“简单比较一下 山石 和 PANW”有109个回复

1. 网路游侠 于 2012-08-06 9:54 下午

   个人感觉，山石的产品目前还是停留在防火墙阶段，客户的认知也是。需要大力宣传下一个重点……

2. 七棵大树 于 2012-08-06 10:07 下午

   山石在我楼下，每次坐电梯，，6层都很少有人上电梯或者下电梯，，山石好神秘啊

3. 老韩 于 2012-08-06 10:55 下午

   我也很郁闷，山石的设备加入应用识别和应用路由都挺早的，应该是08还是09年。不过他们现在的方向也是对的，Chassis在国内是有需求的，利润也高；PANW的思路是在企业网搞定前不做Chassis，市场环境不一样。

4. 阿涛 于 2012-08-06 11:09 下午

   感觉网络安全这东西，大家都说重要，其实都不愿意花钱，目前愿意花钱的（或者说花钱的）多是党政军和国企，这些用户不光是技术就能搞定的。没渠道，人家单子做下来了，你还不知道呢
   将来可能有几种现象：有技术，有人脉的大鱼吃小鱼；2,有技术没人脉的被收购3.没技术没人脉的被淘汰。
   欢迎大家拍砖。

5. 铁木 于 2012-08-07 2:31 上午

   大客户拼性能
   小客户拼功能

6. DataPilot 于 2012-08-07 7:14 上午

   PA锁定做企业，但是也并非没有进数据中心的机会，对于DaaS这种云桌面环境，PA的用户识别就发挥大作用了，在虚拟化的环境下，基于IP的策略是没有意义的。而现在大规模的DaaS化进程正在中国上演，企业市场自然更不必说了，虽然CP也可以在虚拟化桌面前做点事情，但是PA是最佳选择，只要切住这个点，PA就不会再是在中国跪着卖的局面了。

   但是PA，也有自己的极限，虽然上市很成功，技术很先进，但是我感觉，YM的思路还是老防火墙的时代的思路，由IT作为安全策略的驱动核心，虽然有应用识别和内容识别，但是策略是IT设定的，而不是业务部门，其实PA现在的产品是一个应用控制设备，让企业安全使用应用的设备，那么制定这个策略的权利应该放给用户，人事部的某人需要访问社交网络，IT是没有判断力的，应该是他的直线经理来批准。这没有安全威胁，只是更好的利用应用而已。但是好像PA还是没有从这个角度去看过。

   反观HS，如果去吃政府市场的“肥肉”，对各种数字增大，都是捷径，但那样美国上市就没啥希望了，新东方的事情告诉我们，美国股民对中国股票是有意识形态的问题的，如果被打上一个为中国信息封锁提供暴政工具的标签，那就完蛋了，所以HS没有在这块市场发很大力，也可以理解，但是大家都清楚过去2年，政府市场是最疯狂的买家，特别是对高性能的应用层的墙。

   所以，HS现在的营业额也好，市场占有也好，还是保持一个为美国上市去准备的理想化模型，而不是急功近利地疯狂，而且至少性能这点，HS的确是做的不错的。不能因为PA的暂时领先，就觉得HS多么的不堪哦。

7. 陈怀临 于 2012-08-07 10:29 上午

   我也发表一哈言论呀。。。尼玛，熟人太多。不能乱说呀。。。手心手背尼玛都不是肉，其实。。。

   PANW的本质就是就是Nir小样能说。Hillstone的致命弱点其实就是英文口语不灵。

   其他的都是浮云。。。尼玛：－）

8. 瀚云 于 2012-08-07 6:21 下午

   话说这些企业为啥都非要在美国上市呢？HS不能在国内上市？话说国内的条件更好，尤其股票更容易被炒翻~~当年汉王的情况大家知道盈利模式单一，不还是炒到到150多的天价~~国外哪有这个优点，再说国内还有许多好处，就算业绩不行了还能借壳、吹风、假消息，除了锁定期长一点，好处多多啊。

9. 瀚云 于 2012-08-07 6:29 下午

   A股是不容易涨到高位，不过我们这旮瘩手段多啊。50多块的股票没人买，没关系，年中的时候来个10送10，就变20多块了，年底再来个10送10，就变10块多了。明年涨到50多了可以继续。哪天要是想套现了发现股价不高，可以杜撰一个假消息，比如和非洲某国XXX签下50亿美元巨单~没人关心XXX一年的GDB是不是有这个数字的零头大，反正20多个一字涨停是跑不了的~啥时候想卖都行，多爽啊~

10. Mark 于 2012-08-07 8:06 下午

    做出点成绩来吧，至少也不会被淘汰出局。

11. chedan 于 2012-08-07 8:17 下午

    山石大概是有点王明路线的问题。十二个（因该是三个半？）布尔什维克空降到中国，想搞阵地战。但是阵地战不那么好打。个人以为容量，速度其实不适合资源紧缺的网络小公司用来做突破的主打。

12. 技术问题 于 2012-08-08 8:13 下午

    有同学在山石，说山石的系统是数据平面的每个进程绑定到不同的CPU上，并且自己弄了一套复杂的机制在这些进程之间共享数据（内存管理）和同步（锁），有必要用进程吗？线程不可以吗？似乎除了进程可以更好的控制私有数据外，没有什么是线程做不了的！

    一个猜测是：早期linux的pthread是在glibc层面上实现的，不能绑定CPU，调度效率也很低，山石的系统从那时开始采用了进程策略，并一直延续下来。如果真是这样，一个更合理的猜测就是：山石的系统最初的代码确实是来自NS。

