Hillstone山石网科SG-6000-X6150防火墙评测报告

作者 | 2010-10-14 11:38 | 类型 互联网, 弯曲推荐, 研发动态, 网络安全 | 78条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。

原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……)

Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。

为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。

多核Plus G2的高级形态

目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。

在首批发布的安全网关产品中,山石网科定义了以交换为核心的多核Plus系统架构。由于业务处理单元和接口都采用固化设计,无法实现接口和处理能力的扩展。而其随后推出的一系列采用多核Plus G2架构的产品中,交换背板的重要性有了显著提升。以去年我们测试过的SG-6000-G5150为例,模块化设计是当时该产品最吸引人的特性,用户可以根据实际部署需要,选择合适的接口模块及应用层功能模块,灵活拓展整机接口数量和应用层业务的处理能力。但由于产品定位的原因,当时发布的SG-6000系列产品的整机防火墙性能决定于单一的业务处理单元,还未能发挥出多核Plus G2架构的最大潜力。

直到百G级别的X6150面世,山石网科才向我们展示了多核Plus G2架构的高极形态。在这款产品中,无论主控模块、安全服务模块还是接口模块,都是挂在交换核心上的同级节点。他们彼此间没有绝对的对应关系,也不存在任何扩展限制。安全服务模块依旧基于高性能多核处理器进行设计,多业务节点间完全并行工作,处理不同的数据流量。为最大化地提升分布式处理的执行效率,X6150的接口模块上也都不惜成本地使用了单颗或多颗多核处理器,可以根据各安全服务模块的负载情况智能地进行流量分配,以达到理想的负载均衡效果。

智能分布式处理也会带来一些额外的问题,由于数据流的去向存在不确定性,ALG等需要结合多条流进行处理的业务实现起来会变得比较麻烦。X6150在尽可能均衡地发送流量到不同安全服务模块的同时,也会将有业务相关性的会话分发到同一个安全服务模块进行处理,保证了数据转发的正确性。而对于QoS等更复杂的应用,该产品也继续提供独立业务模块形式的解决方案,在性能与实施成本之间找到合理的平衡。

性能:挑战极限

X6150的真实性能是所有测试工程师共同关心的话题,我们依照RFC 2544和RFC 3511规范,对开启防火墙模块时的系统性能进行了完整考察。与以往不同的是,要测试这款产品的极限性能,必须根据实际情况动态调整模块的搭配策略。例如在吞吐量与延迟测试中,64、128、256Byte帧长时的测试流量并不大,我们采用了7个安全服务模块与3个万兆接口模块的搭配;而在512、1024、1280、1518Byte帧长的测试中,带宽方面的压力比较大,所以采用5个安全服务模块与5个万兆接口模块的搭配。

从测试结果中可以看出,在路由模式、单条策略的配置下,X6150在64Byte帧长时的吞吐量达到16.47%,此时在命令行下能够看到各安全服务模块都满负荷运转,流量均衡的效果十分优秀;使用1024、1280及1518Byte帧长测试时,该产品的吞吐量都接近线速,无愧于百G级别产品的称号。平均延迟方面,使用7种帧长90%吞吐量的负载进行测试时,延迟结果都在20微秒以内。在如此大的负载下,X6150还能将延迟保持在这种水准,表现可谓相当出色。

如今,新型的DDoS攻击已经将攻击重点从带宽转向防火墙或服务器的连接处理能力。攻击者经过巧妙构造,可以在不明显抢占带宽与CPU资源的情况下,使防火墙等安全设备达到并发连接上限,达到阻断正常业务的目的。X6150在连接处理能力方面的测试结果无疑令人很有信心,在TCP No Close模式下,我们实测得的TCP新建速率超过100万。即便是在标准的HTTP 1.1模式下,新建连接速率仍然高达76万以上。需要说明的是,这两个数值也只是测试仪能达到的最大性能,从控制台显示的系统资源占用情况看,X6150仍然还有部分性能余量。并发连接方面,该产品每个安全服务模块标称的最大并发连接数为850万,我们在配置6个安全服务模块、4个接口模块情况下测得的最大并发连接数正好是单模块标称值的6倍(每模块需要保留512个连接给系统使用)。5000万并发、100万新建的测试结果相当惊人,我们也是第一次在安全产品评测中见到这样的成绩。

