扫一扫
关注微信公众号

长江大学“终结者”多核防火墙部署纪要
2009-08-25   网络

引子

长江大学(以下简称长大)信息中心的领导这几天愁眉不展的,张主任一直在琢磨或许信息中心才是最能感受到学校招生规模扩大的教学组。这话怎么说呢,自上个学期以来校园网出口带宽日益吃紧,总是不断的听到学生在抱怨怎么学校这上网速度就跟秋后的蚂蚱一样 ---- 是一天不如一天了。学校为了解决这个现代化教学中面临的问题,已经先后3次对网络出口带宽进行了升级,由最初的200M一路飙升到现在的1G,应该说投入力度不可谓不大。最初一两次还一次扩容个12百兆,但每次都是刚改造完的一段时间能起到一定的效果,而每次又都好景不长,用不了多长时间学生们又开始怨声载道了。谁让现在是个信息化高速膨胀的时代呢?最后的一次带宽升级学校领导们咬咬牙决定直接将出口带宽升级到1G,而且是CernetInternet两个出口各1G

俗话说:一分钱一分货,这1G带宽的效果确实是今非昔比,升级完后效果也是立竿见影的,张主任本想这回起码一年半载的是不会再为这上网速度问题头疼了。可是过了没几天学生们的意见又上来了;最近这上网速度是明显改善了,可又出现了新的问题:各种网络应用开始频繁掉线了,也就是说与校园网与互联网的连接开始频繁中断了。什么QQ啊、网游啊用一段时间就会掉线,你说信息时代的学子哪能忍受的了这种网络状况。后来一排查才知道,原来是校园网出口防火墙的性能在出口带宽经过几次升级后已经不足以支撑现在这么高的转发速率了,从而导致防火墙出现了频繁的当机、重启现象。听到这个结论张主任这回是真的有点苦笑不得了,真应了那句老话了:不是驴不推就是磨不转啊!看来还是对困难估计不足啊。当务之急只能是报请学校采购新的出口防火墙了。

发现之旅

新防火墙的采购申请不多日子就批下来了,但由于这次不是计划内的网络改造或扩容,所以学校能拨付的采购经费不是很宽裕,张主任看着审批单不禁皱了皱眉,因为这之前他已经对市面上的防火墙做过一些调研工作了,能满足长江大学网络使用情况的防火墙价格基本都在这个审批价格之上,牌子硬一些的国外厂商的产品自不用说,就是大部分国内厂商能符合他要求的设备价格也普遍在这个审批额度之上。而且张主任心中也知道,即便他现在通过公开渠道查到的设备参数符合他们的要求,而这样的设备一旦拿到实际网络环境中真正使用上了其实际性能与标称能打多少折扣还是个未知数。所以说在采购前必须要对各厂家的设备做一次实地测试,而测试完之后各厂家能真正达到要求的防火墙还不一定是哪个档次的呢。

既然上头只给这么多那就只能硬着头皮来了,不是有那么句话嘛:有条件要上,没条件创造条件也要上,而且说办就办。张主任马不停蹄起草了一个招标文档,这个文档中特别强调了一个环节就是投标前的设备测试环节。这要求所有参加投标的单位必须将投标的产品事先拿到长江大学的实际网络环境中运行一段时间,以确认其是否能真正达到自己的实际要求。其实张主任本来也没想把招标过程搞的这么繁冗,但之前吃亏上当的经历使得他不得不小心谨慎。往往在采购阶段各厂家都把设备参数写的天花乱坠,但到了真正使用时就不是那么回事儿了,这个参数也不付那个指标也不够这个需求无法满足那个功能也不具备,结果回头还得跟设备供应商唇枪舌战,虽然那时厂家一般也都会积极的配合解决,但这中间是需要花费大量时间精力的。何况长江大学这个上网问题本来就积压已久了,如果到时花了钱而没有达到应有的效果,那做完信息中心的领导他自己也是没办法向学校交代的。所以基于以上这些考虑,张主任就将这次防火墙的采购计划的很严谨。

发给投标单位的防火墙性能指标文档中大概包括了以下几个方面的要求:

1. 防火墙最大并发连接数至少要能到达100

2. 防火墙实际吞吐量不低于2G

3. 每秒新建会话数不低于2

4. 至少要具备6个千兆接口

5. 要能满足下连两台做双机热备运行的交换机

并给出了学校现有网络状况的一个基本描述:学校现有上网用户3000左右,未来一年内有可能上升到4000-5000用户的规模。出口防火墙的主要功能是保障校园网内部免受外来非法用户的入侵并为校内师生访问InternetCernet提供接入服务,外网两条线路的接入带宽分别为1G,防火墙的转发性能要能充分发挥两条接入线路的带宽优势。

    同时也给出了现有网络拓扑结构做为参考,具体拓扑结构如下:


 

其实张主任的这个招标要求描述的已经很宽泛了,按照他手里现有的采购费用额度能买到一台将Internet出口带宽跑满的防火墙已经是烧高香了,更不必说能将两条1G带宽的线路都做到充分利用了。而且根据之前对网络流量的统计情况来看即使是上网高峰时段也几乎不可能将出口带宽跑满,当然了这里面可有防火墙性能不足的因素。