    纯技术问题，求山石的大仙吗解答！

13. 青杨 于 2012-08-08 8:14 下午

    本人关注安全圈子也差不多快半年了，第一次在坛子里冒个泡泡。
    对于HS和Palo Alto之间的差距缘由，个人认为主要有三点：
    第一，市场总额，北美的市场总额是国内的好几倍，所以在同样市场占有率的情况下，肯定在那边发展好。
    第二，技术氛围，美国的整体技术就领先于国内，技术更新也更快。有大批优秀的网络安全公司都在美国，相互竞争促进，自然成长迅速。
    第三，用户安全意识，对网络安全的重视程度不同，因此这方面经费预算也不同。就好像去巴西卖足球比在中国卖足球爽得多一样。购买意识在推动购买力。
    当然，这些都是客观原因，了解不多，只能分析个大致轮廓。山石目前比不过Palo Alto，但并不代表山石不是个优秀的企业。山石当初避开锋芒，选择国内，估计是想先利用技术优势先抢占一席之地，扎稳根基，成熟后再向外扩展。有点像卧龙入蜀战略，厚积薄发。又有点像共产党路线，农村包围城市，国内为“农村”，美国为“城市”。所以说，山石目前暂时落后，看似理所当然，但十年、二十年后，谁能笑到最后，还不得而知。
    纯属个人意见，若有雷同，那是我们志同道合，想到一块儿去了哈！
    另外，安全坛子也看了一些，好像大家都多讨论国内和美国的战况，欧洲那边啥情况呢？望指点。谢谢!

14. beans 于 2012-08-08 10:54 下午

    我回答一下12楼的技术问题
    “自己弄了一套复杂的机制在这些进程之间共享数据”
    这个地方你说的不对，这个机制是cavium的sdk提供好的，代码都已经妥妥的了。这种形式，也可以认为是cavium提倡的。
    至于锁，这个咋说你也省不了吧。

15. 深度近视 于 2012-08-10 8:27 上午

    出乎其上方得乎其中。
    如果眼界就是一亩三分地，收获的也就是烂枣三两只。
    说农村包围城市，就好像蒋介石谈反攻大陆那么可笑。

16. 清华土著 于 2012-08-10 8:54 上午

    Yuming确实牛，钦佩。

17. 几楼楼长 于 2012-08-11 6:58 上午

    TO 12楼：这还用说吗，代码当然来自NS了。

18. image 于 2012-08-11 7:45 上午

    to 14 beans

    我回答一下12楼的技术问题
    “自己弄了一套复杂的机制在这些进程之间共享数据”
    这个地方你说的不对，这个机制是cavium的sdk提供好的，代码都已经妥妥的了。这种形式，也可以认为是cavium提倡的。
    至于锁，这个咋说你也省不了吧。
    =========================================
    你好，几个问题，请教下：
    据我了解cavium将大片的内存独立于linux之外，由数据转发层面自己管理，这么做的好处是什么呢？为什么不由操作系统一起管理了。
    其他厂商的方案也都是这么做的吗？

19. multithread 于 2012-08-12 7:57 上午

    在Linux上，进程（process)）和线程(thread)有区别吗？

20. 陈怀临 于 2012-08-12 11:12 上午

    Heeeeeeeee。

21. 理客 于 2012-08-12 3:53 下午

    H的IPOS缺少首席这样的实力干将做系统及规划，虽然H已经大到可以解决这样的损失，但首席离开H，还是IPOS不小的损失。首席如果和吴东军联手，一定能给VRP带来不错的变化。

22. 123 于 2012-08-12 7:41 下午

    创业需要首席这样的人，能正视自己的问题点在哪，敢于说出来，而且会想办法去解决问题，总之一句话是敢说敢做，敢承担责任。

23. beans 于 2012-08-12 8:40 下午

    18楼的真好学~
    你的第一个问题:
    如果直接用linux的内存管理，其实也没什么不可以，只不过多少要自己控制一下，否则一些特定的指标，不能保证达到，比如你号称支持x万的session，但是你的内存却被linux分给了别的模块。甚至内存不足时产生OOM问题，导致应用程序被干掉，那问题就比较麻烦。

    你的第二个问题:
    其它厂商，怎么做的都有。
    1，
    最简单粗暴，倍受鄙视的，就是直接用linux的协议栈和netfilter,这个虽说不上档次，但是开发周期短，稳定性高，性能上差。不过性价比阿，够高，这种方案，一般用了都不后悔。
    2，
    再一种就是数据平面和操作系统彻底分离，都不让操作系统看到~，貌似H系的一些公司和Intel的dpdk最早的版本，都是走这个路子(最近发帖子招人的那个香港公司，应该也是这类的，呵呵)后续跟风按这个做的公司也不少。这种性能自然不错，但是调试困难，开发难度大，从一个做架构的人的角度，我不得不说，选这种架构的公司，他们冤枉钱多花了不少，这种方案，一般用了都后悔。

    3，
    数据平面跑在用户态的。也就是cavium提倡的这种，除了HS外，一般新起炉灶的公司也都这么用，还有不怕花钱推翻了2，从起炉灶做这个的…..
    可见这个架构优点是多么明显。缺点么，只要稍加定制，都可以克服掉。这个方案，用了都说好阿。