更稳定 更可靠

智能分布式系统的构建虽然比较复杂,却能为产品带来更加丰富的特性。除了前文验证过的性能优势外,X6150在业务可靠性方面的表现也值得一提。由于接口模块要先对入方向的数据流进行分配,在策略允许的情况下,当安全服务模块出现增减时,数据流的分配情况也应随之发生变化。这意味着,系统在安全服务模块发生故障时将拥有一定的自我调整能力,用户也可以在在线状态下动态调整安全服务模块的配置。

【视频】

为了验证这个猜想,我们设计了一个有针对性的测试用例。首先,使用测试仪生成稳定的每秒60万的HTTP新建流量,这会在配备了7个安全服务模块的X6150上大约消耗65%左右的系统资源。当流量稳定运行一段时间后,人为在线拆除一块安全服务模块,测试仪控制台上记录的压力曲线出现一个轻微波动,随即恢复正常。从设备控制台的监控中可以看到,此时的系统资源消耗平均已超过70%,说明离线模块所对应的负载已被动态分配到其他节点进行处理。等X6150在这种状态下稳定运行一段时间后,再人为将拔出的模块推进插槽,系统马上识别出并开始进行配置。稍后再查看系统运行状态,7个安全服务模块全部正常工作,资源占用率重新回到65%左右。由此可见,只要用户在部署时为系统留出性能余量,采用智能分布式架构的X6150就能够在面临业务增长、突发安全事件或部分系统异常情况时拥有一定的自适应能力。

测试后记

在整个测试过程中,我们始终被一种兴奋的情绪所感染。回顾在市场上公开发布的各款产品,X6150应该是国内真正意义上的、纯粹的信息安全企业推出的第一款采用智能分布式架构的产品。测试结果也证明,它确实达到了百G级别的处理能力,且仅在5U规格的机箱空间内。这无论对山石网科还是整个国内信息安全行业来说,都是一个值得纪念的里程碑,必将会为行业整体水平的提高带来帮助。

毫无疑问,骨干网和数据中心将是高端防火墙的必争之地。信息安全企业必须加强对此类应用环境的理解,才能使功能更有针对性,让产品更加贴近用户。我们相信,山石网科有X6150作为基础,这一切不会太遥远。

(9个打分, 平均:4.33 / 5)

工具箱
本文链接 | | 打印此页 | 78条用户评论 »

雁过留声

“Hillstone山石网科SG-6000-X6150防火墙评测报告”有78个回复

  1. multithreaded 于 2010-10-14 3:16 下午

    >在路由模式、单条策略的配置下,X6150在64Byte帧长时的吞吐量达到16.47%,此时在命令行下能够看到各安全服务模块都满负荷运转,流量均衡的效果十分优秀;

    不懂在说什么, 明明是小包下达不到线速。可以预测该系统防止不了TCP-SYN的攻击。

    用一条规则说明不了问题,总的多放几条吧!

  2. richtielee 于 2010-10-14 6:17 下午

    估计这篇文章的评论又会盖起好高的楼。先占个座慢慢看。
    To 1楼:小包下达不到线速是很自然的事,不必讳言。但据此认为“该系统防止不了TCP-SYN的攻击”则有点绝对。在这个测试案例下,放一条规则和放比如1000条规则,我的理解对系统性能影响应该真的不大(虽然不了解其规则处理引擎的具体方式),否则这个系统设计就有太大的缺陷了。

  3. 陈怀临 于 2010-10-14 6:28 下午

    给小韩提个trivial的小意见。通常,从专业的角度,针对Hillstone以前的产品,我们不说applicance,或者盒子,while说”pizza box”,which会比较形象点,as opposed to the chasis based 100G system.

  4. droplet 于 2010-10-14 6:58 下午

    步子走得很踏实。数字很震撼。

  5. Panabit 于 2010-10-14 7:20 下午

    恭喜童老大,莫老大!!!!!!

  6. 破网 于 2010-10-14 7:31 下午

    厉害!