招标意向书发布后不久就不断的有单位来约时间要求测试设备。因为各投标单位都看中了长江大学后续的网络扩容项目,所以虽然这次的采购规模不是很大,但各厂家还是都投入了相当大的热情。

几轮测试下来后张主任心中已基本有个大概的意向了。从测试的结果来看基本上可以分为这么几类,第一类是测试结果可以达到要求的产品,但其价格与学校批下来的采购额度相差悬殊,这一部分基本上是几个国外知名品牌的设备。张主任心里清楚,凭他手中现在掌握的资金来看,想买这部分设备可以说是毫无希望。第二类是测试结果部分达标的产品,这部分产品现在要投入使用的话也勉强可以应付,但随着学校入网用户规模的不断扩大,很可能在不久的将来又要面临和现在一样的尴尬局面。但这一类设备的优势是:其价格与本次招标预期的支出金额差距较小,通过商务谈判有希望能将其降到计划内的价位。而这部分产品主要是由几家国内知名厂商组成。还有第三类,这一类可以看成是过来凑热闹的,价格倒是报的很低,但设备放到实际环境中测试根本就没法用。所以说这第三类产品根本是不在考虑之列的。

除了上述三类设备以外还有一家让张主任既感到惊喜又心存疑虑的产品,这是一款以“终结者”系列命名的知名国产品牌防火墙------神州数码网络公司2008年初发布的产品,在实际测试时它的各项性能指标均要优于送测的同档次国外知名品牌产品,其中部分性能指标甚至要远高于国外品牌的设备。而且其具备的一些很实用的功能让张主任也很是心动,例如它强大的攻击防护功能,对于P2PIM等应用的限制功能,完善而细致的QoS功能,ARP欺骗防护功能,IPSec VPN以及现在市面上炒的热火朝天的SSL VPN功能等,还有一系列在张主任看来细致入微甚至不可思议的特色亮点。以前他觉得有些只有在交换机或路由器上才具备的功能,现在在这款防火墙上也得到了体现,张主任为了验证这些功能是不是花架子还特意在测试阶段对他们一一进行了验证,验证的结果确实没有让他失望,果然是真真正正的说到做到。甚至在测试时他已经就在盘算了,这些功能将来如果能很好的加以利用一定会让长江大学的网络运营情况有一个质的飞跃。

可让张主任一直觉得疑惑的是,表现这么优异的产品怎么价格却不像它的功能一样“强劲”呢?甚至在国产品牌队伍里也比大部分的同类产品要低,难道这款产品有其他不为人知的死穴?为了找出他想像中的死穴,在测试之初张主任就叮嘱信息中心的人要对这款产品给与特别的关注,为此信息中心的测试人员对这个“终结者”防火墙进行了全面而深入的测试,甚至在试用时间上也比其他厂家的产品要长的多。但经过一整轮的测试后,测试人员给出的结论是:这款产品在测试中实际表现出来的实际性能指标基本都符合厂家在产品资料中标注的参数,甚至部分性能参数比厂家标称的还要理想。同时也是所有参测产品中实测性能指标参数与厂家自报指标参数背离最小的一款设备。

当张主任看到这样的结论后,心中对这个“终结者”的疑虑才稍稍打消。但他仍然放心不下。从对所有送测产品的评估结果来看,这款设备无疑正是他要寻找的理想对象,它无论从性能、功能还是价格方面来说都完全符合此次招标的要求,甚至让张主任有时会产生一种拣了个大便宜的感觉。可是人的心理往往是这样:越是得来的太容易的东西反倒越是让人怀疑它里面是不是有什么圈套。可能正是因为在招标之初他便将这件事情定位为一块难啃的骨头,而当最终一切又都来的这么顺利时,便往往使人产生一种彷徨无措的感觉,因为整个过程不是按照心目中“理想”的顺序发展,这不符合“逻辑”。

张主任确实是个负责的领导,为了使此次防火墙升级项目圆满的完成,为了打消心中的谜团他开始从各种渠道去了解这款产品的相关信息。最终通过各种渠道汇总上来的资料终于使他对这款产品有了一个清晰的认识:

这款产品是神州数码网络公司新近研发成功的一系列“多核防火墙”中的一款,它采用了64位多核多线程处理器芯片和高速交换总线技术,实现了芯片级的VPNQoS流量管理等功能的硬件加速性能,避免了传统ASICNP安全系统新建连接能力和流量控制能力弱的弊病。同时,虽然招标文件中要求参测的防火墙需要具备6个千兆接口,但这款设备却具备1210/100/1000M自适应以太网接口,而且其中包括6COMBO接口,也就是说其中6个接口可以在需要的时候切换为光纤接口使用,这么高的端口密度也是张主任对它情有独钟的原因之一。而且它的最大并发连接数和每秒新建会话数也远远的超出了投标要求,分别达到了400万和每秒10万。

