由于安全對(duì)于數(shù)據(jù)中心的重要性，用戶會(huì)以理智乃至苛刻的態(tài)度全面衡量防火墻產(chǎn)品對(duì)需求的綜合滿足度。如果有需求得不到解決，即便產(chǎn)品某個(gè)單項(xiàng)指標(biāo)世界第一，也只能是個(gè)“雞肋”。對(duì)于運(yùn)營商、金融、大型企業(yè)的數(shù)據(jù)中心等用戶群體來說，小包的高吞吐量、高性能連接處理能力、低功耗是比較普遍的三大需求。遺憾的是，如果以此為評(píng)估標(biāo)準(zhǔn)，市售百G級(jí)別防火墻產(chǎn)品中能滿足要求的并不多。我們看到Hillstone此次是有備而來，送來了定位于20G—100G的數(shù)據(jù)中心防火墻SG-6000-X6180(以下簡稱Hillstone X6180)。

數(shù)據(jù)中心需求驅(qū)動(dòng)下的產(chǎn)品設(shè)計(jì)

目前業(yè)界主流20G以上級(jí)別防火墻基本都為機(jī)框加模塊的產(chǎn)品形態(tài)，Hillstone X6180也采用這種設(shè)計(jì)理念，機(jī)框前后共提供了12個(gè)擴(kuò)展槽位，其中10個(gè)通用插槽可安裝接口模塊(IOM)、安全服務(wù)模塊(SSM)或QoS服務(wù)模塊(QSM)，兩個(gè)主控插槽用于安裝系統(tǒng)控制模塊(SCM)，均支持熱插拔特性。設(shè)備亦內(nèi)置高速大容量交換板，其面板上還設(shè)有4組千兆Combo口，可用做HA及設(shè)備管理使用。目前，Hillstone X6180可支持兩種規(guī)格的IOM，分別為集成16個(gè)千兆口的IOM-16SFP-80和4個(gè)萬兆接口的IOM-4XFP-80。當(dāng)滿配5個(gè)萬兆IOM模塊及5個(gè)SSM模塊時(shí)，整機(jī)即可達(dá)到百G處理能力。

在數(shù)據(jù)中心資源逐漸緊張的今天，產(chǎn)品的小型化、低功耗已成為用戶真正關(guān)心的問題。Hillstone X6180僅以5U的“身材”即可提供多達(dá)36個(gè)萬兆接口或144個(gè)千兆接口，以及百G級(jí)別的處理能力。Hillstone X6180最多可安裝4個(gè)電源模塊，工作于兩主兩備狀態(tài)，整機(jī)最大功率不超過1300W，在同級(jí)別產(chǎn)品中很有優(yōu)勢。我們對(duì)設(shè)備在實(shí)際工作時(shí)的功耗進(jìn)行了測試，結(jié)果如下表所示：

低功耗也減小了系統(tǒng)散熱方面的壓力，Hillstone X6180僅需一個(gè)支持熱插拔特性的風(fēng)扇模組即可正常工作，且各模塊均采用了被動(dòng)散熱方式，提高了系統(tǒng)運(yùn)行的可靠性。

在安全業(yè)務(wù)方面，Hillstone X6180特別增強(qiáng)了對(duì)虛擬防火墻的支持能力，最大可設(shè)定500個(gè)資源獨(dú)立的虛擬設(shè)備，可動(dòng)態(tài)設(shè)置每個(gè)虛擬防火墻的資源、策略、端口等配置，滿足不同應(yīng)用/租戶對(duì)獨(dú)立安全業(yè)務(wù)平面的需求。

