Hillstone山石网科SG-6000-X6150防火墙评测报告
作者 老韩 | 2010-10-14 11:38 | 类型 互联网, 弯曲推荐, 研发动态, 网络安全 | 78条用户评论 »
4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。 为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。 在首批发布的安全网关产品中,山石网科定义了以交换为核心的多核Plus系统架构。由于业务处理单元和接口都采用固化设计,无法实现接口和处理能力的扩展。而其随后推出的一系列采用多核Plus G2架构的产品中,交换背板的重要性有了显著提升。以去年我们测试过的SG-6000-G5150为例,模块化设计是当时该产品最吸引人的特性,用户可以根据实际部署需要,选择合适的接口模块及应用层功能模块,灵活拓展整机接口数量和应用层业务的处理能力。但由于产品定位的原因,当时发布的SG-6000系列产品的整机防火墙性能决定于单一的业务处理单元,还未能发挥出多核Plus G2架构的最大潜力。 直到百G级别的X6150面世,山石网科才向我们展示了多核Plus G2架构的高极形态。在这款产品中,无论主控模块、安全服务模块还是接口模块,都是挂在交换核心上的同级节点。他们彼此间没有绝对的对应关系,也不存在任何扩展限制。安全服务模块依旧基于高性能多核处理器进行设计,多业务节点间完全并行工作,处理不同的数据流量。为最大化地提升分布式处理的执行效率,X6150的接口模块上也都不惜成本地使用了单颗或多颗多核处理器,可以根据各安全服务模块的负载情况智能地进行流量分配,以达到理想的负载均衡效果。 智能分布式处理也会带来一些额外的问题,由于数据流的去向存在不确定性,ALG等需要结合多条流进行处理的业务实现起来会变得比较麻烦。X6150在尽可能均衡地发送流量到不同安全服务模块的同时,也会将有业务相关性的会话分发到同一个安全服务模块进行处理,保证了数据转发的正确性。而对于QoS等更复杂的应用,该产品也继续提供独立业务模块形式的解决方案,在性能与实施成本之间找到合理的平衡。 性能:挑战极限 X6150的真实性能是所有测试工程师共同关心的话题,我们依照RFC 2544和RFC 3511规范,对开启防火墙模块时的系统性能进行了完整考察。与以往不同的是,要测试这款产品的极限性能,必须根据实际情况动态调整模块的搭配策略。例如在吞吐量与延迟测试中,64、128、256Byte帧长时的测试流量并不大,我们采用了7个安全服务模块与3个万兆接口模块的搭配;而在512、1024、1280、1518Byte帧长的测试中,带宽方面的压力比较大,所以采用5个安全服务模块与5个万兆接口模块的搭配。 从测试结果中可以看出,在路由模式、单条策略的配置下,X6150在64Byte帧长时的吞吐量达到16.47%,此时在命令行下能够看到各安全服务模块都满负荷运转,流量均衡的效果十分优秀;使用1024、1280及1518Byte帧长测试时,该产品的吞吐量都接近线速,无愧于百G级别产品的称号。平均延迟方面,使用7种帧长90%吞吐量的负载进行测试时,延迟结果都在20微秒以内。在如此大的负载下,X6150还能将延迟保持在这种水准,表现可谓相当出色。 如今,新型的DDoS攻击已经将攻击重点从带宽转向防火墙或服务器的连接处理能力。攻击者经过巧妙构造,可以在不明显抢占带宽与CPU资源的情况下,使防火墙等安全设备达到并发连接上限,达到阻断正常业务的目的。X6150在连接处理能力方面的测试结果无疑令人很有信心,在TCP No Close模式下,我们实测得的TCP新建速率超过100万。即便是在标准的HTTP 1.1模式下,新建连接速率仍然高达76万以上。