华为发布业界首款Terabit处理能力防火墙
作者 netsitter | 2011-02-14 03:24 | 类型 行业动感 | 34条用户评论 »
|
华为很牛啊,这个是硬件、系统架构设计的一个综合实力的体现。 华为近日在2011年MPLS及以太网世界大会上宣布,发布业界首款Terabit处理能力的防火墙Eudemon 8000E(“E8000E”)。该防火墙面向云计算复杂应用环境,采用多级多核的分布式架构,转发、业务加速、QoS、安全计算相分离的组件设计,支持100G接口线速转发,无论是处理性能、接口能力,都是当前业界最高性能。同时,该防火墙支持IPv4到IPv6平滑演进,为大型网络和云IDC(互联网数据中心)的建设提供专业的安全防护。 E8000E承袭华为Single战略,采用华为自研Solar芯片族,交换能力达到每槽位400G,整框的交换能力可达6.4T。业务系统采用带硬件加速的多核CPU,为高效地融合专业安全能力提供了保障。同时,其业务平台也具备灵活业务扩展能力,可提供防火墙、IPS(入侵防御系统)、VPN(虚拟专用网络)等主要安全应用,将来可平滑扩展以支持更多专业安全能力,为客户提供ALL IN ONE的解决方案。 “面对日益增长的社会、企业、个人网络安全危机,华为提供从桌面到系统到应用,从设备到网络到运营的多种方案以构筑端到端的安全防护体系,能更好地帮助运营商、企业保护核心业务,提升运营效率和安全性,承担社会责任”,华为运营商安全产品线总裁雷奕康表示,“安全作为华为重要战略,正在不断的创新以成就客户,华为安全将致力于丰富和完善未来网络应用的安全性”。 首先,单槽400G,得出总共6.4T的交换能力这个问题有点可笑,但也说的过去,纯交换来讲没太多好说的,也没太多意义。但同时引申出来一个问题:槽与主板之间的总线是什么样的,首先是什么总线结构,要是FSB那种,肯定没啥意义,我估计华为也不会那么做,但我觉得这块很重要,因为一旦跑了业务,都得跑业务板卡,所以板卡间的通信就会影响业务处理能力。 框架的主处理器是哪家的?用它来做主业务处理器,及业务流的分发,主处理器的处理能力也是很重要的,当然也包含一个它和内存间的带宽的问题,这块要是做不上去,意义也不大,业内有哪些家能做到TB级?不考虑自己的处理能力,单说分发的话。不知道华为用的哪家的。或者框架的本身就是多路的? 我个人觉得框架这种架构的防火墙核心问题就在板卡互联架构(含框架),和业务流的分发上。 | |
  (1个打分, 平均:1.00 / 5) |
雁过留声
“华为发布业界首款Terabit处理能力防火墙”有34个回复
我记得以前E8000是华赛做的来着 似乎停产了
安全不是分给华赛了吗?华为还自己做?
请教一下,CPU卡需要带内存么?还是只有主卡带内存?
跟华赛USG9300系列啥关系?
原来听说华赛的人一直在华为做安全板卡,应该不是这个,是多业务路由器。Solar是Switch芯片吧?业务卡应该是多XLP互联。猜测。
应该还是个原型机,实际使用的可能性不大。主要是占领指标高点
弯曲以前有过solar芯片相关文章:
http://www.tektalk.org/2009/10/11/%E5%8D%8E%E4%B8%BA-%E3%80%82solar-%E3%80%82%E5%A4%9A%E6%A0%B8%E8%8A%AF%E7%89%87-%E3%80%82100g/
媲美龙芯3a–华为研制出的mips类高档路由器芯片
在去年发布100GE样机后,2009年的北京通信展上,华为正式发布了其可商用的端到端100G解决方案,这也使其成为全球首个宣布推出成熟的100G解决方案的设备厂商。而此时,40G才开始规模商用,100G标准完全冻结尚待时日。是什么让华为能够抢占100G先机?近日,华为网络产品线多位高层接受了《通信产业报》(网)的采访,还原了华为100G之路。
实现超越的“太阳”芯
“华为发布的100G端到端解决方案,最核心的是两种单板,一个是集群路由器的100G单板,一个是波分系统的100G接口板,支撑这两块单板的则是芯片和光电技术。” 华为网络产品线副总裁李剑这样描绘华为100G研发的关键环节。
就芯片而言,支撑100G的是被华为命名为“太阳”的Solar2.0。这块65纳米制程、45*45封装的套片中布满4.5亿个晶体管,在业界也属于最复杂的、规模最大芯片之一。而为了研发出这块芯片,华为从2005年开始,聘请了20多名业界顶级专家,其中很多来自Sun、AMD、MIPS等国际芯片巨头。
采访中,记者见到了Solar 2.0项目负责人、华为美国研究所专家Bill Lynch,Bill曾是Sun SPARC IV项目架构负责人、Procket(曾被认为最有可能成为核心路由器市场后起之秀,后被思科收购)CTO及网络架构奠基人,在思科领导了40G NP的研发,并参与100G NP研发。Bill表示,之所以能够在100G芯片领域取得进展,是因为整个设计团队召集的业界顶级专家加起来具有数百年网络设计经验,而华为从 Solar1.0开始的11年设计历程、300名全球支持工程师,都为Solar2.0做出了贡献。
