的產品,但其價格與學校批下來的采購額度相差懸殊,這一部分基本上是幾個國外知名品牌的設備。張主任心里清楚,憑他手中現在掌握的資金來看,想買這部分設備可以說是毫無希望。第二類是測試結果部分達標的產品,這部分產品現在要投入使用的話也勉強可以應付,但隨著學校入網用戶規模的不斷擴大,很可能在不久的將來又要面臨和現在一樣的尷尬局面。但這一類設備的優勢是:其價格與本次招標預期的支出金額差距較小,通過商務談判有希望能將其降到計劃內的價位。而這部分產品主要是由幾家國內知名廠商組成。還有第三類,這一類可以看成是過來湊熱鬧的,價格倒是報的很低,但設備放到實際環境中測試根本就沒法用。所以說這第三類產品根本是不在考慮之列的。
除了上述三類設備以外還有一家讓張主任既感到驚喜又心存疑慮的產品,這是一款以“終結者”系列命名的知名國產品牌防火墻------神州數碼網絡公司2008年初發布的產品,在實際測試時它的各項性能指標均要優于送測的同檔次國外知名品牌產品,其中部分性能指標甚至要遠高于國外品牌的設備。而且其具備的一些很實用的功能讓張主任也很是心動,例如它強大的攻擊防護功能,對于P2P及IM等應用的限制功能,完善而細致的QoS功能,ARP欺騙防護功能,IPSec VPN以及現在市面上炒的熱火朝天的SSL VPN功能等,還有一系列在張主任看來細致入微甚至不可思議的特色亮點。以前他覺得有些只有在交換機或路由器上才具備的功能,現在在這款防火墻上也得到了體現,張主任為了驗證這些功能是不是花架子還特意在測試階段對他們一一進行了驗證,驗證的結果確實沒有讓他失望,果然是真真正正的說到做到。甚至在測試時他已經就在盤算了,這些功能將來如果能很好的加以利用一定會讓長江大學的網絡運營情況有一個質的飛躍。
可讓張主任一直覺得疑惑的是,表現這么優異的產品怎么價格卻不像它的功能一樣“強勁”呢?甚至在國產品牌隊伍里也比大部分的同類產品要低,難道這款產品有其他不為人知的死穴?為了找出他想像中的死穴,在測試之初張主任就叮囑信息中心的人要對這款產品給與特別的關注,為此信息中心的測試人員對這個“終結者”防火墻進行了全面而深入的測試,甚至在試用時間上也比其他廠家的產品要長的多。但經過一整輪的測試后,測試人員給出的結論是:這款產品在測試中實際表現出來的實際性能指標基本都符合廠家在產品資料中標注的參數,甚至部分性能參數比廠家標稱的還要理想。同時也是所有參測產品中實測性能指標參數與廠家自報指標參數背離最小的一款設備。
當張主任看到這樣的結論后,心中對這個“終結者”的疑慮才稍稍打消。但他仍然放心不下。從對所有送測產品的評估結果來看,這款設備無疑正是他要尋找的理想對象,它無論從性能、功能還是價格方面來說都完全符合此次招標的要求,甚至讓張主任有時會產生一種揀了個大便宜的感覺。可是人的心理往往是這樣:越是得來的太容易的東西反倒越是讓人懷疑它里面是不是有什么圈套。可能正是因為在招標之初他便將這件事情定位為一塊難啃的骨頭,而當最終一切又都來的這么順利時,便往往使人產生一種彷徨無措的感覺,因為整個過程不是按照心目中“理想”的順序發展,這不符合“邏輯”。
張主任確實是個負責的領導,為了使此次防火墻升級項目圓滿的完成,為了打消心中的謎團他開始從各種渠道去了解這款產品的相關信息。最終通過各種渠道匯總上來的資料終于使他對這款產品有了一個清晰的認識:
這款產品是神州數碼網絡公司新近研發成功的一系列“多核防火墻”中的一款,它采用了64位多核多線程處理器芯片和高速交換總線技術,實現了芯片級的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統ASIC和NP安全系統新建連接能力和流量控制能力弱的弊病。同時,雖然招標文件中要求參測的防火墻需要具備6個千兆接口,但這款設備卻具備12個10/100/1000M自適應以太網接口,而且其中包括6個COMBO接口,也就是說其中6個接口可以在需要的時候切換為光纖接口使用,這么高的端口密度也是張主任對它情有獨鐘的原因之一。而且它的最大并發連接數和每秒新建會話數也遠遠的超出了投標要求,分別達到了400萬和每秒10萬。