    4，
    除了这三种，还有一些其它类型的,应该都是根据各自的情况定制的了。

    在架构系统的时候，大多数公司都不能随意选择最优的，考虑的更多的是兼容现有的产品代码，以及考虑自己开发人员的经验。最后选择对于自己公司，成本最小的方案。

24. 低调再低调 于 2012-08-13 12:11 上午

    23楼分析得比较清楚，看来对业内各家的架构深有研究，架构这种东西没有最优只有合适，每家公司选择架构的前提都是立足自身特点和成本最小化，合适的就是好的

25. 技术问题 于 2012-08-13 7:57 上午

    小道消息：绿盟上市后，主攻tilera，欲在多核市场有所作为，但现在遇到技术障碍，主要是底层有些东西搞不定，一帮牛人正在苦苦攻关，并急切期待更牛的人加入以解燃眉之急。

26. image 于 2012-08-13 8:11 上午

    to 23 beans：
    非常感谢您的解答！
    不过还有些问题继续请教下：
    “简单粗暴，倍受鄙视的，就是直接用linux的协议栈和netfilter”是不是说方式2，3数据包的处理都不是建立在linux协议栈上的，那是如何处理的？刨除linux协议栈，自己实现的吗？这个方式有什么优势啊，linux协议栈的性能不能满足网络安全的需求吗？

    对这种大型设备不熟，没想到大型系统是这么玩的，特别是cavium内存管理那套挺“诡异”的。貌似arm没有这么弄的吧，至少目前没遇到过。呵呵！

27. multithread 于 2012-08-13 10:35 上午

    To #25: 当看到玩众核的人深陷苦海之中时，玩多核的人暗暗窃喜：感谢多核上的CACHE大呀，阿门！

28. 技术问题 于 2012-08-13 6:57 下午

    To #27: 这个不光是cache问题，更多的是session在众多核上分配的问题，导致每个核的负载非常不均衡。还有同步，核多了，锁竞争非常厉害。 简单的说：典型场景下，少部分核的利用率100%了，大部分核还在60%以下甚至更低，平均大概70%左右。而在这70%中，约有1/3是耗在锁上了，实际在做业务处理的cpu利用率仅在40%左右。

29. beans 于 2012-08-13 7:59 下午

    tilera这个东西，我参加过两次他们的推广会，当时网络安全这个行业，他们还没有客户。他们成功的行业，好像是多媒体什么的~。

    当时他们这个东西，给我印象，最大的问题是两个。
    1，cache在不同的cpu之间，不能自动同步，需要手动~
    2，对大内存支持的不好。
    其实问题2还好说，就算不支持4G以上的内存，仍然可以用来打造超高速的”低端”设备~~
    不过第1条我觉得太致命，这会极大地提高开发难度，增加开发成本。一般公司开发个rmi，都搞得死去活来，如果开发难度进一步增加，恐怕开销的增加就是非线性的了。最后出来的产品稳定周期也会比较长。

30. kuaikuai's father 于 2012-08-13 8:00 下午

    To #28: 用多核，就不能让锁限制性能。必须在driver或更底层就做好分包，报文到CPU走协议处理时，就已经是均衡分配的了。
    在driver里做，存在一定的cache miss问题,但比起锁的性能损失，算不了什么。典型的做法是用2个左右的核处理报文收发，其它核并行处理报文。
    若用硬件（FPGA)来做分包，则一切都完美了。
    多核，如果不脱离锁的桎梏，就不能叫多核。

31. multithread 于 2012-08-13 8:10 下午

    再加一句：玩多核的人暗暗窃喜：感谢多核上的核数少呀，阿门！

    However， I have to say it is still challenge to use the multi-core architecture under NUMA.

32. multithread 于 2012-08-13 8:17 下午

    To #28, 主要是cache问题。 如果你能体会到这点，你就能用好多核。

33. kuaikuai's father 于 2012-08-13 8:38 下午

    To #32， 当然cache是重要的。我的意思是，多核系统起码要将锁的开销降到最低，不然谈其它的没有意义。cache就那么大，你费老鼻子劲优化了，再来一大堆锁，介个。。。。。
    报文和session均衡到各个核上，这个是多核的基本功，这个如果做不到，一切都是浮云。。。

34. cloud 于 2012-08-14 12:47 上午

    华赛最近有啥消息啊，合并到华为之后没动静了？

35. kuaikuai's father 于 2012-08-14 2:18 上午

    窃以为，同样性能盒子的厚度,大致可以看出厂家的软件系统的差距。以100G来看，山石的SG-6000-X6180是5U的盒子，可见其加入了太多专有硬件设计（直接使用其它厂家的硬件也计算在内）,StoneOS的多核做的并不是太理想。100G，1U机箱+纯CPU（多核）+突破IO瓶颈的硬件设计+一个好的多核系统，足以。另外像Topsec等不知道多少U的100G产品，用硬件堆出来的，其软件系统的技术水平，就可想而知了。基本上，国内厂商或多或少在走拼硬件的路子,layer7是其致命弱点。而防火墙，还能以layer4为卖点么？关于NGFW,关于PANW的“重新定义网络安全”，我以为，layer7是很关键的一环。什么时候100G能用纯多核实现了，国内安全厂商，在技术上才与国外厂商到了同一个层次。

36. 删回帖的标准是什么？ 于 2012-08-14 5:56 上午

    请回复以下，下面的回帖为什么被删掉了？
    看了些这上面的一些文章，本以为这是个值得被尊重的地方，谁料这样的回帖都被删。自认为这是一个情绪中立的回帖，灌水帖都可以保留，这个为何不行？不理解。。。

    ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
    窃以为，同样性能盒子的厚度,大致可以看出厂家的软件系统的差距。以100G来看，山石的SG-6000-X6180是5U的盒子，可见其加入了太多专有硬件设计（直接使用其它厂家的硬件也计算在内）,StoneOS的多核做的并不是太理想。100G，1U机箱+纯CPU（多核）+突破IO瓶颈的硬件设计+一个好的多核系统，足以。另外像Topsec等不知道多少U的100G产品，用硬件堆出来的，其软件系统的技术水平，就可想而知了。基本上，国内厂商或多或少在走拼硬件的路子,layer7是其致命弱点。而防火墙，还能以layer4为卖点么？关于NGFW,关于PANW的“重新定义网络安全”，layer7是很关键的一环。什么时候100G能用纯多核实现了，国内安全厂商，在技术上才与国外厂商到了同一个层次。

37. 技术问题 于 2012-08-14 5:58 上午

    To #29:
    1，cache在不同的cpu之间，不能自动同步，需要手动~
    2，对大内存支持的不好。

    对问题一，tilera是共享二级cache的，你的意思是说core1修改了一块内存，这块内存对应的core2的一级cache不能自动更新吗（连个MESI也没有）？我看了下tilera官网资料，似乎没有提到这个，如果是真的，简直就是半成品嘛！！ 同情绿盟的牛们！

    对问题二，你是指不能支持DDR3吗？这个最近好像是可以支持了！

38. 读者 于 2012-08-14 6:47 上午

    第二个问题是不是指32位处理器限制了寻址空间。现在出来了64位处理器解决了这个问题？

39. image 于 2012-08-20 7:00 上午

    to beans

    26楼的问题，能帮助解答下吗！谢谢！

40. beans 于 2012-08-20 7:19 下午

    image,我要收培训费了。呵呵。
    一般到本机的报文，还都是linux协议栈处理。

    但是转发的报文走的路径，有彻底自己实现的。也有自己做一部分，然后使用linux协议栈一部分资源的。

41. 路人甲 于 2012-08-20 7:51 下午

    to image
    cavium本身定义了一个simple executive，可以称之为快路径。这样做的好处，就是将一个已知流的操作，直接交给cpu去处理，而不需要linux协议栈了。这样必然能够提高设备的整体性能。

42. 新手0 于 2012-08-20 8:10 下午

    To #36，不要鸡冻，应该没有删帖。
    要相信弯曲。
    我也遇到过一次，发了回复贴之后看不到自己的回复了，过了几分钟后就刷出来了。
    估计跟数据库的ACID啥子有关系，瞎猜对。

43. 小韩 于 2012-08-21 5:10 上午

    “以100G来看，山石的SG-6000-X6180是5U的盒子，可见其加入了太多专有硬件设计”，没明白最后半句的结论是怎么推导出来的。山石的硬件结构已经够简单的了，软件效率也还是可以的。

44. to #43 于 2012-08-21 6:42 上午

    嗯，是的。山石的硬件设计同其他厂家比确实简单许多。
    天融信的100G设备，估计在10U以上。
    所以我依然认为山石是技术最好的国内厂商。

    但5U的100G，硬件依然不够简单，因为采用的是老的构架，数据平面都跑在硬件里，所以才需要5U的空间，才装得下ASIC，FPGA。。。

    硬件做了所有layer 4 以下的事情，如果产品不是以layer7为卖点，CPU就没什么可做的了。所以，我觉得山石的多核系统做的一般。如果多核做好了，100G的产品，无需任何专有硬件，SG-6000-X6180的厚度只需现在的1/5。

    如果采用X86多核构架，不加任何专有硬件，一切由软件完成，100G，1U足以。这样的产品，市场上已经有了。

    ===============
    to #42,
    鸡冻倒没有。觉得弯曲的系统有点问题，评论一会消失，一会又出现了，可能是技术原因。

45. 理客 于 2012-08-21 1:17 下午

    “如果采用X86多核构架，不加任何专有硬件，一切由软件完成，100G，1U足以。这样的产品，市场上已经有了。”
    愿闻其神。是纯裸还是略略有点隐隐约约的比基尼？是19吋，还是190吋？

46. kevint 于 2012-08-21 3:26 下午

    INTEL 自己dpdk的广告呵。100G跑个基本转发差不多。

47. multicore is the secret 于 2012-08-21 7:11 下午

    to 理客：

    打字费劲，直接上图：
    http://www.a10networks.com/products/axseries-ax3530_IPv6_Migration.php

    我以前一个同事+哥们所在公司的产品。第一次看到的时候我也不敢相信。这哥们告诉我：
    1.硬件构架非常简单，与早期x86软件防火墙极相似
    2.不同的是CPU是双8核（共16core),Sandy Bridge。当然，I/O有他们公司自己的设计,100G不是简单的几个PCIe就能搞定的。
    3.软件系统是核心。所有的处理都在CPU，应用层。我这哥们现在在做的，就是把driver移到应用层
    4.具他说这个硬件平台，性能还有提升的空间，还在做软件上的优化。这个我持保留意见，100G应该到头了
    5.与DPDK无关。哪有这么多人甘做小白鼠

48. multithread 于 2012-08-21 7:19 下午

    #33, please pay attention to so called “lock-free” data structures.

    If there is any lock in a multi-core system, it is huge performance for network application.