1999年,华为开始研制第一代Solar芯片,并最终在2004年商用。在Solar1.0的支持下,2004年,华为推出了旗舰路由器 NE5000E。截至今年6月,NE5000E的全球销售已超过1000台。根据Infonetics今年5月的统计,华为已占据14.3%的IP路由器市场,份额仅次于思科和Juniper。华为Solar1.0芯片的发货量也超过10万。
而对于Solar2.0的研制成功,华为不吝于表现自己的自豪。“从原来比别人落后一点,到相当,到Solar2.0实现了全面领先。” 华为路由器与网络安全产品线副总裁马云表示。
Solar2.0中,华为不仅实现了芯片本身的高性能和多业务支持,其独创的MIP宏指令功能和EQC能力还使部署高速骨干网在成本上可被接受。
移动宽带、高清视频、企业网真等业务迅速发展,全球IP流量年复合增长超过50%,移动宽带复合增长更是达到128%。网络产品需要持续做出更高容量的产品,更高容量的线路板和接口。但是,“带宽的增长不能以功耗和成本的增长为代价,否则这个带宽的增长就是不可持续的。”马云强调。
为了解决带宽提升的同时功耗和运维成本的上升,华为在Solar2.0中引入了MIP宏指令技术以及低功耗技术。而在业务层面,华为提出了EQC的概念,试图解决可扩展的业务支持、流量控制和疏导、业务质量监控、DDDOS安全防护、快速故障定位等问题。
将无线引入光接入
与思科等IT设备厂商不同,无论是40G还是100G,华为都认为,骨干网提速需要路由器+传输系统的综合解决方案。这是因为,“100G模块传输能力非常有限,要靠整个系统。”
在长距传送领域,100G正处在标准化阶段,目前国际上共有三个组织在做标准化工作,一个是IEEE 802.3ba的100GE标准,一个是OIF的100G长途传送标准,一个是ITU-T的OTN映射提案和100G光接口,而目前,华为全面参与了三个组织的标准制定工作。比如,华为在IEEE工作组提交提案超过10篇;在ITU-T SG15中拥有G.709建议的Editor席位,并有近30篇文稿被ITU接受;积极参与、召集OIF PLL WG会议。
在现代光通信系统中,载波调制格式对系统的性能影响很大。2008年7月,华为发布了100GE样机。 但当时,华为的100GE样机采用CSRZ-DQPSK调制技术,只能做到100GHZ间隔,而无法达到现网和10G、40G混合部署的80波*50GHZ间隔。
而伴随华为端到端100G解决方案的推出,华为实现了oPDM-DQPSK调制,并实现了50GHZ间隔传输。在支持80波×100G的传输容量及 640KM无电中继传输后,华为传送网产品线首席技术官肖新华表示,如果说去年的100G样机离散度还比较低,那么今年,华为发布了一个高集成度、可商用化的100G技术。
此外,华为还规划于明年四季度实现ePDM-QPSK调制,并使传输距离达到1500公里。华为传送网产品线副总裁祈峰表示,在过去一年中,华为重点投入力量解决40G向100G的平滑演进。“我们把40G的编码技术转换到EQPSK技术上来,解决1500公里40G传送,同时在100G上采用 ePDM-QPSK技术,在编码上趋同后解决了混传时信道比容限、纠错能力、网络设计规格的趋同性,基本解决了10G网络上传送40G、100G的问题。”
李剑则强调,之所以华为能够在一年的时间内实现这样的跨越,很大程度在于100G光传送中应用的调制解调技术来自无线,只是介质和承载的信息量、载频不一样。而无线领域的技术积累让华为得以寻得捷径。“光传送发展到100G,核心算法都来自无线,因为华为有相对更全的技术积累,因此具备特别的优势。” 李剑说。
唯待标准锁定
从100G解决方案的角度看,李强认为,在路由器方面,一方面可以提高单接口容量,另一方面可以考虑路由器集群;在光纤容量上,一方面增加光纤数目,另一方面提高单光纤系统本身的容量。
“集群、OTN系统都是成熟商用系统,华为的线卡和芯片技术今年也具备商用能力。”李剑说。因此,100G的唯一瓶颈是标准。“对于标准可变的部分,我们的产品保留了可编程的能力,等待锁定。”
而这一标准很可能在明年最终锁定。在此之前,据祈峰介绍,华为今年就会和北美、欧洲运营商进行100G测试。“我们2011年前会做好准备,业界有接入要求,我们随时能够满足他们的需要。”
马云说,华为判断,两年内100G就会开始商用,而时间取决于流量增长情况和产业链成熟度。具体是否部署则要根据网络规划及超大、骨干节点的具体需求,而整个系统则将是10G、40G、100G共存的。
“未来两年,应该是100G端到端解决方案商用的关键时期,华为在这个过程中,会承担起促进整个产业链成熟的责任。100G是我们的一个里程碑,我们今后还会有200G和400G,及更大容量、更长距离的系统。”李剑对于华为的100G之路充满自信
“单槽400G,得出总共6.4T的交换能力这个问题有点可笑”。这个有啥可笑的?这个是在框系统设计时候就决定的。背板能到400G。交换板就能到6.4T。
关键是线卡的处理能力。100G转发才刚做利索呢。叠加上firewall。到20G算伟大了。
明显是一路由器改装的。。。
现在这个行业的文章咋都这么软呢。。。是客户傻还是。。。?