綜合處理性能的強(qiáng)者

Hillstone X6180采用了分布式處理與統(tǒng)一管理相結(jié)合的實(shí)現(xiàn)機(jī)制，并在硬件層面保持獨(dú)立。在整個(gè)系統(tǒng)中，SSM模塊負(fù)責(zé)除QoS外所有安全業(yè)務(wù)的實(shí)現(xiàn)，直接決定著產(chǎn)品安全業(yè)務(wù)處理能力。本次評(píng)測使用IXIA XM12機(jī)框搭載Xcellon NP以及8端口10GE LSM測試卡進(jìn)行性能測試。我們實(shí)測到的單SSM模塊64Byte幀長時(shí)的吞吐量達(dá)到8Gbps，512Byte幀長起即逐漸接近線速。雖然此時(shí)每秒最多要處理1000萬以上的數(shù)據(jù)包，其整體轉(zhuǎn)發(fā)延時(shí)依然保持在24微秒以內(nèi)。連接處理方面，單SSM模塊標(biāo)稱具有30萬HTTP新建連接速率及1000萬并發(fā)連接能力，測試中則得到了33萬HTTP新建連接速率的數(shù)據(jù)(由于測試儀表的性能限制，本次未能測得并發(fā)連接的數(shù)據(jù))。由此可見，Hillstone X6180的單SSM模塊性能，已經(jīng)高于許多1U及2U規(guī)格、采用集中處理機(jī)制的防火墻產(chǎn)品，可以滿足業(yè)務(wù)發(fā)展的需要。

通常防火墻被用來進(jìn)行訪問控制、抵御攻擊及非法流量進(jìn)入網(wǎng)絡(luò)，加載復(fù)雜策略和混雜非法流量時(shí)的性能應(yīng)成為考察重點(diǎn)。我們將5000條復(fù)雜策略加載到設(shè)備中，再次進(jìn)行了吞吐量測試，得到了與單條全通策略時(shí)一致的結(jié)果。在混雜20%非法流量的測試中，7種幀長時(shí)的吞吐量均出現(xiàn)小幅下降。我們?cè)诮?jīng)過對(duì)比后發(fā)現(xiàn)，各組數(shù)據(jù)的下降幅度均在8%?9%之間，在沒有配備三態(tài)內(nèi)容尋址存儲(chǔ)器(TCAM)的防火墻產(chǎn)品中屬于優(yōu)秀的水平。

按需配置、平滑升級(jí)，這是采用分布式處理防火墻產(chǎn)品的獨(dú)有特性。Hillstone X6180的SSM模塊與IOM模塊間沒有任何綁定關(guān)系，當(dāng)性能無法滿足業(yè)務(wù)需求時(shí)，用戶可以通過增加SSM模塊的方式提升整機(jī)處理能力;如需更多的接口，也可由IOM模塊進(jìn)行擴(kuò)展。我們特別注意了增加SSM模塊后的性能變化：當(dāng)配備兩個(gè)SSM模塊、1個(gè)萬兆IOM模塊時(shí)，Hillstone X6180的整機(jī)吞吐量及HTTP新建連接速率均比單SSM模塊時(shí)有一倍的增幅;而在4個(gè)SSM的配置下，性能依然呈線性增長。

Hillstone X6180的整機(jī)最大性能，則需通過SSM模塊與IOM模塊的合理配置得以體現(xiàn)。如圖2所示，Hillstone X6180的整機(jī)64Byte幀長吞吐量達(dá)到47.19Gbps，從256Byte幀長起即接近或超過90Gbps。小包性能達(dá)到大包性能的一半是令人十分滿意的結(jié)果。

分布式處理也為Hillstone X6180的業(yè)務(wù)可靠性帶來了額外的提升，當(dāng)我們拆卸SSM模塊時(shí)，測試儀的流量曲線出現(xiàn)輕微波動(dòng)，瞬間即恢復(fù)正常;在執(zhí)行SSM模塊安裝操作后，新模塊僅需1分10秒的時(shí)間完成啟動(dòng)、注冊(cè)，系統(tǒng)會(huì)重新對(duì)負(fù)載進(jìn)行分配。Hillstone X6180支持Bypass卡，如果設(shè)備供電電源出現(xiàn)故障導(dǎo)致斷電，則鏈路自動(dòng)Bypass，保證業(yè)務(wù)的不間斷運(yùn)行。

Hillstone SG-6000-X6180從用戶需求出發(fā)，在小包與連接處理能力、業(yè)務(wù)可靠性、虛擬化功能特性等方面做了有針對(duì)性的設(shè)計(jì)，加上小型化的體積、高密度端口和低功耗設(shè)計(jì)，為運(yùn)營商、金融、大型企業(yè)等用戶提供了高性價(jià)比的選擇。