需要说明的是,这两个数值也只是测试仪能达到的最大性能,从控制台显示的系统资源占用情况看,X6150仍然还有部分性能余量。并发连接方面,该产品每个安全服务模块标称的最大并发连接数为850万,我们在配置6个安全服务模块、4个接口模块情况下测得的最大并发连接数正好是单模块标称值的6倍(每模块需要保留512个连接给系统使用)。5000万并发、100万新建的测试结果相当惊人,我们也是第一次在安全产品评测中见到这样的成绩。 更稳定 更可靠 智能分布式系统的构建虽然比较复杂,却能为产品带来更加丰富的特性。除了前文验证过的性能优势外,X6150在业务可靠性方面的表现也值得一提。由于接口模块要先对入方向的数据流进行分配,在策略允许的情况下,当安全服务模块出现增减时,数据流的分配情况也应随之发生变化。这意味着,系统在安全服务模块发生故障时将拥有一定的自我调整能力,用户也可以在在线状态下动态调整安全服务模块的配置。 【视频】 为了验证这个猜想,我们设计了一个有针对性的测试用例。首先,使用测试仪生成稳定的每秒60万的HTTP新建流量,这会在配备了7个安全服务模块的X6150上大约消耗65%左右的系统资源。当流量稳定运行一段时间后,人为在线拆除一块安全服务模块,测试仪控制台上记录的压力曲线出现一个轻微波动,随即恢复正常。从设备控制台的监控中可以看到,此时的系统资源消耗平均已超过70%,说明离线模块所对应的负载已被动态分配到其他节点进行处理。等X6150在这种状态下稳定运行一段时间后,再人为将拔出的模块推进插槽,系统马上识别出并开始进行配置。稍后再查看系统运行状态,7个安全服务模块全部正常工作,资源占用率重新回到65%左右。由此可见,只要用户在部署时为系统留出性能余量,采用智能分布式架构的X6150就能够在面临业务增长、突发安全事件或部分系统异常情况时拥有一定的自适应能力。 测试后记 在整个测试过程中,我们始终被一种兴奋的情绪所感染。回顾在市场上公开发布的各款产品,X6150应该是国内真正意义上的、纯粹的信息安全企业推出的第一款采用智能分布式架构的产品。测试结果也证明,它确实达到了百G级别的处理能力,且仅在5U规格的机箱空间内。这无论对山石网科还是整个国内信息安全行业来说,都是一个值得纪念的里程碑,必将会为行业整体水平的提高带来帮助。 毫无疑问,骨干网和数据中心将是高端防火墙的必争之地。信息安全企业必须加强对此类应用环境的理解,才能使功能更有针对性,让产品更加贴近用户。我们相信,山石网科有X6150作为基础,这一切不会太遥远。 | |
雁过留声
“Hillstone山石网科SG-6000-X6150防火墙评测报告”有78个回复
>在路由模式、单条策略的配置下,X6150在64Byte帧长时的吞吐量达到16.47%,此时在命令行下能够看到各安全服务模块都满负荷运转,流量均衡的效果十分优秀;
不懂在说什么, 明明是小包下达不到线速。可以预测该系统防止不了TCP-SYN的攻击。
用一条规则说明不了问题,总的多放几条吧!
估计这篇文章的评论又会盖起好高的楼。先占个座慢慢看。
To 1楼:小包下达不到线速是很自然的事,不必讳言。但据此认为“该系统防止不了TCP-SYN的攻击”则有点绝对。在这个测试案例下,放一条规则和放比如1000条规则,我的理解对系统性能影响应该真的不大(虽然不了解其规则处理引擎的具体方式),否则这个系统设计就有太大的缺陷了。
给小韩提个trivial的小意见。通常,从专业的角度,针对Hillstone以前的产品,我们不说applicance,或者盒子,while说”pizza box”,which会比较形象点,as opposed to the chasis based 100G system.
步子走得很踏实。数字很震撼。
恭喜童老大,莫老大!!!!!!
厉害!
