分享

今年5月份，思科高调庆祝其数据通信旗舰产品CRS-1诞生5周年。这是思科为CRS-1发布5周年而发表的新闻稿：CRS-1 5 周年

下面是笔者收集的一些CRS-1的相关数据。

× CRS-1发布日期：2004年5月25日。这是CRS-1横空出世时思科的新闻发布稿. 另外，CRS-1的发布也直接导致了笔者在2004年底和2005年初动笔撰写了对华为系统软件的战略思考(上）。当年笔者的建议是，通过对CRS-1的IOX的体系结构观察，力劝华为重整VRP，为将来数据线的腾飞打下良好的技术基础。

× 5年来，CRS-1的客户为300多家，

× 总机器销售量为3200台，能提供的总网络吞吐为2919 Tbps。

×250台CRS-1是基于FCC的Multichasis配置。

×目前最大配置：8个LCC互联。10Tbps吞吐率。

×超过25个网络运营商成为CRS-1的客户。

×最大的客户：Verizon Wireless

×最开始3年，CRS-1为思科带入10亿美金收入。去年一年，CRS-1的营业额超过10亿美金。

×5年来，核心路由器市场份额分布：

–2004第一季度，思科：73%。Juniper：25%。 Avici：2%。

–2009第一季度，Cisco：60%。Juniper：36%。Huawei：4%。

关于思科CRS-1核心路由器的技术体系结构，可参阅：思科核心路由器CRS-1与SPP处理器的研究

分享

分享

这是刚刚做完的一个测试。个人认为，虽然这个安全套件仅是现有产品的整合，却正好满足当前越发强烈的内外网统一控制的需求。NAC、NAP和TNC是很好的，但对于国内中小企业来说不太现实。加上启明对高端客户固有的覆盖力，我相信这个套件未来几年内会带来可观的收益。

btw，这个套件的名字恐怕会对市场宣传造成不利因素，我相信大部分网络媒体的cms系统都不支持在标题内输入平方上标，包括弯曲评论：）

原文发布于《计算机世界》

提起网络安全，人们首先想到的往往是防火墙、IPS和UTM等部署在网络边缘的设备。虽然这些产品的功能与性能提升速度令人惊讶，但在设计思路上却总默认一个不变的准则：外部网络不安全，内部网络绝对安全。这种失衡的防护理念埋下了严重的隐患，越来越多的统计数据表明，由内网用户引发的安全事件已成为当前企业网络面临的首要威胁。

要让内网达到真正的安全，准入控制是必须采用的防护手段。目前，业内比较流行的NAC、NAP及TNC可信接入体系都采用了多层分布式结构，实际部署起来存在难度。在设备层面，由于认证与策略执行分由不同产品实现，兼容性或品牌绑定是用户不得不考虑的问题；终端方面，非认证终端通常在链路层就被隔离，客户端软件的安装只能通过手动等方式，不利于进行统一部署。而近日我们测试的启明星辰UTM²网关·终端统一安全套件，整合了原本复杂的逻辑层面，在简化部署的基础上加强了传统准入控制方案的功能，颇有几分新意。

　　启明星辰UTM²网关·终端统一安全套件是一个完整的网络安全解决方案，由天清汉马USG一体化安全网关与天珣内网安全风险管理与审计系统两款产品融合而成。在这套方案中，USG系列产品除了提供常规的多种安全功能外，还扮演着可信接入体系中认证者与执行者的角色。而经过定制的天珣客户端软件一方面充当内网终端的认证代理，与USG进行准入校验；一方面接收加载有针对性的安全策略，提高内网终端的安全性。终端的策略配置与管理功能，则被无缝嵌入到新版本USG产品的WebUI中，有效提升了部署与维护的效率。

本次测试的硬件环境基于一台USG-600C一体化安全网关搭建，我们将其被配置为桥模式，直接串接在实验室网络出口与交换机之间。根据以往经验，准入控制方案的部署是件相当麻烦的事情，所以从测试初始阶段起，我们就将操作与使用的复杂性定为重点考察对象。考虑到普通用户需要亲自接触并安装客户端软件，我们也请一些不太了解网络知识的同事配合完成必要操作，得到独立的应用感受。