  7. 老韩 于 2010-10-14 7:34 下午

    发贴无法嵌入视频,不知道是不是权限的事情,请站务组的老师们帮忙看看

  8. test 于 2010-10-14 7:43 下午

    这个产品几乎可以对比Juniper最高端的SRX5800的。因为架构不同,山石网科实际的新建和最大session其实是比Juniper的产品有一定的优势的,而其架构成本却不是很高。Juniper的防火墙软件因为要迁移到JUNOS(路由器软件),造成用在防火墙上无法做到性能和架构的最优。

  9. 陈怀临 于 2010-10-14 7:59 下午

    》》X6150应该是国内真正意义上的、纯粹的信息安全企业推出的第一款采用智能分布式架构的产品。

    韩记者似乎也对华赛的相应产品说过类似的话???:–)

  10. zeroflag 于 2010-10-14 8:06 下午

    在吞吐量与延迟测试中,64、128、256Byte帧长时的测试流量并不大,我们采用了7个安全服务模块与3个万兆接口模块的搭配;而在512、 1024、1280、1518Byte帧长的测试中,带宽方面的压力比较大,所以采用5个安全服务模块与5个万兆接口模块的搭配。
    ——
    这说明这个设备在端口上就达不到线速,因此我认为这个设备是没有背板交换芯片的。大家认为呢?

    从性能测试上来看,这个系统说是50G(256的处理性能)平台还是可以的,说是100G平台就有点太……

  11. 老韩 于 2010-10-14 8:08 下午

    说得绝对不一样,这次有定语“国内真正意义上的、纯粹的信息安全企业”,华为系和中兴之类都不在此例。他们可不是单纯的安全企业,我这么认为,人家自己也这么认为。
    山石相对不容易,100多人的研发团队做这么个东西。USG、F5000是多少人码出来的?

  12. 陈怀临 于 2010-10-14 8:14 下午

    小韩,SRX-6000,sorry,SG-6000的HA,NSR/ISSU方面如何?有相应的分析嘛?SP市场必须要HA滴。。。

    总之,对安全公司,找茬的最简单的方法是:找routing的问题;对routing平台,找feature的问题。。。:–)

  13. test 于 2010-10-14 8:17 下午

    在吞吐量与延迟测试中,64、128、256Byte帧长时的测试流量并不大,我们采用了7个安全服务模块与3个万兆接口模块的搭配;而在512、 1024、1280、1518Byte帧长的测试中,带宽方面的压力比较大,所以采用5个安全服务模块与5个万兆接口模块的搭配。
    ——
    这说明这个设备在端口上就达不到线速,因此我认为这个设备是没有背板交换芯片的。大家认为呢?
    从性能测试上来看,这个系统说是50G(256的处理性能)平台还是可以的,说是100G平台就有点太……
    ——-
    一些企业采用一种ASIC方式,则可以实现小包和大包性能一致,但是这个架构也有缺点,就是应用层性能有瓶颈,另一方面因为架构的缺点,实际上也没人敢按照其小包宣称的方式真的用在其宣称的环境中。另一些企业架构不同,此时防火墙的性能很多是说大包所能达到的性能,这个值其实参考意义不大。此时小包性能会比较低。但是可以通过小包性能和实际的环境和功能,预估可以用在的场合。背板交换芯片是有的,这些性能和背板没有太大联系。

  14. sunhao 于 2010-10-14 8:57 下午

    100多人的研发团队做这个东西绰绰有余了,我们公司20多人的研发团队还能搞100G的分流设备呢

  15. sunhao 于 2010-10-14 9:04 下午

    原来是整机100G的处理能力,我还以为单端口100G呢,不过在fw领域确实算是性能颇高的了

  16. HJ 于 2010-10-14 9:19 下午

    其实如果安全厂商想进入运营商市场,还是要和运营商的网络结合得再紧密一些,否则总归还是一个孤零零的盒子,扩展性始终会是问题。

  17. 老韩 于 2010-10-14 9:20 下午

    路由,说实话,一来懂得太少,二来真要测这个估计国内产品的结果会很不好看。我觉得这些东西应该是用户需求牵引的,是不是国内用户对安全产品没啥路由方面的需求?