发贴无法嵌入视频,不知道是不是权限的事情,请站务组的老师们帮忙看看
这个产品几乎可以对比Juniper最高端的SRX5800的。因为架构不同,山石网科实际的新建和最大session其实是比Juniper的产品有一定的优势的,而其架构成本却不是很高。Juniper的防火墙软件因为要迁移到JUNOS(路由器软件),造成用在防火墙上无法做到性能和架构的最优。
》》X6150应该是国内真正意义上的、纯粹的信息安全企业推出的第一款采用智能分布式架构的产品。
韩记者似乎也对华赛的相应产品说过类似的话???:–)
在吞吐量与延迟测试中,64、128、256Byte帧长时的测试流量并不大,我们采用了7个安全服务模块与3个万兆接口模块的搭配;而在512、 1024、1280、1518Byte帧长的测试中,带宽方面的压力比较大,所以采用5个安全服务模块与5个万兆接口模块的搭配。
——
这说明这个设备在端口上就达不到线速,因此我认为这个设备是没有背板交换芯片的。大家认为呢?
从性能测试上来看,这个系统说是50G(256的处理性能)平台还是可以的,说是100G平台就有点太……
说得绝对不一样,这次有定语“国内真正意义上的、纯粹的信息安全企业”,华为系和中兴之类都不在此例。他们可不是单纯的安全企业,我这么认为,人家自己也这么认为。
山石相对不容易,100多人的研发团队做这么个东西。USG、F5000是多少人码出来的?
小韩,SRX-6000,sorry,SG-6000的HA,NSR/ISSU方面如何?有相应的分析嘛?SP市场必须要HA滴。。。
总之,对安全公司,找茬的最简单的方法是:找routing的问题;对routing平台,找feature的问题。。。:–)
在吞吐量与延迟测试中,64、128、256Byte帧长时的测试流量并不大,我们采用了7个安全服务模块与3个万兆接口模块的搭配;而在512、 1024、1280、1518Byte帧长的测试中,带宽方面的压力比较大,所以采用5个安全服务模块与5个万兆接口模块的搭配。
——
这说明这个设备在端口上就达不到线速,因此我认为这个设备是没有背板交换芯片的。大家认为呢?
从性能测试上来看,这个系统说是50G(256的处理性能)平台还是可以的,说是100G平台就有点太……
——-
一些企业采用一种ASIC方式,则可以实现小包和大包性能一致,但是这个架构也有缺点,就是应用层性能有瓶颈,另一方面因为架构的缺点,实际上也没人敢按照其小包宣称的方式真的用在其宣称的环境中。另一些企业架构不同,此时防火墙的性能很多是说大包所能达到的性能,这个值其实参考意义不大。此时小包性能会比较低。但是可以通过小包性能和实际的环境和功能,预估可以用在的场合。背板交换芯片是有的,这些性能和背板没有太大联系。
100多人的研发团队做这个东西绰绰有余了,我们公司20多人的研发团队还能搞100G的分流设备呢
原来是整机100G的处理能力,我还以为单端口100G呢,不过在fw领域确实算是性能颇高的了
其实如果安全厂商想进入运营商市场,还是要和运营商的网络结合得再紧密一些,否则总归还是一个孤零零的盒子,扩展性始终会是问题。
路由,说实话,一来懂得太少,二来真要测这个估计国内产品的结果会很不好看。我觉得这些东西应该是用户需求牵引的,是不是国内用户对安全产品没啥路由方面的需求?
15,你疯了。。。单port 100G。山石该上lightreading了。
16,17:防火墙必须能与switch,路由器很好的配合。
山石不错。感觉创业还是应该做自己比较熟悉的行业呀。轻易变换sector是真不容易。。。
单端口100G现在就是国内就是华为和中兴有,一般都用在路由器、交换机上,防火墙有必要搞100G端口吗?
除了狂吹傻”快”,山石啥时能整点新花样?都2011年了.