　　登陆到USG-600C的WebUI后，可以看到主界面左侧增加了一个名为“内网安全”的功能模块，下分配置、行为管理、准入控制和终端管理四部分功能。其中行为管理和准入控制一栏下，又提供了多个子功能模版，以实现策略的分层调度。配置栏用来制定内网安全的总策略，可以将前两者中设定好的模版与源IP地址、接入认证、时间表等元素进行绑定，操作起来十分灵活。因总策略最终需要绑定到防火墙模块的安全策略中才会生效，所以先期可以在这里随意修改设定，而不必担心对内网用户造成影响。一旦完成绑定，USG就会对命中策略的终端进行准入验证。如果检测到内网终端未安装天珣客户端，USG会在用户发起HTTP请求时引导至预设在本地或指定服务器的下载页面，完成软件的安装步骤。

准入控制是启明星辰UTM²网关·终端统一安全套件的核心功能。通过终端与USG一体化安全网关的联动，该套件可对内网终端的进程、防病毒软件/版本和操作系统补丁进行验证，阻止不合规的节点访问网络。为保证强制执行进程的版本和真实性，还可以对进程采用名称加MD5校验码的验证方式。而对于不断更新的操作系统补丁，USG亦可定期从互联网同步最新的列表，并以此作为准入的判断标准。我们尝试设定下发了一条策略，要求内网终端必须打齐所有补丁、运行NOD32防病毒软件和360安全卫士，才可以访问网络。测试用机的屏幕上马上弹出提示窗口，告知未满足准入要求并中止了网络连接。直到我们打齐补丁、安装运行了缺少的软件后，网络才恢复正常。

　　在USG的准入控制模块中，还有几项涉及单点控制与安全的功能项，分别是进程黑名单、终端加固、域规则、注册表保护和外设管理。外设管理是个非常实用的功能，可以对几乎一切能与外界进行数据交互的部件进行限制，有效防止信息泄露或不安全因素进入内网。而进程黑名单这个功能，则对实现完备的行为管理有很大帮助。俗话说分则弱，合则强，单一的防控手段很难达到尽善尽美的效果。以封禁P2P应用为例，在准入控制中把进程名放进黑名单，难阻改名外挂或修改版的客户端；单靠USG中上网行为管理功能，又无法屏蔽协议发生变化的新版本。只有采取网关与终端结合的方式，才能达到最好的防控效果。

内网终端行为管理是启明星辰UTM²网关·终端统一安全套件比较独特的功能之一。利用天珣客户端内置的防火墙，管理者可以制定详细而有针对性的网络访问策略，强制内网终端加载执行。USG上终端访问控制列表的设定也加入了准入控制和行为管理的元素，可以结合主机安全状态、带宽及流量设置策略。与传统的主机防火墙不同，进程是天珣客户端内置防火墙最重要的策略元素。结合进程制定策略，可以更准确地控制网络访问行为，减少以往粗放型策略对正常应用造成的负面影响。举个真实的例子，实验室网关以前通过限制每内网IP的TCP新建、并发数和可用带宽的方式应对各类网络滥用行为，虽然收效显著，却严重影响到文件下载、邮件收发等正常应用。而对于安装了天珣客户端的终端来说，只需对引发网络滥用行为的进程进行限制，即可达到相对完善的控制效果。如果用户业务模式相对单一，更可以采用白名单的思路制定策略，为业务相关进程外的所有网络应用设置新建、并发和带宽上限。这样，就算出现了无法识别的滥用行为，也不会对网络性能造成太大影响。值得一提的是，行为管理模块中还内置了多网卡限制功能，防止用户通过其他方式外联。我们使用双网卡和时下流行的3G数据卡对该功能进行了验证，抓包结果显示，除内网卡外的其他适配器都无法产生任何流量。

　　嫌杀毒软件慢就直接关掉，这样的情况在用户处并不鲜见。鉴于此，我们也考察了天珣客户端的资源占用情况和强壮性。软件安装后，系统运行时会新增两个进程，它们对系统资源的占用率很低，基本不会对终端性能造成影响。我们没有看到新增加的系统服务，但终端上所有网卡均会增加一个特殊的驱动层。我们推测，这个驱动层应是天珣客户端内置防火墙的重要组成部分。

　　天珣客户端的操作权限可以在USG中设定，只要开启了密码验证，非授权用户就无法私自停止或卸载。在任务管理器中，虽然可以人为终止以用户身份运行的控制台进程，却无法彻底杀死系统级的核心进程。企图绕开网卡加载驱动层的努力也宣告失败，我们发现这个额外的驱动层既无法卸载也无法关闭。从USG的终端管理功能中可以看到，无论我们怎样尝试，这台电脑的安全状态始终都保持正常。

测试后记

“主机防火墙？防病毒软件检查？补丁更新？这些功能Windows自己不是都有么？”测试开始前，一位来帮忙的同事很疑惑地问我们。确实，这些天珣客户端中包含的功能，在WindowsXP SP2之后的安全中心组件中确实已经提供。但考虑到大众用户复杂的应用环境，微软并没有设定任何强制性的安全检查策略，而是将“准入”的判断权交给用户自己。对于企业用户来说，这种做法不但没起到应有的效果，反而严重影响到员工的操作体验。