  18. 陈怀临 于 2010-10-14 10:17 下午

    15,你疯了。。。单port 100G。山石该上lightreading了。
    16,17:防火墙必须能与switch,路由器很好的配合。

    山石不错。感觉创业还是应该做自己比较熟悉的行业呀。轻易变换sector是真不容易。。。

  19. 罗伊 于 2010-10-15 12:09 上午

    单端口100G现在就是国内就是华为和中兴有,一般都用在路由器、交换机上,防火墙有必要搞100G端口吗?

  20. 过路 于 2010-10-15 1:21 上午

    除了狂吹傻”快”,山石啥时能整点新花样?都2011年了.

  21. 罗伊 于 2010-10-15 1:23 上午

    估计以后还是要发展的吧,产品特色化,高端化发展。

  22. droplet 于 2010-10-15 1:35 上午

    “傻”快是基础,没有这个基础,其他都是免谈。国产厂商的瓶颈首先是快,然后再是service,其他产品化,售后等等,慢慢改进吧。

  23. test 于 2010-10-15 1:44 上午

    快重要还是智能重要,这是看产品所面临的市场,是要看市场需求的。所以首先应该知道运营商,大型企业如何用这个产品,为什么这个产品要强调快,而过多强调功能。另一个角度,从产品角度总是不断完善的,从核心需求到其他次要需求,在拓展到其他的行业或应用。所以快没错,多种因素决定的结果。

  24. ABC 于 2010-10-15 2:14 上午

    快是好,有特点就好。

  25. 毛毛虫 于 2010-10-15 3:15 上午

    这条策略都做了什么事情?简单的permit?不知道他们的nat和alg如何实现的,在分布式下如何支持热插拔的。

  26. 楼上楼下 于 2010-10-15 6:12 上午

    fw很热啊

  27. 楼上楼下 于 2010-10-15 6:15 上午

    stoneasic 是个什么东东,有明白人能介绍下吗?

  28. sunhao 于 2010-10-15 6:27 上午

    应该是类似于博通的一种支持快速包转发的asic吧

  29. 楼上楼下 于 2010-10-15 6:39 上午

    博通的交换不是已经有了吗?

  30. Wuda 于 2010-10-15 8:47 上午

    个人感觉吧,莫刘等老板最终还是技术,不会给小孩起名字,我只说名字啊,看看人家TopSec的.老贺起的名字就十分霸道—“擎天”三个月前看到这个名字,脑海中总是无尽的变形金刚。
    http://www.topsec.com.cn/zt/qingtian/qingtian.html#a

    看文章前,请默念
    老贺是80后
    老贺是80后
    老贺是80后

  31. 老韩 于 2010-10-15 9:58 上午

    做出来就比没有强,况且分布式处理也不那么容易做。至于为什么做这么高端的产品,必然是因为存在市场需求。看看再说了。

  32. 网路游侠 于 2010-10-15 10:56 上午

    Wuda发的天擎
    天融信这个貌似有一段时间了。一直怀疑说100G,到底能到多少。

  33. 陈怀临 于 2010-10-15 7:55 下午

    这个“智能分布式”到底是个啥概念?同学们探讨一哈。。。

  34. 陈怀临 于 2010-10-15 11:05 下午

    又读了一遍。For the sake of 炒作,我来谈谈意见,顶起来。

    阅读小韩的文章,山石的或者华赛的。。。
    总体感觉是:

    1.没有一个错别字
    2.每个字都认识

    但就是读完后,不知道文章在说啥。。。或者说,想看的看不到。不想看的都有。

    高呀。。。

  35. hoverdsp 于 2010-10-16 6:25 上午

    看那个结构图,好像是基于Cavium的58XX系列来实现。不知道对不对。

  36. soldier 于 2010-10-16 9:42 上午

    hillstone的产品从测试到现在我一直都紧更其后,说句实话,100G的,单跑大小包混合最多30G就已经是极限了。。。。所谓100G只是对大包的处理能力而已。。不过session方面确实是他的强项。现有国内其它的FW产品的session都还不行。我挺看好hillstone他们。