49. 多核爱好者 于 2012-08-21 7:32 下午

    to 29 楼 使用TILERA GX处理器做的100G 产品，TIELRA芯片支持硬件cache coherence,并且支持大容量DDR3内存，如果使用8GB内存，可以支持64GB内存。 CPU也是64bit的。
    http://www.checkpoint.com/products/security-acceleration-module/index.html

    Ideal for latency-sensitive applications such as financial trading and VoIP

    •Sub 5 micro-second firewall latency
    •Enabling Security in intensive high performance environments such as Financial Trading floors
    •Offering maximum security with minimal latency overhead
    Hardware acceleration for Software Blades with new SecurityCore™ technology

    •Purpose-built hardware acceleration technology for security processing
    •Over 100 dedicated security cores for ultra-fast security performance
    •Accelerate traffic on all interfaces with a single Security Acceleration Module
    Boost your performance on the 21400 Appliance

    •110 Gbps firewall throughput
    •3X session rate, up to 300,000 connections per second
    •9X forwarding rate, up to 60 million packets per second
    •Overall system power to 2,900 SecurityPower™ Units

50. multicore is the secret 于 2012-08-21 7:44 下午

    这个产品有SSL加速硬件，好像是可选的，可以忽略之。

51. beans 于 2012-08-21 10:53 下午

    我大概是3,4年前,听的tilera的推销~，现在这两个关键问题估计是解决了。要不绿盟应该也不敢用。

52. multicore is the secret 于 2012-08-21 11:05 下午

    最后做成怎样，还得看绿盟的软件团队。
    用tilera的SDK，软件开发的难度应该会降低很多，近似OEM了。

53. Panabit 于 2012-08-22 1:18 上午

    目前不是40G以上的性能要求，就抱定X86吧。在2年内，X86单机做到100G也是没问题的。

54. multicore is the secret 于 2012-08-22 2:16 上午

    to #53,

    不用2年，现在就能做到了
    X86其实很强大

55. x86有希望么 于 2012-08-22 2:26 上午

    有一种说法是：目前是x86对网络设备来说的一个高潮时期，x86将来的路线不再是发展性能和提高通信带宽了，因此在过几年，各种NP的优势又会回来。各位高手怎么看这个问题？

56. Panabit 于 2012-08-22 2:28 上午

    现在的100G还只能是IO性质的，到100G的实际应用还需要等等。

57. 小韩 于 2012-08-22 7:25 上午

    To44：感觉有点唯技术论了，100G的安全产品做到1U，恐怕现在对厂商和用户都不一定是件好事。当然10U也多了点。
    To47：
    现在很多LB都是x86+switch的架构，名副其实的47层“交换机”，成本是可以很低的。A10的设备没拆过，拆过一个Netgear的4x10G+24还是481G的1U的有LB特性的交换机，就是一个8核的Cavium加个交换芯片。
    至于安全特性，全开的时候性能肯定也是受限的，单纯防火墙除外。其实你贴的这个产品可以看做迪普的DPX8000的业务接口大小板的独立产品包装形态，业务逻辑差不多。

58. multicore is the secret 于 2012-08-22 8:13 上午

    to #56

    “100G的安全产品做到1U，恐怕现在对厂商和用户都不一定是件好事。”
    这话怎么说？为啥不是好事？做到1U只是外在表象，它包含的是：没有第三方专有硬件，软件是核心，硬件成本降到最低。这才使安全厂商看起来不是在给别人卖硬件，毕竟有了自己的附加价值–软件
    ============

    “A10的设备没拆过，拆过一个Netgear的4×10G+24还是481G的1U的有LB特性的交换机，就是一个8核的Cavium加个交换芯片”

    图片已经把内部的硬件显示的一清二楚了。如果是cavium+交换芯片，也不好意思贴出来，是吧。。。。二到七层，都是CPU，这个说得够清楚了。。。
    ========================

    “其实你贴的这个产品可以看做迪普的DPX8000的业务接口大小板的独立产品包装形态，业务逻辑差不多”

    扫了一下DPX8000(第一次听说这个公司），技术构架不同，没有可比性。说“可以看做迪普的DPX8000的业务接口大小板的独立产品包装形态”，意思是说DPX8000的小板都是用Sandy Bridge 做的吗？显然不是。“业务逻辑差不多”？所有公司的业务逻辑都差不多吧？我强调的是技术实现，是纯X86做到应用协议100G。
    ==============

    “全开的时候性能肯定也是受限的”

    也许吧，这个得问问我那前同事是怎么测的。但话说回来，有哪家敢说自己的性能是全开条件下测的？
    =====================

    放眼望去，国内百G设备，都是又重又厚，板卡板卡再板卡。A10的这个设备，只需软件软件再软件。这也是我极力推崇这款产品的原因。

    X86，我们还有很多事情可做。

59. 小韩 于 2012-08-22 9:07 上午

    To57：
    我觉得咱俩在自说自话:D 角度不一样

60. zeroflag 于 2012-08-23 1:16 上午

    TO 小韩：

    DPX 8000单板只能到40G而已，而且背板限死了，以后也基本上不会做的更高。看年底吧，年底新的CLOS框子出来以后，争取单板能做到160G。

    TO 58楼：

    不是只有软件才有价值，能用别人的芯片把自己的板子做好也有价值。不同公司选择的路径不一样，没有那条路是最优的，只有合适自己与否的问题。

61. 理客 于 2012-08-23 4:44 上午

    成本肯定不低，但2*8核也不能说没有可能做100G的业务，希望看到这个100G产品的真实技术评估。

62. 理客 于 2012-08-23 5:59 上午

    一个intel 8核要1000欧左右，这个价格下的100G产品，可能没有成本优势

63. 小韩 于 2012-08-23 6:14 上午

    To 60：
    我的意思是逻辑思路上像，一个x86+switch，一个RMI+switch -_-

64. image 于 2012-08-23 7:03 上午

    to 40 beans

    谢谢讲解。培训费，呵呵，要是能做个系统的培训，交培训费也值啊，就怕大师看不上啊。

    ps：想学习这方面的知识，能指点下方向吗？

65. multicore is the secret 于 2012-08-23 7:58 上午

    to #63:
    思路上完全不一样。我反复强调过了。没有switch。小韩同志是看不懂还是故意无视呢？
    我贴的那款产品，只有X86。请仔细看一下彩图和相关文字描述。