估计以后还是要发展的吧,产品特色化,高端化发展。
“傻”快是基础,没有这个基础,其他都是免谈。国产厂商的瓶颈首先是快,然后再是service,其他产品化,售后等等,慢慢改进吧。
快重要还是智能重要,这是看产品所面临的市场,是要看市场需求的。所以首先应该知道运营商,大型企业如何用这个产品,为什么这个产品要强调快,而过多强调功能。另一个角度,从产品角度总是不断完善的,从核心需求到其他次要需求,在拓展到其他的行业或应用。所以快没错,多种因素决定的结果。
快是好,有特点就好。
这条策略都做了什么事情?简单的permit?不知道他们的nat和alg如何实现的,在分布式下如何支持热插拔的。
fw很热啊
stoneasic 是个什么东东,有明白人能介绍下吗?
应该是类似于博通的一种支持快速包转发的asic吧
博通的交换不是已经有了吗?
个人感觉吧,莫刘等老板最终还是技术,不会给小孩起名字,我只说名字啊,看看人家TopSec的.老贺起的名字就十分霸道—“擎天”三个月前看到这个名字,脑海中总是无尽的变形金刚。
http://www.topsec.com.cn/zt/qingtian/qingtian.html#a
看文章前,请默念
老贺是80后
老贺是80后
老贺是80后
做出来就比没有强,况且分布式处理也不那么容易做。至于为什么做这么高端的产品,必然是因为存在市场需求。看看再说了。
Wuda发的天擎
天融信这个貌似有一段时间了。一直怀疑说100G,到底能到多少。
这个“智能分布式”到底是个啥概念?同学们探讨一哈。。。
又读了一遍。For the sake of 炒作,我来谈谈意见,顶起来。
阅读小韩的文章,山石的或者华赛的。。。
总体感觉是:
1.没有一个错别字
2.每个字都认识
但就是读完后,不知道文章在说啥。。。或者说,想看的看不到。不想看的都有。
高呀。。。
看那个结构图,好像是基于Cavium的58XX系列来实现。不知道对不对。
hillstone的产品从测试到现在我一直都紧更其后,说句实话,100G的,单跑大小包混合最多30G就已经是极限了。。。。所谓100G只是对大包的处理能力而已。。不过session方面确实是他的强项。现有国内其它的FW产品的session都还不行。我挺看好hillstone他们。
很多测试之前都是签过NDA的,必须尽量避免泄露客户的商业机密。再者,在媒体发布的评测内容更多地还是针对普通用户,不可能也没必要去探究太细节的东西。
如果想研究讨论,不妨跟帖呗,我敢打包票上面冒泡的人里肯定有Hillstone的,他们说的才最准确。
老贺应该已经三下不起了吧,这个产品描述何况再怎么归到老贺身上也不合适。
据不确认的消息,Hillstone的工程师们都是捧着陈首席和张福新写的MIPS资料,边干变成长的。。。
唉,我咋就这么无私捏。。。想不通。
说到张福新,也不知道他最近怎样了,没有声音…………难道都是浮云?
相当垃圾的一个企业,里面的渠道经理为了自己的利益,什么事都干的出来,承诺对他们来说从嘴里出来的全是空气,多接触一下他们就了解了。
这样的企业可以做出好东西?
目前的项目大部分都是靠低价拼来的
楼上不要过激。这样的恶意攻击只是掉你自己的身价。
关于擎天,可以参考一下这两个链接,关注一下产品图片和命名方式。
http://www.topsec.com.cn/zt/qingtian/qingtian.html#a
http://www.zte.com.cn/cn/products/wirelines/bearer_network/ethernet_switch/full_gigabit_routing_switch/201005/t20100510_184466.html
WXJ的名字怎么链接到www.hillstone.com?Hillstone的公司站点是www.hillstonenet.com吧
WXJ的评论方式不敢恭维。某个渠道经理有问题,也不能因此否定全部,即使真的有只要及时剔除就可以了。
另外低价和好东西有什么矛盾吗?