  37. 老韩 于 2010-10-16 12:10 下午

    很多测试之前都是签过NDA的,必须尽量避免泄露客户的商业机密。再者,在媒体发布的评测内容更多地还是针对普通用户,不可能也没必要去探究太细节的东西。
    如果想研究讨论,不妨跟帖呗,我敢打包票上面冒泡的人里肯定有Hillstone的,他们说的才最准确。

  38. anon 于 2010-10-16 5:24 下午

    老贺应该已经三下不起了吧,这个产品描述何况再怎么归到老贺身上也不合适。

  39. 陈怀临 于 2010-10-16 5:48 下午

    据不确认的消息,Hillstone的工程师们都是捧着陈首席和张福新写的MIPS资料,边干变成长的。。。

    唉,我咋就这么无私捏。。。想不通。

  40. 老韩 于 2010-10-16 11:32 下午

    说到张福新,也不知道他最近怎样了,没有声音…………难道都是浮云?

  41. WXJ 于 2010-10-16 11:47 下午

    相当垃圾的一个企业,里面的渠道经理为了自己的利益,什么事都干的出来,承诺对他们来说从嘴里出来的全是空气,多接触一下他们就了解了。

  42. WXJ 于 2010-10-16 11:48 下午

    这样的企业可以做出好东西?
    目前的项目大部分都是靠低价拼来的

  43. CNJ 于 2010-10-17 12:58 上午

    楼上不要过激。这样的恶意攻击只是掉你自己的身价。

    关于擎天,可以参考一下这两个链接,关注一下产品图片和命名方式。

    http://www.topsec.com.cn/zt/qingtian/qingtian.html#a

    http://www.zte.com.cn/cn/products/wirelines/bearer_network/ethernet_switch/full_gigabit_routing_switch/201005/t20100510_184466.html

  44. Tester 于 2010-10-17 1:30 上午

    WXJ的名字怎么链接到www.hillstone.com?Hillstone的公司站点是www.hillstonenet.com吧

    WXJ的评论方式不敢恭维。某个渠道经理有问题,也不能因此否定全部,即使真的有只要及时剔除就可以了。
    另外低价和好东西有什么矛盾吗?

  45. qq 于 2010-10-17 5:20 下午

    多核,Cavium 38/58反正硬件是pin2pin;
    switch fabric,Broadcom/Marvell;
    StoneASIC,还在纸上吧。

  46. 某某 于 2010-10-17 10:23 下午

    刚有个朋友跳槽去了山石,希望山石的产品越来越好吧。

  47. 陈怀临 于 2010-10-17 10:38 下午

    随着芯片的发展,互联芯片的升级,线卡100G交换线束其实不是个问题。更多的是攒一个系统。只要脑子还好使,都应该能做到。

    问题的焦点还是在:系统的feature上。特别是层7的feature。做的越多,越scale,将来的壁垒就越高。

    当然,从总体而言,网络安全市场不大。所以HW这样的大恶鱼,sorry,typo,大鳄鱼,不会看得起这个市场yet。但确实不能没有。华赛的事情估计也让Huawei Enterprise市场不完整。有点恶心人。。。

    Enterprise switch市场一年就是2个Billion,while 安全市场是只有100 million的单位.(年纪大了,现在记不住number。。。).

    华为如果有远见,就应该拿人和钱砸Enterprise和Data Center Switch的10G端口的市场。

  48. droplet 于 2010-10-18 3:29 上午

    server, storage一年的市场有多大?华赛,华三好像都有这方面的产品线。

  49. 老韩 于 2010-10-18 4:10 上午

    华三现在好像没有了吧……
    华赛从去年开始,市场宣传方面就以存储为重心,而不是安全。

  50. wei 于 2010-10-19 12:47 上午

    的确用的是BRCM的交换架构. 但是明显的缺陷是功耗过大,存在极限阻塞. 多核的分布系统优势在于对业务的理解和实现上. 然而性能上多少会吃点亏. 因此整机性能由于BRCM的存在, 将会出现累积的损失效应, 导致多播复制和多端口往一个端口的情况容易出现瓶颈。
    如果采用Fulcrum的交换架构可以轻松解决这些问题。有兴趣研究的同学可以加我的QQ, 136005387。

  51. 罗伊 于 2010-10-19 1:03 上午

    楼上为什么那么肯定是BRCM的交换架构?从哪儿看出来的?