“Windows防火墙经常问我是不是允许这允许那访问网络，我也不明白，后来烦了就把它关了；还有补丁提示，经常跳出来烦人。这个东西倒是不问，逼着我装好补丁才能上网，感觉它还限制了一些程序访问网络。”测试后，这位同事用精辟的语言说出了他最直观的感受。启明星辰UTM²网关·终端统一安全套件为企业用户带来的最大变化，就是将员工的端点准入与网络访问决策权集中起来，由具备专业知识的管理员进行统一决策，再下发强制执行。这种方式，有效减少了内网终端面临的安全隐患，也大大降低了部署、使用与维护的复杂度，提高了员工和管理员的工作效率。

分享

分享

交流，是人类的基本需求。这方面的技术革新层出不穷。这不，谷歌即将推出号称是革命性的交流软件，波浪。

波浪预计在今年年底推出。它到底做些什么？一张照片比千言万语更准确，请看下图：

这类产品其实有很多，Facebook，Twitter，MSN，Yahoo Messenger，AOL ICQ，QQ等。波浪集成了这些产品的优点，同时又有不少差别。

• 波浪也是一个实时聊天工具。不过，波浪是多媒体的聊天工具，而且聊天的同时也产生了多媒体的聊天记录。和MSN不同，这个多媒体等同于Web的多媒体，而不限于文字、图片、视频等。
• 波浪产生的聊天记录同时又是Facebook的Profile，可以共享给家人、朋友、同事等。其实创建一个波浪会话的同时，就可以加入联系人。这个会话还能被随时更新，不需要额外的操作就能在网上共享。
• 波浪的聊天记录又好像是电子邮件的reply all。在这个会话中的人都能动态的回复、编辑等。
• 和谷歌的其他产品一样，波浪有着自己的编程接口（API）。第三方可以集成自己的服务。

最近Twitter的流行让谷歌非常眼红这块市场，波浪虽然不是专门针对twitter，但是却涵盖了twitter的功能同时克服的twitter最大的不足——没有多媒体。谷歌还将纵向集成波浪服务在Android电话、Google个人主页以及Chrome浏览器中。

波浪还可以作为一个个人笔记产品使用。在这一领域有微软的OneNote产品，以及Evernote.com的evernote系列产品。都是很好的产品，不过在共享方面都有不足，另外都不是完全免费。

笔者对于波浪非常看好，希望半年之后谷歌能如期推出。

分享

分享

美国人也在这次金融危机中努力反省自己。其中一条就是消费者对于信用卡的过度使用。这种无节制消费习惯的结果，就是支付高额信用卡利息并且有可能破产。美国人的家事也是国事，美国总统Obama除了提倡美国人多使用储蓄卡（Debit Card）以外，还指责了信用卡公司们过于模糊和繁琐的规则。这些规则往往是打印在信用卡账单背面的密密麻麻的蝇头小楷，而且经常变化（subject to change）。

Obama没有把指责停留在口头上，5月22日，他签署了一项法律（Bill of Rights）来规范化信用卡公司以前种种繁杂的规则来保护信用卡使用者。其中几项最为重要的条款如下：

1. 信用卡公司如果想提高利息，必须在45天之前通知持卡人
2. 信用卡公司不能提高现有透支的利息，除非持卡人已经超过付款期限60天
3. 信用卡的详细条款必须被发布在互联网上，而且如果持卡人通过电话或者互联网付款，信用卡公司不能收取附加的费用
4. 信用卡公司不能发卡给年龄小于21岁的消费者，除非此人有监护人能保证付款

Obama在自己的演说中提到：“信用卡合同的被写成没有提示而是混淆。神秘的费用出现在账单上。付款期限变化。规则变化。利息升高。”这些事情确实是经常发生。尤其是神秘的费用，如果不仔细看信用卡账单，很难发现。几个月后发现了，之前的费用也很难被追回来了。

最近几个月的统计显示，美国消费者使用储蓄卡的增长首次超过了信用卡的增长。这也许是经济危机给美国人敲响了警钟，也许是消费者个人认识到需要更好的控制自己的消费行为。无论什么具体原因，就像小松鼠那样，储蓄是一种美德。