其實如果這款產品光是端口密度高而網絡吞吐量一般般的話他也不會這么看好這款設備了,這款設備在測試時對于1518字節的大包網絡吞吐量能夠達到驚人的4G,即使是使用64字節的小包對其測試網絡吞吐量也可以達到1G,而且該廠家的銷售人員向他透露,這款產品還不是“終結者”系列中最高端的型號。他當時腦子里立馬冒出一個疑問:他們真正的高端型號設備的表現又會是什么樣子呢?反正他只知道現在這款設備對長江大學來說已經足夠了,不但現在夠用而且在將來相當長的一段時間內也不會淘汰。后來張主任通過咨詢獲悉,這款設備之所以表現如此優異,除了因為它采用了64位高性能專用多核處理器架構以外,還得益于他們成功研發的專用64位實時操作系統與之完美的配合,這個模塊化并行實時64位多線程操作系統具備專有的多核處理器控制技術,所以如此創新的架構加上專業的控制技術互相配合自然造就了這款產品杰出的性能和高度的穩定性。
現在張主任的心里已經踏實多了。誰說便宜沒好貨,誰說外國的“月亮”比中國的圓,現在張主任是怎么看這么覺得這顆國產的“月亮”比哪國的都圓。
事已至此后面的招標結果不言自明了,這款“終結者”防火墻在最后的招標環節以大比分的優勢將所有的競爭對手都給終結了。
厲兵秣馬
招標完成后馬上就開始了防火墻的遷移改造工作。遷移之前神州數碼的工程師又就具體的實施細節與長江大學信息中心的相關人員進行了深入的探討。雙方在經過幾次細致的討論后決定:在原來防火墻配置的基礎之上,結合“終結者”防火墻的特點及優勢做出以下幾方面的調整:
1. 升級核心交換機與防火墻之間的鏈路帶寬
原來兩臺核心交換機做雙機熱備時,每臺交換機使用1條1G鏈路與防火墻相連,這樣內網與防火墻之間的實際帶寬最多只能達到1G,而外網接入防火墻的卻是兩條各1G的鏈路。所以從理論上來講會有50%的出口帶寬將不能得到有效利用。而“終結者”防火墻具有端口聚合功能,它可以將多個物理端口聚合為一條邏輯鏈路,以達到增加鏈路帶寬的作用。所以此次防火墻遷移后,計劃每臺核心交換機啟用兩個千兆端口分別與防火墻互聯,防火墻將分別與每臺交換機就這兩條物理線路啟用端口聚合功能,這樣核心交換與防火墻之間的互聯帶寬將達到2G,理論上改造后防火墻的兩條出口帶寬將能得到充分利用,防火墻這個節點上的瓶頸問題將就此成為歷史。
改造后防火墻與核心交換機的連接拓撲如下圖:
2. 對上課教室使用的特定網段IP限制其對P2P及IM的使用
之前使用的防火墻因為不具備過濾P2P及IM應用的功能,所以很多學生在上課的時候也利用教室的上網之便開啟迅雷、BT等P2P應用進行下載,或是開啟QQ、MSN等聊天工具上網聊天,這大大影響了學生的聽課積極性,雖然也曾通過行政處罰等手段加強管理,但收效甚微。這次信息中心的管理人員看到“終結者”防火墻具備這個功能馬上如獲至寶,第一時間要求將所有教室網段的P2P及IM應用全部封殺。
3. 實施QoS策略,對內網常見業務應用啟動優先級控制機制,并對P2P應用所占總帶寬做出限制。
神州數碼的工程師在與信息中心的網管人員討論時獲悉,之前校園網出口擁擠其實很大一部分都是被P2P應用給擠占了,尤其是當晚間上網高峰時段,學生們群起而P2P之,那時要想瀏覽一個網頁都需要等待很長時間才能打開。雖說后來隨著出口帶寬逐步升級使這種情況出現明顯好轉,但這個P2P應用始終是個“能耗”大戶,一天想不出根本有效的解決辦法它就一天是個心頭大患。
針對這個情況神州數碼的工程師結合“終結者”防火墻在QoS方面的優勢給出了如下配置方案:
在防火墻上啟用兩層QoS策略。第一層啟用“應用Qos”,在防火墻內網口對流進的、校園網內業務量占比較大的應用進行優先級排序,這樣就可以讓優先級較高的數據優先通過防火墻被轉發,以加速用戶認為較關鍵的業務,而丟棄或延遲用戶不想要的低優先級數據。通過第一層應用QoS的實施,能有效的控制整個網絡出口數據流的優先順序。 這一層初步計劃將HTTP、SMTP、POP3及某些在線游戲使用的協議的優先級設置的較高,而將迅雷、BT、電驢等P2P協議的優先級設置為最低。這樣就可以保證那些日常教學活動中需要使用的重要業務數據以及一些對網絡響應速度有較高要求的實時性數據優先通過防火墻。而對P2P應用的數據則是在保證那些關鍵業務應用全部得到轉發且出口帶寬還有富余的前提下才會對其進行轉發。