多核,Cavium 38/58反正硬件是pin2pin;
switch fabric,Broadcom/Marvell;
StoneASIC,还在纸上吧。
刚有个朋友跳槽去了山石,希望山石的产品越来越好吧。
随着芯片的发展,互联芯片的升级,线卡100G交换线束其实不是个问题。更多的是攒一个系统。只要脑子还好使,都应该能做到。
问题的焦点还是在:系统的feature上。特别是层7的feature。做的越多,越scale,将来的壁垒就越高。
当然,从总体而言,网络安全市场不大。所以HW这样的大恶鱼,sorry,typo,大鳄鱼,不会看得起这个市场yet。但确实不能没有。华赛的事情估计也让Huawei Enterprise市场不完整。有点恶心人。。。
Enterprise switch市场一年就是2个Billion,while 安全市场是只有100 million的单位.(年纪大了,现在记不住number。。。).
华为如果有远见,就应该拿人和钱砸Enterprise和Data Center Switch的10G端口的市场。
server, storage一年的市场有多大?华赛,华三好像都有这方面的产品线。
华三现在好像没有了吧……
华赛从去年开始,市场宣传方面就以存储为重心,而不是安全。
的确用的是BRCM的交换架构. 但是明显的缺陷是功耗过大,存在极限阻塞. 多核的分布系统优势在于对业务的理解和实现上. 然而性能上多少会吃点亏. 因此整机性能由于BRCM的存在, 将会出现累积的损失效应, 导致多播复制和多端口往一个端口的情况容易出现瓶颈。
如果采用Fulcrum的交换架构可以轻松解决这些问题。有兴趣研究的同学可以加我的QQ, 136005387。
楼上为什么那么肯定是BRCM的交换架构?从哪儿看出来的?
to 首席:
“智能分布式”,有可能是将数据流用某种机制发送给SCM或者OSM模块上。但是具体智能到底是怎么智能的,就不得而知了。
从我这下的订单。这还有假?当初还是我邀请我的美国老板过来谈的价钱。
to wei,
你不是卖Fulcrum的吗?还能卖Broadcom?
哪家代理?为了卖Fulcrum忽悠就不好了。
典型Marvell的架构。Fulcrum,等等吧,对了,他们做N Port SPI4.2 Switch吗?
to qq:
如何能看出Marvell还是Broadcom或其它?介绍介绍.
Fulcrum有SPI4.2 switch,没用过不了解。
to qq:
难道你是通过它的示意图没有switch套片判定的?因为BRCOM都是Higi的,需要一个接口芯片才可以转XAUI?
框图都是写意派的.
CPU端可能是XAUI(或SPI4.2XAUI)接口,其它部分用Higi也可以完成全套方案,而且Higi也可以当标准XAUI跑。所以marvell/broadcom都能做。
topsec 那个怎么看着像fortinet的东西啊。hillstone看着像netscreen的东西。hillstone做市场还是不行,创始人里面没有marketing, sales, CEO是搞技术的,这个好像和国外的公司不一样啊。
怎么看topsec那个东西像个router啊…….