分享

分享

在上述两节描述的物理交换卡（QS123，HS123和S123）是而且只是给CRS-1的独立路由器LCC的，例如，4槽，8槽或者16槽LCC。其实细心的读者可以从命名约定都可以得知，这3种交换卡的123后缀意味着在一个物理交换卡上，已经完成了交换平面的3级交换的各个阶段（Stage）。每个交换卡提供而且只提供系统8或者4个（对于4槽LCC而言）交换平面中的一个平面。

在CRS-1家族中，还有另外2个物理交换卡。其名称为S13卡和S2卡。这是对于CRS-1基于FCC的多机互联（LCC+FCC）的系统而专门使用的物理交换卡。

换言之，S13卡和S2卡是而且只是被用在基于FCC的多机互联系统中。请注意，笔者非常强调“基于FCC的”多机互联。其蕴含的信息是，如果是单纯的多机LCC互联，例如双机16槽LCC的HA（Active/Passive）通过1G或者10G的数据端口互联，是不需要，也与S13卡和S2卡毫不相干的。双机HA互联的结构，其实是一种容错结构。总体而言，是两个独立的路由器，只是在软件层面做NSR和ISSU等热备份工作。

CRS-1的FCC的多机互联的本质是：一个路由器！ 多个LCC加上一个或者多个FCC形成的一个系统是而且只是一个路由器。这个“只是一个路由器”既是逻辑上的理解，更重要的，也是物理上或者实际上的理解。

上述断言是对CRS-1系统非常重要的，希望读者一定要清楚的把握。一次性的把概念切入，从而避免混淆。

在一个路由器的前提下，理解下面要讲解的S13卡和S2卡就变得容易了。

S13物理交换卡：

当16槽LCC用于FCC多机互联时，必须将单机时配置的S123卡拔出并替换掉。要插入S13交换卡。S13交换卡是CRS-1硬件系列中唯一能与FCC通过光缆互联的设备。在S13物理交换卡上，一共有6个交换ASIC芯片。其中2个完成S1阶段，4个完成S3阶段。读者比较S123卡，其实就可以知道，其实就是去掉了两个S2阶段的ASIC交换芯片。

在FCC多机互联的CRS-1系统中，LCC配置的是S13卡，而非S123卡。S13卡，顾名思义，具有3级交换的阶段1（Stage 1）和阶段3（Stage 3）的功能。

那么谁来完成基于3级交换的交换平面的阶段2的功能呢？

一个单独的物理交换卡–S2物理交换卡。

S2物理交换卡：

在S2卡上，含有6个交换ASIC芯片，也即S2芯片。S2卡是用而且只被用在24槽的FCC上。

到目前为止，基本上介绍了单机LCC系统下的交换矩阵，交换平面和相应的物理交换卡的概念，关系和具体的物理映射等。也介绍了在FCC多机互联下，CRS-1需要的另外两个特殊的物理交换卡–S13和S2卡。

笔者会在下节“FCC多机互联”中阐述：在FCC多机互联的体系结构中，如果延伸和映射交换矩阵，交换平面和物理交换卡这3个CRS-1重要的概念和含义 。 其实，忘却细节，读者如果能够理解笔者如下断言，就基本上把握住CRS-1的交换核心了：LCC系统的交换是一个紧耦合系统（Tighly coupled System）。FCC多机系统 的交换是一个松耦合系统（Loosely coupled System）。

分享

分享

      据《华尔街日报》近日报道，一家来自俄罗斯的技术投资公司Digital Sky Technologies（DST）提出向Facebook投资2亿美元购买其优先股（preferred stock），按照优先股总价值100亿美元占有股份。该投资公司还将购买1亿到1.5亿的普通股，按照总普通股市值65亿美元估价。目前还不清楚Facebook是否做出了回应，也还不清楚DST公司是否谋求一个Facebook董事会成员职位来作为投资要求。

      100亿美元这个价值已经离微软2008年年初购买Facebook股份时，给该公司的估价不远了。当时微软决定战略投资Facebook，用2亿4000万美元的高价买下Facebook 1.6%的优先股。照此计算，Facebook的市值高达150亿美元。当时可谓群情踊跃，纷纷认为，Facebook成为下一个谷歌看来是挡不住了。不过同时期几次Facebook高管私人股票交易表明，Facebook公司当时的市值也就在50亿美元以下，只是微软为了防止Google入主Facebook而决定溢价购买，钱多烧得荒。如果Facebook此次接受DST投资并给一个董事会成员位置，我们大概可以知道这个座位的价格了：2亿美元。