    to #62:
    成本可能不低，但应该没有ATCT或者堆到5U以上的板卡贵。该公司是美国公司，intel CPU在美国批量采购肯定比在欧洲便宜很多，光关税就省了不少吧？相信成本比国内大部分百G设备要低很多。

66. 小韩 于 2012-08-23 8:09 上午

    To65：
    是，昨晚有点想当然了，看得不够仔细，抱歉。

67. multicore is the secret 于 2012-08-23 8:29 上午

    再to #62

    刚问了一下前同事。据说他们的毛利率是全行业最高的（美国市场范围内），他们自己都不太愿意讲，怕被人说暴利。我觉得有夸张的成分，但其硬件成本和美国其他厂家比，应该还是很低的。
    他们以前主要做美国和日本市场，这一两年才开始在中国市场发力。销售在上海，研发在北京。淘宝好像是他们的客户之一（用的是比这个百G低端很多的设备），淘宝打折的时候，所有流量轻松hold住。
    我想如果这个设备开始在国内大卖，很多厂商的百G设备就真的拿不出来了。
    不过，市场跟技术从来没什么关系的，特别是在中国。山石刚成立的时候我就在关注了，其安全设备，从技术上来讲，我认为一直领先同时期的其它厂家。但这么多年过去了，觉得山石在市场上与其竞争对手还是有很大差距。

    回到本篇主题，PANW，我觉得从技术上来讲，跟山石比，真不知道他强在哪里。但人家就是上市了，其CEO还说“我们重新定义了安全”（不确定原话是不是这样说的）。
    我想如果这个设备开始在国内大卖，很多厂商的百G设备就是个摆设了。。。

68. 理客 于 2012-08-23 8:34 上午

    16个核100G，每个核6G full duplex，并且只有X86，那么也就是其secret在软件。也就是说，一般的软件做到50G已经是很牛了，而它可以做到100G。

69. multicore is the secret 于 2012-08-23 8:35 上午

    怎么不能修改自己的评论呢？
    建议增加这个功能。

70. multicore is the secret 于 2012-08-23 8:48 上午

    To 理客：
    正解！软件是其核心价值。
    我想那个网页应该没有水分，确实就是只有X86。人家裤子都脱了给你看了，彩图显示的清清楚楚，应该不是吹的，虽然有点难以置信。觉得50G就很牛，也许是因为我们没看到更牛的。也许这个100G也不是最牛的，谁又知道intel CPU的极限在哪呢？

71. multicore is the secret 于 2012-08-23 8:58 上午

    另外，他们有个“Outperforms Chassis Solutions”特性，给我的解释是可以把几个这样的设备组合成逻辑上是一个但性能是所有之和的虚拟设备。这个虚拟设备称之为”virtual chassis”,由一个管理系统（软件）完成对整个”virtual chassis”的管理。网页右边的那个在日本得的什么奖，就是用3台组合成一个300G的”virtual chassis”得到的。

72. 理客 于 2012-08-23 9:16 上午

    这个确实有价值，估计首席忙着玩APP把妹做广告，没功夫玩这个了，你写个分析文章在这里发一下，也看看能否吸引更多的高手来解密一下，panabit等很多做这方面系统高手应该有兴趣。或者帮首席拉个广告在这里，和山石PK，比google自动加的广告有价值和意义多了:)

73. 小韩 于 2012-08-23 10:04 上午

    这个产品有意思，琢磨琢磨。软件优化先不说，硬件必须在理论上先能支持100G，否则一切都是空谈。
    multicore is the secret兄已经提到过，I/O“有自己的设计，100G不是简单的几个PCIe就能搞定的”，又反复强调没有Switch，那么剩下几种可能：x86通过PCIe或者QPI连到Multicore MIPS，或者自己做了个超级NB的PCIe Switch连接x86和NC。结合官网给出的拆机照片和产品规格看，后一种可能性大些。
    今儿七夕，先猜到这。

74. 小韩 于 2012-08-23 10:57 上午

    对不起，经过某位大湿指导，基本确定是纯x86架构。
    图中银白色散热片下面应该是C600桥片，C600下面6个黑色散热片下面应该是双10G口的NC，左侧3个黑色散热片下面应该是双Ge口NC。
    SNB架构至强每个CPU有40个PCIe Lane，两个CPU就是80个Lane，接这些NC是足够了。总的理论带宽是640Gbps，实际性能50%应该是有的，100G+没问题。
    软件，关键还是软件啊。

75. multithread 于 2012-08-23 11:23 上午

    Supporting 100G is relative easier if it is 10X10G.

    First, IO module: if A10 integrated the Intel 82599 design into their 10x10G IO module, load balance is done through RSS based multiple queues, supporting 100G could be done easily by distributing the packets among 16 CPU cores in which each core could handle 6-7Gbps. This is NOT a difficult task for large packets such as the length is 1024.