  52. 罗伊 于 2010-10-19 1:07 上午

    to 首席:
    “智能分布式”,有可能是将数据流用某种机制发送给SCM或者OSM模块上。但是具体智能到底是怎么智能的,就不得而知了。

  53. wei 于 2010-10-19 1:14 上午

    从我这下的订单。这还有假?当初还是我邀请我的美国老板过来谈的价钱。

  54. digiwolf 于 2010-10-19 2:56 上午

    to wei,
    你不是卖Fulcrum的吗?还能卖Broadcom?
    哪家代理?为了卖Fulcrum忽悠就不好了。

  55. qq 于 2010-10-19 5:12 下午

    典型Marvell的架构。Fulcrum,等等吧,对了,他们做N Port SPI4.2 Switch吗?

  56. digiwolf 于 2010-10-20 7:27 上午

    to qq:
    如何能看出Marvell还是Broadcom或其它?介绍介绍.
    Fulcrum有SPI4.2 switch,没用过不了解。

  57. 罗伊 于 2010-10-20 6:37 下午

    to qq:
    难道你是通过它的示意图没有switch套片判定的?因为BRCOM都是Higi的,需要一个接口芯片才可以转XAUI?

  58. digiwolf 于 2010-10-20 8:16 下午

    框图都是写意派的.
    CPU端可能是XAUI(或SPI4.2XAUI)接口,其它部分用Higi也可以完成全套方案,而且Higi也可以当标准XAUI跑。所以marvell/broadcom都能做。

  59. droplet 于 2010-10-25 2:30 上午

    topsec 那个怎么看着像fortinet的东西啊。hillstone看着像netscreen的东西。hillstone做市场还是不行,创始人里面没有marketing, sales, CEO是搞技术的,这个好像和国外的公司不一样啊。

  60. ABC 于 2010-10-27 10:41 下午

    怎么看topsec那个东西像个router啊…….

    “擎天”全面支持IPv4、IPv6、MPLS、NAT、组播、QOS等业务功能。支持二、三层MPLS
    VPN。支持基于端口、基于协议和基于子网的VLAN、IEEE 802.1Q、PVLAN、VLAN双层标签、SuperVLAN、Selective VLAN。支持STP、RSTP和MSTP、支持静态Trunk和LACP。支持ADSL、PPP、H.323、MMS、RTSP、DHCP、SNMP、 NAT、静态路由和RIP、OSPF、BGP、IS-IS动态路由协议。IPV6路由支持RIPng、BGP4+、OSFv3、IS-ISv6。支持 IGMP、IGMP Snooping、IGMP Fast Leave等功能,支持PIM-DM/SM、DVMRP、MSDP、MBGP等组播路由协议,支持跨VLAN的组播复制。

  61. zeroflag 于 2010-10-28 2:28 上午

    to ABC:
    擎天就是中兴的交换机加上天融信给做的一块防火墙板卡,本质上和H3的75E+SecBlade FW是一样的。就是不知道那块防火墙板卡自身的性能究竟怎么样,要知道H3的一代SecBlade FW小包性能只有400M,根本就是废柴。二代的性能才上来,小包能达到6~8G,算是可用了。

  62. yfydz 于 2010-10-28 6:57 下午

    擎天单卡的每秒新建连接才4万,这个也太给RMI丢脸了吧
    http://www.topsec.com.cn/zt/qingtian/4.html

  63. 老韩 于 2010-10-29 12:29 上午

    请教61:
    擎天和Secblade一样么?在接口卡的流分发方面

  64. 高度 于 2010-10-29 3:08 上午

    在中组部千人计划网站一起热议:深圳高层次专业人才马化腾住房补贴事件
    http://www.1000plan.org/bbs/viewthread.php?tid=1545&extra=page%3D1

  65. zeroflag 于 2010-10-29 4:32 上午

    to 老韩
    擎天没实际的测试过,不能肯定的说是一样还是不一样。但擎天是中兴交换机+防火墙卡的结构无疑是却定的。由于是两个厂家合作开发的产品,其结构和实现方式也可以大概推测的出来。

    中兴不可能把自己交换机的背板接口和软件接口完全开放给天融信,天融信本身也不具备高速电路的设计经验,这其中双方必然经过一定的封装。

    封装最简单的方法就是把板子在硬件上分出前后子卡,中间用万兆以太口连接。这样软硬件的封装等于都做好了。

    以上只是猜测,姑妄听之,本人不承担任何责任!