      对Facebook投资与估值最关键的因素是Facebook的营收额。据其内部估算，2009年该公司营收可以达到4亿美元，不过该公司对外一直宣称可以达到5.5亿美元，也许这家俄罗斯公司更看好后面这个数字。Facebook有效的利用了其非上市公司的地位，对于相关的质询，该公司的答复很直接：“Facebook是一家私有公司，因此作为公司基本策略，我们不对外公开我们的财务细节，也不回应有关的传言和推测。”

弯曲评论相关文章：

改变互联网的15组年轻人

Facebook到底值多少钱？

Facebook用户隐私保护急待改善

Facebook上的温总理

Facebook上的比尔盖茨

李嘉诚再向facebook注资四千万美元

谷歌高管纷纷倒戈–投向Facebook

Facebook美国用户增长趋缓：审美疲劳？

社交网络简史

Facebook要推出即时通信服务

Facebook上用假ID？可能进监狱！

Google, Facebook争抢毕业生，工资大涨

分享

分享

文章导读：从域名管理的角度上来说，两个“开心网”都不违规。该案例也提醒企业，必须将域名战略纳入经营战略之中。

    2009年5月21日，北京，终于见到“开心网”对簿公堂的新闻见诸报纸及网络中。这是笔者很早就预计到会开战的一场“网战”，原因包括：

首先，在中国Web2.0经营者刚刚从Blog的“死胡同”中爬了出来，弄出一个“娱乐2.0”的开心网，符合中国近七成网民都有“娱乐第一”的需求。“疯投”（VC）们眼睛刚刚一亮，接着忽啦一下，遍地都布满了“开心版”网站，市场又被重新瓜分了。显然，VC们最不开心，必须找一个理由给投资人作解释。如果官司赢了，法官的判词就是最好的解释词。

其次，不久前浙江省评出的2008年十大知识产权争议判案中，杭州“19floor域名争议案”就是以内容判定域名侵权的一个比较“雷人”判案——它根本不考虑域名的属性、注册者持有时间先后、域名属地管辖原则，完全是“中国式”法律及媒体先声夺人地进行了“判决”，去引导公众视野。因此，笔者认为“开心网”对簿公堂有可能是它的北京版本。

CNNIC副主任刘志江此前在接受媒体专访时表示，域名是重要无形资产和战略品牌资产，域名保护应列入企业公司战略。刘志江举了开心网域名遭抢注的例子。刘认为开心网域名遭抢注这样的事情不是个例，造成这种局面几方面都有责任。从商业角度来说，陈一舟购买www.kaixin.com域名，创办千橡开心网并不违规。但从开心网经营者程炳皓的角度讲，程炳皓创办公司时域名保护措施做得不够。

刘志江认为，域名是企业非常重要的标识，也是非常重要的知识产权。域名不再是技术问题，而是经营问题和法律问题，“其实如果企业希望购买域名，应该在企业成立之初就购买，这个阶段如果购买域名，几千块钱、几万块钱是有可能的。但是如果要等把企业品牌做大了你再去买域名，那就有可能需要上十万、上百万，也就是说，域名战略是企业经营必须考虑的问题。”

刘志江的观点其实包括了两个角度的问题：一是网站是网站、域名是域名，二是凭域名判断，两个网站“并不违规”。

第一个问题比较易理解：ICANN（互联网名称与数字地址分配机构）创立了200多种顶级域名，既是为了类别（gTLD）上好区分，也是为了国别地区（ccTLD）上好区分，几乎不存在从网站内容角度去判定域名侵权的制度。域名是以树状结构去避免寻址过程出现“撞车”事件发生，这是技术措施的保障。而从杭州“19floor域名争议案”到“开心网”侵权案来看，似乎从互联网内容管理角度去给域名价值建立“中国立法形象”，这是一种有违域名本意及域名争议政策的不太好趋势。

第二个问题涉及到域名体系的寻址误导可能性问题：根据ICANN及《中国互联网络域名管理办法》第一章中关于“域名”的定义：域名：是互联网络上识别和定位计算机的层次结构式的字符标识，与该计算机的互联网协议（IP）地址相对应。”

从这个角度上来说，域名kaixin001.com 和kaixin.com 都不是属于“违规注册”或“等同域名”。根据ICANN及CNNIC 《域名争议解决办法》判定标准，符合下列条件时投诉才得到支持：一、被投诉的域名与投诉人享有民事权益的名称或者标志相同，或者具有足以导致混淆的近似性；二、被投诉的域名持有人对域名或者其主要部分不享有合法权益；三、被投诉的域名持有人对域名的注册或者使用具有恶意。