    Second, Sandy Bridge supports PCI-e 3.0 and 10x10G ports requires 2X8lanes PCI-3.0 (16 x 8 =128Gbps, based on the fig., there are probably 2 PCI-e slots since the board looks like an Intel motherboard design).

    Therefore, in theory such an architecture could support 10X10G=100G speed for large packets.

    The real question is what is the small packet speed such as 64Byte?

76. multithread 于 2012-08-23 11:32 上午

    哈哈，和小韩的分析是：英雄所见略同阿！

    不过还要赞一下，A10把10个10G的82599搞在一起是不容易的。 市面上常见到的是4X10G。

77. Lucifer 于 2012-08-23 6:56 下午

    目前一个x8口的芯片都是两个10GbE口，这机器插6块，一个CPU接3个双万兆网络芯片

78. 新手0 于 2012-08-23 7:02 下午

    说到RSS，请教各位大神们一个问题：

    在最简单的一入一出的场景下，
    上行报文A->B和下行报文B->A在不同的port上被rx，
    如何保证它们被RSS到同一个core上？

    这里的问题是，RSS本身的hash算法是不对称的，
    hash(A->B)!=hash(B->A)
    当然从ramdom_key上做文章是有可能的，
    但通用性会差一些吧（比如一入多出的的场景）

79. Lucifer 于 2012-08-23 7:09 下午

    RSS叫做接收方扩展，只负责一个方向的，发送通常用其它算法，如round robin什么的

80. tom 于 2012-08-23 7:31 下午

    the AX 3530 delivers a record breaking 115 Gbps throughput, and can cluster up to eight units with aVCS for over 900 Gbps throughput.
    很强大。。。。，A10进中国不是很多年了吗？

81. multicore is the secret 于 2012-08-23 7:58 下午

    小韩同志分析得基本正确。（：

    看来你那位大湿真是阅女无数啊

    罪过罪过，弯曲是个纯净的地方。。

82. multicore is the secret 于 2012-08-23 8:28 下午

    to #80

    有个研发中心一直在北京，貌似市场在中国做得不怎么样。这里的很多人应该没听说过。
    但他们在美国和日本市场做得还行。特别是在日本，据说占有率是绝对的第一。

83. multicore is the secret 于 2012-08-23 8:44 下午

    看了小韩同志和multithread的分析，觉得我之前“100G已经到头了”的说法错了。我那哥们说这个构架的性能还有提升的空间，看来此言不假。

84. 小韩 于 2012-08-23 9:12 下午

    大湿就在79楼，国内媒体圈对英特尔产品架构细节最了解的人。
    英特尔的东西发展太快了，国内安全厂商要是自己做硬件会被拖死的。另外投入产出比太低，缺乏软件可靠性和部署案例的证明，用户肯定不买单。工控机厂商也不会做这么高端的东西，量太小，得不偿失。
    这个硬件要是给灵州或者派网，我觉得有2、3个月的时间，性能不会比A10低。

85. Lucifer 于 2012-08-23 9:38 下午

    = =!老韩太会抬举人了

86. multicore is the secret 于 2012-08-23 9:47 下午

    “国内安全厂商要是自己做硬件会被拖死的”
    这个我基本赞同。但不是“做”硬件，是“攒”硬件。有几个厂家是真正自己在做硬件。OEM，替别人卖硬件而已。核心的东西都是上游厂家的硬件提供的.
    ==================

    “这个硬件要是给灵州或者派网，我觉得有2、3个月的时间，性能不会比A10低。”

    无法验证的事情，说了白说。
    intel 的x86是早就在那里了的，厂商们之所以视而不见，主要是在软件这一块。习惯了OEM别人的硬件搞定一切，厂商们要转到intel的多核，基本上都得废掉以前的软件构架。所以Topsec投向了windriver和DPDK怀抱，绿盟采用tilera及其SDK。这些选择有一个共同特点，就是同时购买SDK。其实这个SDK，说白了，就是厂家把多核都给你做好了，你自己在线程（进程）里跑业务就行。如果自己能做，干嘛要花银子买人家的软件？A10的这个设备，只从intel买了CPU（和网卡）。

87. multicore is the secret 于 2012-08-23 9:51 下午

    “OEM，替别人卖硬件而已”，这个说得有点过了。但国内厂商，软件确实是其软肋。
    个人浅见。

88. 小韩 于 2012-08-23 10:08 下午

    To86：
    我说的做硬件就是自己画板子，交出去代工生产。目前我了解国内主流安全厂商自己有能力画板投板并且真这样做的，山石、迪普和网神而已（如果漏掉谁请包涵，应该不会漏很多），且只有网神做x86平台。
    其他厂商不是不能做，是自己没必要做。工控厂商的存在是有道理的，细分产业链，更高效，成本更低。另一个原因是，只有高端产品自己做硬件设计才有价值，但国内安全厂商在高端领域拿不到太多份额，20G到头了。这种级别的产品，买工控机划算得多。
    关键还是要有量，无论国情还是行业需求，咱和日本北美欧洲不一样。

    不过看到这个产品，我觉得之前做的《给力吧，x86》专题可以延续了，工控厂商啥时候出双路SNB？

89. AGan 于 2012-08-24 12:23 上午

    据我了解，双路SNB已经出来了，只不过是基于C600的。基于Cave Creek的也只需要等Intel发布后即可提供。

90. TGIF 于 2012-08-24 3:21 上午

    panw和山石的产品差别其实很明显，不明白说明没有理解需求的发展。

    今日的网络安全需要面对的问题已经远远复杂于端口防火墙的能力。最普通的FTP换个端口传个病毒能查出来吗？大多数所谓防火墙连是FTP都看不出来，更别说查病毒了。或者说malware传播的时候先来几十个干净的HTTP报文，后面再来传播自己，这后来东西还能写成各种形式，能放在注释里面之类的。能查出来吗？