第二層QoS策略則是要將全網P2P占用的帶寬控制在500M以內。這一策略將有效降低P2P對出口帶寬的威脅,從而為其他正常網絡業務的使用提供了保障。
在此基礎上還將對Internet出口啟用彈性Qos,這種彈性QoS實施的目的是當Internet出口帶寬利用率小于75%時,之前受限制的P2P應用所占帶寬的峰值就能夠在設定的500M的基礎上緩慢增加,而這個增加幅度也不是無限制的。當增加到Internt出口帶寬利用率達到90%時,受限的P2P應用帶寬將呈指數遞減,直到降低至限定的500M帶寬為止。這一策略使得當網絡中的高優先級數據流量不是很大時,剩下的空閑帶寬可以得到充分有效的利用。
4. 啟用攻擊防護
從實施防火墻遷移前的調查中得知,以前長江大學對外開放的幾個應用服務器曾經有段時間頻繁受到外網攻擊,嚴重時曾一度導致服務器癱瘓而無法對外提供正常的服務。而且學校內網中也有為數不少的機器,或因為感染病毒或因為人為的原因導致其間歇性的對外發送攻擊數據包,因為這個事情長大不止一次的收到網絡接入提供商的警告,并要求學校馬上自查,如若不然將對發起攻擊的源IP予以封殺。長大為此已經“犧牲”了若干合法IP資源了,要不是他們分配到的合法IP較多,到現在很可能已經淪落到“無米下鍋”的尷尬境地了。
這一次計劃在新的“終結者”防火墻上對內外網同時開啟“攻擊防護”功能,將攻擊統統消滅在網絡邊界。憑借“終結者”的強大攻擊防護能力,讓流經它的數據做到“真真正正,干干凈凈”。
收獲之旅
新的防火墻遷移之后的表現用張主任自己的話說那就是“感覺超乎想像”。他坦承當初計劃啟用這么多功能時他很懷疑防火墻能不能撐的住,因為他也知道像啟用QoS、攻擊防護等這樣的功能都會是相當耗費設備系統資源的,再加上網絡流量也是相當大,所有這些對防火墻而言都是個極大的考驗,所以當初制定完防火墻遷移計劃后他心里還是頗為忐忑的。但隨后的防火墻實際使用情況卻是讓他倍感驚喜,“終結者”防火墻正式投入使用之后,不但設備運行穩定,而且最初設計的配置要求也都達到了預期的目的。兩條高速的接入線路在防火墻的駕馭下帶寬資源得到了充分的發揮。關鍵是與改造前相比,學生們對改造后的網絡使用情況都相當滿意。用張主任的話講:學生們說好才是真的好。
在項目的驗收總結會上,長江大學方面對于此次防火墻升級給予了高度肯定,稱贊“終結者”防火墻“大有可觀”。并積極的表示在以后此類項目中將優先考慮與神州數碼公司的合作。
小結
神州數碼網絡公司的“終結者”防火墻之所以在此次長江大學的項目中深受好評,是與公司近年來持續加大產品研發力度密不可分的。其08年推出的“終結者”系列防火墻具有領先的系統結構設計、強健的專用實時操作系統以及最低的總體擁有成本等諸多方面優勢。
領先的系統結構設計
神州數碼“終結者”系列防火墻是創新的新一代高效網絡安全處理平臺,它采用64 位高性能多核處理器技術,擁有包括TCP 會話保持與報文重組、VPN、QoS流量管理的芯片級加速方案,并且提供獨立的硬件DFA 引擎。輔以高達48Gbps 高速交換總線,以及新一代64 位實時并行操作系統--DCFOS,確保了整個系統不僅在處理網絡通信,并且在處理應用安全防護時擁有充足的系統資源保障。
強健的專用實時操作系統
“終結者”系列防火墻采用專用64 位實時并行操作系統,其并行的處理能力和模塊化的結構易于集成和擴展安全功能。專用的安全加固64 位操作系統針對新一代多核處理器安全機構進行了全面的優化和安全加固,極大地提高了系統的處理效率、系統穩定性和安全性。模塊化和并行多任務的處理機制,為神州數碼新一代的網絡安全系統提供了極大的可擴展能力,包括支持更多核處理器和集成更多安全功能。積累多年被證實的專業硬件安全產品研發和市場經驗,“終結者”系列防火墻在軟硬件的穩定性和可靠性上都有了進一步提高。全面優化的軟硬件系統擁有高穩定性和高可靠性,為網絡流量和網絡攻擊日益膨脹的企業IT 環境提供了強大的保障。“終結者”系列防火墻能夠在最大程度上確保企業關鍵業務的不間斷運行。
最低的總體擁有成本
神州數碼“終結者”系列防火墻提供了非常友好的使用和管理界面,部署簡單、易于維護和管理。靈活的特性可以滿足不同用戶對不同應用環境的需求。獨特創新的新一代網絡安全架構提供給用戶最大化的可擴展能力,有效保護用戶投資。