因此，笔者同意刘志江的观点，认为这种以域名作为网站同质化竞争诉讼借口的，是网站经营内容缺乏门坎导致的。网站经营者拿域名判断网站侵权说事，是对世界域名体系结构及管理政策的误解。如果类似杭州“19floor域名争议案”这种案子成为中国法院的典型判例趋势，建议最高法院考虑世界域名体系结构及管理政策，然后写一个司法解释。

世界域名体系结构及管理政策是符合全球互联网标准，实现互联网国际化的通则。这也要求我们的法官在处理域名争议案中，需要更多地参照世界域名体系结构及管理政策，否则随便歧解现有世界域名体系结构及管理政策，是漠视国际准则，必然会引起世界同业负面注目。

这正是：域名性本善，域名何罪之有？！

分享

分享

关于Panabit这个产品在这里不多做介绍，详情请参见陈老师之前的文章或官方网站。

我们实验室一直在用免费的Panabit标准版，效果非常好，目前来看也很稳定。一台破旧的联想台式机，ce2.1、845D北桥、512MB内存加3块20块钱的螃蟹8139，从安装至今一个多月没出过问题，也没重启过。接入前用Avalanche跑了个HTTP新建，大概是3500TPS的样子（1Byte Payload，1T=1C）。实际部署后设定了一些策略，截止目前还没有发现什么功能上的问题。我必须承认自己太喜欢Panabit的WebUI了，这是我见过的国内产品中UI设计的最合理最漂亮的。虽然没有设置向导和在线帮助，但我保证大多数接触他的管理员在10分钟内就能自己掌握配置方法。后者是个没法量化的指标，但国内很多厂商的WebUI做的实在是太糙了，以至于让Panabit显得出色。这个话题在这不发挥，有机会，厂商们配合的话，我非常想做一次安全产品UI人性化、合理性与美观度的横向对比测试。某些国外大厂就不用来了，强烈鄙视一切不提供中文UI的歧视行为。感谢Panabit的开发者老毛今天亲自帮忙升级到最新版本，新增加的URL Filter是很多用户都要用到的功能。

对于标榜高性能的Panabit专业版，我是很期待的，老毛甚至说过可以用它为x86正名。所以一个多月前我们就联合进行过测试，但并没能取得所有性能成绩。先简单回顾一下当时的数据。

　　DUT配置：

• 硬件部分：新汉1088N8。具体配置：CPU-Intel E6600（2.4G，单路双核），桥片-3210，内存-DDR2 667 2GB，网卡-82571（4x1000Base-T模块）
• 软件部分：Panabit V9.03，发布日期2009/03/24。在WebUI中将4个电口配成两组桥，对流经数据进行应用层流量检测，一条全部允许的策略。

以下是用Spirent TestCenter按RFC2544测得的吞吐延迟结果。可以看到64字节小包吞吐量已经超过2GB，pps也超过300万，而此时的最大延迟仅为781微秒。256-1518字节的吞吐肯量都超过4GB，抖动也小了很多。总体看来，Panabit的2-3层性能是非常出色的，放在x86防火墙里也是数一数二的了（和我测过的、1u规格的产品相比）。当然，国内厂商现在也没有用x86做千兆高端防火墙的了吧，用x86去和XLR732或者CN56、58比吞吐延迟就太不公平了。

当时只有一对Avalanche2500，自环的HTTP新建极限也就是50000TPS的样子。Panabit放在中间时的表现就好像一根网线，结果和自环没什么两样。图中偶然一次响应时间的抖动，也不好说是DUT造成还是Avalanche自己的问题。因为从没见过x86平台设备（哪怕是防火墙）达到这种性能，我仔细检查了DUT上的Log和连接信息表，确认了几次才证明实施过程无误。事后问了不少国内厂商做研发的朋友，大概了解到目前国内x86平台的防火墙新建也不全都能达到这个水平。虽然这次DUT的CPU配置比了解到的平台都高，但Panabit只使用了双核中的一颗进行业务处理。所以这个成绩，对我来说已经是洗脑了。而且从图中响应时间保持为0来看，Panabit的真实性能应该远超50000TPS。

于是今天我动用了Avalanche2900来测Panabit的HTTP新建，DUT还是上次那台设备。由于某些原因，我只能使用3对千兆口进行测试。按2900规格表中125000TPS的最大HTTP新建来看，3对口的新建肯定能超过9万。实际测试结果又和上次类似，HTTP新建稳定在90000TPS左右，也没有看到响应时间因为队列拥塞而线性上升。很遗憾，当时有点激动，忘记截图了。老毛倒是很淡定，他的态度是这个平台下的HTTP新建15万保底、20万争取。如果到了30万，才算接近理论值。我想，没测出来的成绩就先不要谈了，但，一个应用层流控产品（还是单路双核x86平台，1个核处理业务）的HTTP新建都接近10万了，是不是值得安全厂商做预研的兄弟好好思考下？目前已知国内1u规格安全产品中HTTP新建最高的应该是基于XLR732的华赛USG5000吧，我们兄弟媒体网络世界测得的数据是20万+TPS。但那个数据也只是单纯防火墙的性能而已。