    应用都跟不上的公司，已经落后了一代产品。

    应用能跟上的公司，才要比成本和性能。Layer7全开，能上1G的产品都是世界级产品。

    无论硬件如何构架，X86还是Cavium，如果整天考虑的还是优化提速L4的东西，那就是上一代产品。

91. multicore is the secret 于 2012-08-24 6:22 上午

    #90楼正解。这其实也是我要说的意思。大家不要再拼硬件了。拼硬件就是在比layer4以下。

    只不过不知道PANW的layer7到底做的怎么样。如果主要也是在做layer4, 那和山石比就没有任何优势。

    这也是我对板卡板卡再板卡的产品不太感冒的原因。这样的设备，没法做7层。

    A10如果也做layer4,估计也是这种构架，也就不会有47楼的那个链接了。
    他们的市场是ADC，只关注4层以上，所以才会有纯CPU的构架。

92. multithread 于 2012-08-24 7:58 上午

    >应用能跟上的公司，才要比成本和性能。Layer7全开，能上1G的产品都是世界级产品。

    Do you mean 10G? Missing a zero?

93. 多核爱好者 于 2012-08-24 6:49 下午

    大家说说如果把A10产品中的 6个10G NIC 换成三个TILERA GX36（ 每个GX36出4个万兆口），小包和加解密性能应该都会有保证了，x86也可以更专注L4-L7的业务了。 这个架构如何？这么高端的设备，成本也不应该敏感。

94. multithread 于 2012-08-24 9:24 下午

    1。如何保证TILERA GX36上的小包性能？
    2。如何在SB和GX36之间通讯？

95. multicore is the secret 于 2012-08-24 10:25 下午

    始终觉得小包性能对ADC设备来说没啥意义。我们应该跳出layer 4的思维。

96. multicore is the secret 于 2012-08-24 10:29 下午

    to #93,
    你是说TILERA 不适合做l4-l7吗？
    那绿盟花那么大代价用TILERA是为什么？还是为l4以下？

97. multithread 于 2012-08-24 11:46 下午

    #95, 应该是L2-L7通吃，而不是把它们割裂开来！从这个角度来看，x86有优势。

98. g 于 2012-08-25 5:35 上午

    绿盟用tilera的原因无非两个：当时sandbridge还没有出来，感觉跟着intel混不下去 ；和最早做多核的启明山石搞差异

99. 多核爱好者 于 2012-08-25 11:27 下午

    to: 94 楼
    1。如何保证TILERA GX36上的小包性能？
    GX36 64字节简单转发40G线速，TILERA也可以提供一套NETLIB SDK（L2,L3 NAT），性能测试可以问TILERA要， 1500B的包IPSEC可以做到37Gbps( 加速器+8个CPU）。
    2。如何在SB和GX36之间通讯？
    TILERA提供优化的驱动 PCIe2.0×8，现在可以传输30Mpps的包给x86 host. 也提供参考设计支持标准的NIC的管理功能。

100. 多核爱好者 于 2012-08-25 11:32 下午

     to 96楼
     不是说不适合，而是看客户的软件了，如果很多软件都在Linux Kernel里面，大量的代码移植到TILERA上，包括INTEL的DPDK都要很大的工作量，所以可以使用TILERA GX处理器来做fast path转发。 可能投入产出比很高。
     当然如果软件结构本身就是在用户态的，TILERA GX处理器可以提供的性能还是很好的，而且是系列化方案。

101. multithread 于 2012-08-26 7:43 上午

     TILERA GX 的LLC到底有多大？

102. tomqq 于 2012-08-26 5:42 下午

     楼歪了｀｀｀｀｀严重歪楼

103. multicore is the secret 于 2012-08-26 7:19 下午

     歪楼也不失为一道风景。 （：

     哪位大神详细分析一下TILERA?

     没太仔细研究这个产品，我觉得它对虚拟化支持不好。本来转向多核，大部分国内厂商都是下了很大决心，把以前的构架基本推倒重来（绿盟应该也是）。如果这一次不能cover虚拟化，等虚拟化真正到来，绿盟还得伤筋动骨一次？

104. 多核爱好者 于 2012-08-26 8:39 下午

     TO 101
     tilera GX36 L2 9MB, L1 32K I, 32D. 主频1.2G。

105. multithread 于 2012-08-27 6:33 下午

     比较一下： Intel SB （8-core）：

     L1 32K per core， L2：256KB per core, L3: 20MB shared

     In total there are 2MB L2 and 20MB L3.

106. beans 于 2012-08-27 7:30 下午

     Intel SB…..

107. rabbits 于 2012-09-14 4:58 上午

     beans以前是H的，所以知道

108. 微山 于 2012-09-25 2:51 上午

     “也许对于国内这种市场状态，一些比较小资金小规模的游击队更能轻装上阵，更能适应市场需求。”

     —————————
     严重同意。

109. 匿名 于 2012-10-13 12:45 上午

     通阅全篇，可见79、74、75楼的见解是高人高见，仅凭区区几段文字和图片，且在短短时间内，就能分析了个八九不离十。不得不佩服。其他楼层，除了47楼的兄弟有内线，都没得要领。