华赛做安全,一样要通过华为去卖。儿子老子本来就是一家。
防火墙这种产品,转发平面和控制平面还是分开的不?
防火墙是不是应该把包都扫到很深的层次再做决定?
如果不是分开的,或者说控制平面要深入转发平面,那控制平面和转发平面,或者更直白的说NPU和CPU之间的连接,和CPU的处理能力会不会有问题?
0楼楼主关心的槽与主板之间的总线是什么样,我也很好奇。。
如果需要CPU处理的东西多了,这玩意性能会不会下降?
这个看样子就是solar平台的框子加上cavium或者RMI的CPU线卡嘛
多谢7楼,说实话,看完还是云里雾里的,hehe
@Kevin,可是如果测试的两端都不在同一块线卡这种情况呢?线卡内走的是交换芯片吧?如果经过背板是要走总线?还是同样也是交换芯片?
原来是交换矩阵总线,可以保证400G*16插槽得出6.4T。
如果将国内的骨干网运营市场放开,恐怕根本不需要思科和华为这样的企业,不出弯曲就能改变世界。仅仅一个提速到什么T级别,概念而已。
“但同时引申出来一个问题:槽与主板之间的总线是什么样的,首先是什么总线结构,要是FSB那种,肯定没啥意义,”
FSB不会用于板间交换。 说实话, 这句话问的有点业余。
一看就是一路由器。吹牛腿的,如果这么算也行的话,我们的产品早就过T了,轮不到华为来争这个第一。
我还有个疑问,如果是路由器,那么看交换能力是不是意义也不大?还是他的线卡中的路由处理能力就到了400G?
to 19:
路由器的交换能力意义很大,决定了一台独立设备最大可能的处理性能。
简单的说,交换就像总线,限制了系统最大的吞吐量,线卡就像节点。
目前看其实没有那么大的意义。或者6.4T的交换容量对纯FW来说没有任何意义。做firewall,DPI打开,10G处理能力就了不起了吧。
这个结构必然是router叠加firewall。
现在400G的线卡和1.6T的交换板都还没影呢。买个这个框只是保护用户投资罢了。
把 4-7 IDP功能打开 看牛还怎么吹。。。。
对待华字头公司的产品发布,大家要淡定,淡定。
这东西是有点虚无缥缈。
在华为内部打听了半天没人知道。
这个标题真能唬人…..
看了正文才知道Tbit指的是交换容量而已,而且就算是指的交换容量,也是个天大的卫星…. 400G线卡基本上来说还是一件没影的事儿
所以“Tbit的防火墙”基本等于胡扯,俺们之前做的Gbit的防火墙(非多核架构)09年还卖的好好的…后面能升到10G基本就撑的差不多了
华为风格,之前E8000E刚出来的时候才最多80G防火墙能力,怎么一下子放卫星到T了
呵呵,关于TB的问题,我之前也不了解,后来查了一下资料才知道,这个背板交换容量还是有意义的,这个是多业务网关,所以不一定搭载防火墙线卡,当然如果搭载防火墙线卡的话,瓶颈就可能在防火墙线卡上了。
sorry,是防火墙业务卡,不是线卡。
Eudemon 不是防火墙产品线吗?还能做啥别的业务?
机柜式的,通过插卡可以扩展的吧,毕竟这种架构,防火墙功能也是放在一块业务卡上,如果不插这个防火墙业务卡,连防火墙功能都不具备。
不知道E8000E多块业务卡能做负载均衡吗?还是一块业务卡负责一种业务处理?
我觉得要实现这种多业务卡的负载,至少在线卡上实现类似于session的东东。
E8K,垃圾来的,谁用谁知道。
国人的代码算法能力还是烂。
看来33楼是用户啊, 隔了两年回来吐槽一下?