我承诺老毛近期一定会安排第三次测试。超过12万5，咱就加第二台Avalanche2900；要真破了25万，咱就整3台来，倒要看一看Panabit加单路双核x86平台能达到什么样的HTTP新建性能。无论如何，现在得到的所有结果已经能证明Panabit的优秀（至少在我看来，和测试过的同类规格的产品对比），以至于让我开始写出一些不符合客观中立原则的文字。实际上我还非常想测一下，如果Panabit拿掉流控模块，改为普通状态检测防火墙，又是一个什么样的性能结果呢？

Panabit之后是龙芯2F防火墙板的参考设计，龙芯技术服务中心出品。这块板子做的不错，相比他们以前龙芯2E防火墙板更接近“产品”而不是“科研成果”。得益于龙芯2F的高集成度，板子设计显得非常简单，大体上就是一颗800MHz的龙芯2F处理器、一条DDR2 533 512MB内存和4个82551。据说这个板子成本很低，在与低端x86平台的PK中总有切入点。

测试时软件软件暂时没找全，参考板上只用64位的2.6.18内核+iptable搭了一个NAPT的网关。今天手头没有2-3层测试仪，简单用Avalanche测了下HTTP新建，大约在5000TPS左右。相比去年测试过的龙芯2E防火墙，这个成绩大约提升了40%。我推测，这个平台经过优化后的HTTP新建性能应该还能有50%左右的提升。结合对方提供的百兆双向30%左右的吞吐性能（64字节）判断，此平台做百兆防火墙产品完全没有问题。所以我个人认为，在目前越发收紧的信息安全产品采购规则（等级保护之类）的约束下，龙芯肯定会从行业开始渗透。据说曙光的龙芯防火墙最近卖得不错，也许就是个证明吧。

时间所限，关于Panabit和龙芯2F防火墙参考设计的实现思路、技术特点、产品分析等内容将另行撰文介绍。要记录下今天一天的测试过程纯属冲动，不过确实很久没有遇到如此有价值的内容了。能长见识，或者学到新东西，这样的测试才会让人充满激情，甚至是一种欲望。另外，发掘有价值的内容本身就是媒体的责任，有义务尽最大努力和尽量多的人分享。如果你也有类似产品，也愿意通过这种形式分享，请联系我。

最近经常看到媒体、咨询公司以及这院那部发表的关于国内信息安全产业现状与未来的文章，总有不爽的感觉。一个字，空。有些文章纯从投入营收数据来分析，好歹也有几分道理；有些文字牵强附会的离谱，逻辑可比时下流行的“废品价格止跌推断经济复苏论”。我对这个行业的看法，大部分是消极的，因为这里到处充满躁动、盲目以及过度重商轻研的情绪；也有小部分积极的感觉，则来源于Panabit、龙芯等企业机构不忘苦修内功的冷静与务实。相信不久的将来，浮华褪去，用户消费观念趋于理智，就是他们大放异彩的时刻。

去年测Ubicom的产品时，同事说的一段话令我印象深刻，大意是美国半导体行业强盛不衰，主要推动因素不是Intel、AMD，而是大量类似Ubicom这种具有独特思路和产品的小公司。所谓星星之火可以燎原，我想国内安全行业的创造与发展也应该由千千万万的Panabit和龙芯去推动，而不应过分依赖于天融信或启明星辰。