  66. 老韩 于 2010-10-29 4:46 上午

    多谢65楼指教,我觉得这个话题再公开讨论有点不合适了,方便的话加个IM或者邮件沟通吧:)我的Gmail和GTalk是hanxu0514 (at) gamil.com

  67. zeroflag 于 2010-10-29 5:25 上午

    韩总,收邮件。我基本不用gtalk,您除了gtalk还用别的im吗?

  68. playmud 于 2010-11-18 1:19 上午

    能把测试设备和测试方案发出来吗?
    测试数据是否经过规则链?
    规则是基于端口?ip?状态?端口?
    是否路由?
    路由规则有几条?
    路由策略是什么?端口?ip?

  69. playmud 于 2010-11-18 1:21 上午

    我想说的是,给光纤做个盒子,都不用电源,两头做上接头,跑线速一点问题没有。

  70. hello 于 2010-11-18 2:34 上午

    让Topsec OEM hillstone的东西就ok了。
    呵呵

  71. 老韩 于 2010-11-18 2:46 上午

    测试是在基于接口地址的静态路由模式下进行的,一条全通策略,文中写了。
    楼上兄弟想表达啥?

  72. playmud 于 2010-11-18 3:23 上午

    基于端口的路由+全通策略,跟拿一根光纤两头接测试设备有什么差别?除了你的数据包要进背板转一圈消耗点电量和内存读写时间。

    50g的流量测试大包已经不能线速了,是否说明背板的能力到了极限呢?也就是说实际大包性能低于50g。

    100g的设备用户的网络环境,一旦加入路由规则,和防火墙,性能可能线性下降,能否达到10g都很难讲。

    当然我也只是猜测,我只是根据内存性能和图上的架构做的推断。
    我觉得“必须根据实际情况动态调整模块的搭配策略”其中的猫腻很值得琢磨。

  73. 老韩 于 2010-11-18 3:33 上午

    楼上兄弟是做数通的还是做安全的?防火墙全通策略下也要做状态检测啊,是带着业务测的,又不是裸奔。再说了大部分安全产品用的平台即便裸奔,10G以上环境也不可能线速啊。

    至于策略对性能的影响,对于山石来说应该不成问题。3年我们测过他们4款产品了,之前验证过的东西就不做重点了。或者你可以往前找找陈老师发过的情话FIT信息安全实验室的测试报告,他们在策略复杂度这块测得很深恨专业。

  74. playmud 于 2010-11-18 3:36 上午

    to 老韩:
    已经不在行业内了,知道点送测的事情,也知道点检测中心的事情,其他就不多说了。

  75. 老韩 于 2010-11-18 3:49 上午

    to playmud:

    那挺好的,我也是从评测中心一类的地方出来的,能理解你的意思。你说的情况我也见到过,但是没有能力改变,只能做好自己的主。

    目前窝在媒体专心做内容,先尽量把评测质量做好,能把文字发在弯曲评论比什么都有说服力。(弯曲评论的影响力是越来越大了)

  76. QQ2 于 2011-05-20 8:02 下午

    山石国外销售如何呀?
    人家让你销到国外去吗?号称国内的东西,呵呵。
    300人的企业,真的研发这样强,居然有人信。netscreen活到今天有这样强吗?

    在哪几个行业卖的好呀,买的人真的干净吗?

  77. 来看看 于 2011-05-24 8:40 上午

    顶楼上,我是不怎么信

  78. anonymous 于 2011-05-24 7:23 下午

    山石的哥们都好好干活,赶紧整上市。俺等着兑期权呢。哈哈。