“擎天”全面支持IPv4、IPv6、MPLS、NAT、组播、QOS等业务功能。支持二、三层MPLS
VPN。支持基于端口、基于协议和基于子网的VLAN、IEEE 802.1Q、PVLAN、VLAN双层标签、SuperVLAN、Selective VLAN。支持STP、RSTP和MSTP、支持静态Trunk和LACP。支持ADSL、PPP、H.323、MMS、RTSP、DHCP、SNMP、 NAT、静态路由和RIP、OSPF、BGP、IS-IS动态路由协议。IPV6路由支持RIPng、BGP4+、OSFv3、IS-ISv6。支持 IGMP、IGMP Snooping、IGMP Fast Leave等功能,支持PIM-DM/SM、DVMRP、MSDP、MBGP等组播路由协议,支持跨VLAN的组播复制。
to ABC:
擎天就是中兴的交换机加上天融信给做的一块防火墙板卡,本质上和H3的75E+SecBlade FW是一样的。就是不知道那块防火墙板卡自身的性能究竟怎么样,要知道H3的一代SecBlade FW小包性能只有400M,根本就是废柴。二代的性能才上来,小包能达到6~8G,算是可用了。
擎天单卡的每秒新建连接才4万,这个也太给RMI丢脸了吧
http://www.topsec.com.cn/zt/qingtian/4.html
请教61:
擎天和Secblade一样么?在接口卡的流分发方面
在中组部千人计划网站一起热议:深圳高层次专业人才马化腾住房补贴事件
http://www.1000plan.org/bbs/viewthread.php?tid=1545&extra=page%3D1
to 老韩
擎天没实际的测试过,不能肯定的说是一样还是不一样。但擎天是中兴交换机+防火墙卡的结构无疑是却定的。由于是两个厂家合作开发的产品,其结构和实现方式也可以大概推测的出来。
中兴不可能把自己交换机的背板接口和软件接口完全开放给天融信,天融信本身也不具备高速电路的设计经验,这其中双方必然经过一定的封装。
封装最简单的方法就是把板子在硬件上分出前后子卡,中间用万兆以太口连接。这样软硬件的封装等于都做好了。
以上只是猜测,姑妄听之,本人不承担任何责任!
多谢65楼指教,我觉得这个话题再公开讨论有点不合适了,方便的话加个IM或者邮件沟通吧:)我的Gmail和GTalk是hanxu0514 (at) gamil.com
韩总,收邮件。我基本不用gtalk,您除了gtalk还用别的im吗?
能把测试设备和测试方案发出来吗?
测试数据是否经过规则链?
规则是基于端口?ip?状态?端口?
是否路由?
路由规则有几条?
路由策略是什么?端口?ip?
我想说的是,给光纤做个盒子,都不用电源,两头做上接头,跑线速一点问题没有。
让Topsec OEM hillstone的东西就ok了。
呵呵
测试是在基于接口地址的静态路由模式下进行的,一条全通策略,文中写了。
楼上兄弟想表达啥?
基于端口的路由+全通策略,跟拿一根光纤两头接测试设备有什么差别?除了你的数据包要进背板转一圈消耗点电量和内存读写时间。
50g的流量测试大包已经不能线速了,是否说明背板的能力到了极限呢?也就是说实际大包性能低于50g。
100g的设备用户的网络环境,一旦加入路由规则,和防火墙,性能可能线性下降,能否达到10g都很难讲。
当然我也只是猜测,我只是根据内存性能和图上的架构做的推断。
我觉得“必须根据实际情况动态调整模块的搭配策略”其中的猫腻很值得琢磨。
楼上兄弟是做数通的还是做安全的?防火墙全通策略下也要做状态检测啊,是带着业务测的,又不是裸奔。再说了大部分安全产品用的平台即便裸奔,10G以上环境也不可能线速啊。
至于策略对性能的影响,对于山石来说应该不成问题。3年我们测过他们4款产品了,之前验证过的东西就不做重点了。或者你可以往前找找陈老师发过的情话FIT信息安全实验室的测试报告,他们在策略复杂度这块测得很深恨专业。
to 老韩:
已经不在行业内了,知道点送测的事情,也知道点检测中心的事情,其他就不多说了。
to playmud:
那挺好的,我也是从评测中心一类的地方出来的,能理解你的意思。你说的情况我也见到过,但是没有能力改变,只能做好自己的主。
目前窝在媒体专心做内容,先尽量把评测质量做好,能把文字发在弯曲评论比什么都有说服力。(弯曲评论的影响力是越来越大了)
山石国外销售如何呀?
人家让你销到国外去吗?号称国内的东西,呵呵。
300人的企业,真的研发这样强,居然有人信。netscreen活到今天有这样强吗?
在哪几个行业卖的好呀,买的人真的干净吗?
顶楼上,我是不怎么信
山石的哥们都好好干活,赶紧整上市。俺等着兑期权呢。哈哈。