作为媒体从业者，我更力挺他们。

分享

分享

近日于互联网上寻得一PPT，有诸多不解及感想，现予以记录。文档真实性暂不考虑，也无从考虑。

• 支持x86虚拟机：不知道这个支持是什么层面的。如果是软件层面，似乎不该写在这；如果是硬件层面，那是龙芯3号的东西。难道是龙3虚拟机相关指令集的简化版？
• 支持媒体加速、高清解码器：推测媒体加速还是通过类似2F集成指令集的方式而来，不过不太可能是成体系的SIMD指令集。从逻辑图来看，还有一部分IP做硬解。硬解就是硬让人不解：把君正那一套搬来干啥？或者是凤芯里的IP？问题君正好像以后都不采用这种方式了，不入流阿。
• 1MB二级缓存、ECC校验：从性能和产品特性考虑，这个SoC的适用场合中貌似没有用得到的地方。
• 内存控制器：左侧文字写明是DDR2/DDR3控制器，右侧逻辑图里却是DDR1/DDR2控制器，令人糊涂。不过还是从性能角度考虑，DDR3有必要么？
• PCI-E控制器：最关心的是专利和授权问题，不知道怎么搞定的。龙芯3号原本同时集成HT和PCI-E控制器，后来好像就是因为上述问题把PCI-E拿掉了。
• GPU及显示控制器：本页幻灯中最悬疑的地方。右侧逻辑图中有一个叫做“2D GPU”的部件，对此网上争论很多。有人说可能是“龙芯2D处理器”，就是个GPU；有人说是二维的GPU，但从没听说过没有3D能力的显示芯片被称作GPU；还有人头头是道地说这是ICT买来的IP，原厂家是Vivante……总之争议很大，个人觉得都不靠谱。
• 加密处理器：一般说来这个部件用在通信和存储业务的加解密中。如果这个部件出现在龙芯3号里，我可以理解；但出现在这么一个全功能的SoC（确切地说是MoC）中，就很难理解了。唯一靠谱的推论，就是ICT早做好了这部分IP，本来要用在龙芯3号中，现在放在2G里为了做便携终端的存储加密，而且已经有了明确需求（军队、政府）。具体实现和产品可以参考VIA C3/C7/C8的PadLock解决方案。
• ACPI：ACPI应该是x86中的东西，MIPS没有（对此我不是十分肯定）。不知道这里指的是不是ICT开发的类似ACPI的体系，但从需求来看是完全可以理解的。
• AXI CrossBar：不知为啥总觉得不对劲，具体说不上来。

最后是个人一点不成熟的看法：

我一度相信这是ICT把手里积累的IP做了个大杂烩，因为现实中能把这些部件都用上的产品太少了。基于ICT目前的开发模式，这也是可以理解的。我想这样的龙芯2G最可能的产品形态可能还是便携终端或瘦客户机，卖点还是自主知识产权和安全性，主打的还是行业用户。如果是我做营销，我会把卖点集中在加解密特性，并且不会把价格定的非常低。参考设计会做具备实时存储子系统加解密功能的NetBook，以及针对行业用户的瘦客户机解决方案。后者类似Intel的博锐，但以太网上的通信是IPSec加密过的。因为龙芯平台的PMON（即Bios）完全是自主可控的，所以完全可以做到对软件透明。这种实现，据说龙芯某些研发中的安全产品已经采用了。

遗憾也不是没有，个人认为SATA控制器和视频硬解是最大的短板。如果能支持至少4个SATA口和RAID 0、1、5，那龙芯2G有能力达到SMB级存储的要求。为什么是视频硬解而不是硬压呢？现在比较火的IP分布式视频监控方案市场可不小。而目前看2G要进机顶盒电脑恐怕不太实际，这类产品的市场是否存在目前都值得怀疑。

越看龙芯2G越像Intel的Tolapai，只不过在对应用的把握和指标量化分析上，ICT应该好好向Intel学习学习。无论如何，65nm工艺在大陆已经比较成熟了，如果ICT能够在2010年成功做到龙芯2G的量产，市场前景还是很不错的。

分享

分享

    OpenTable公司（NASDAQ代号OPEN）今天上市，它是今年第一个硅谷风投投资、IPO成功上市的技术公司。去年一年，硅谷地区只有一家公司上市，ArcSight（详见弯曲评论相关文章）。OpenTable第一天的交易开局不错，开盘价24美元，现在交易价在29美元左右。

    一般来说，一个IPO首日股价如果上扬，其长期前景可好可坏；但如果它的股价下跌，其前景多为黯淡。目前股市低迷，能够成功上市已属不易，OpenTable股价可以逆势上扬，主要原因有二。一是它的可交易股数不多，总共只有三百万股，供求关系造成其股价大涨，多数分析师估计其合理股价在9至17美元之间。第二个原因是OpenTable已经开始盈利，它最近一个季度的营收是1600万美元，盈利36万美元。

    OpenTable并非是一个新公司，它创建于1998年。它的主要产品是一个餐厅饭店的订座软件和网站（类似于中国的饭桶网），使用其软件的餐厅超过一万家，在美国市场的占有率接近三分之一。OpenTable的CEO是Jeffrey Jordan，主要投资商有Benchmark Capital，Impact Venture Partners，和Integral Capital Partners等。更详细的介绍，有兴趣的读者可以参见OpenTable的网站。

弯曲评论相关文章：

硅谷今年第一个IPO上市–ArcSight公司

分享