其实如果这款产品光是端口密度高而网络吞吐量一般般的话他也不会这么看好这款设备了,这款设备在测试时对于1518字节的大包网络吞吐量能够达到惊人的4G,即使是使用64字节的小包对其测试网络吞吐量也可以达到1G,而且该厂家的销售人员向他透露,这款产品还不是“终结者”系列中最高端的型号。他当时脑子里立马冒出一个疑问:他们真正的高端型号设备的表现又会是什么样子呢?反正他只知道现在这款设备对长江大学来说已经足够了,不但现在够用而且在将来相当长的一段时间内也不会淘汰。后来张主任通过咨询获悉,这款设备之所以表现如此优异,除了因为它采用了64位高性能专用多核处理器架构以外,还得益于他们成功研发的专用64位实时操作系统与之完美的配合,这个模块化并行实时64位多线程操作系统具备专有的多核处理器控制技术,所以如此创新的架构加上专业的控制技术互相配合自然造就了这款产品杰出的性能和高度的稳定性。

现在张主任的心里已经踏实多了。谁说便宜没好货,谁说外国的“月亮”比中国的圆,现在张主任是怎么看这么觉得这颗国产的“月亮”比哪国的都圆。

事已至此后面的招标结果不言自明了,这款“终结者”防火墙在最后的招标环节以大比分的优势将所有的竞争对手都给终结了。

厉兵秣马

招标完成后马上就开始了防火墙的迁移改造工作。迁移之前神州数码的工程师又就具体的实施细节与长江大学信息中心的相关人员进行了深入的探讨。双方在经过几次细致的讨论后决定:在原来防火墙配置的基础之上,结合“终结者”防火墙的特点及优势做出以下几方面的调整:

1. 升级核心交换机与防火墙之间的链路带宽
原来两台核心交换机做双机热备时,每台交换机使用11G链路与防火墙相连,这样内网与防火墙之间的实际带宽最多只能达到1G,而外网接入防火墙的却是两条各1G的链路。所以从理论上来讲会有50%的出口带宽将不能得到有效利用。而“终结者”防火墙具有端口聚合功能,它可以将多个物理端口聚合为一条逻辑链路,以达到增加链路带宽的作用。所以此次防火墙迁移后,计划每台核心交换机启用两个千兆端口分别与防火墙互联,防火墙将分别与每台交换机就这两条物理线路启用端口聚合功能,这样核心交换与防火墙之间的互联带宽将达到2G,理论上改造后防火墙的两条出口带宽将能得到充分利用,防火墙这个节点上的瓶颈问题将就此成为历史。
改造后防火墙与核心交换机的连接拓扑如下图:


 

2. 对上课教室使用的特定网段IP限制其对P2PIM的使用
之前使用的防火墙因为不具备过滤P2PIM应用的功能,所以很多学生在上课的时候也利用教室的上网之便开启迅雷、BTP2P应用进行下载,或是开启QQMSN等聊天工具上网聊天,这大大影响了学生的听课积极性,虽然也曾通过行政处罚等手段加强管理,但收效甚微。这次信息中心的管理人员看到“终结者”防火墙具备这个功能马上如获至宝,第一时间要求将所有教室网段的P2PIM应用全部封杀。

3. 实施QoS策略,对内网常见业务应用启动优先级控制机制,并对P2P应用所占总带宽做出限制。
神州数码的工程师在与信息中心的网管人员讨论时获悉,之前校园网出口拥挤其实很大一部分都是被P2P应用给挤占了,尤其是当晚间上网高峰时段,学生们群起而P2P之,那时要想浏览一个网页都需要等待很长时间才能打开。虽说后来随着出口带宽逐步升级使这种情况出现明显好转,但这个P2P应用始终是个“能耗”大户,一天想不出根本有效的解决办法它就一天是个心头大患。
    针对这个情况神州数码的工程师结合“终结者”防火墙在QoS方面的优势给出了如下配置方案:
   在防火墙上启用两层QoS策略。第一层启用“应用Qos,在防火墙内网口对流进的、校园网内业务量占比较大的应用进行优先级排序,这样就可以让优先级较高的数据优先通过防火墙被转发,以加速用户认为较关键的业务,而丢弃或延迟用户不想要的低优先级数据。通过第一层应用QoS的实施,能有效的控制整个网络出口数据流的优先顺序。 这一层初步计划将HTTPSMTPPOP3及某些在线游戏使用的协议的优先级设置的较高,而将迅雷、BT、电驴等P2P协议的优先级设置为最低。这样就可以保证那些日常教学活动中需要使用的重要业务数据以及一些对网络响应速度有较高要求的实时性数据优先通过防火墙。而对P2P应用的数据则是在保证那些关键业务应用全部得到转发且出口带宽还有富余的前提下才会对其进行转发。
    第二层QoS策略则是要将全网P2P占用的带宽控制在500M以内。这一策略将有效降低P2P对出口带宽的威胁,从而为其他正常网络业务的使用提供了保障。
    在此基础上还将对Internet出口启用弹性Qos,这种弹性QoS实施的目的是当Internet出口带宽利用率小于75%时,之前受限制的P2P应用所占带宽的峰值就能够在设定的500M的基础上缓慢增加,而这个增加幅度也不是无限制的。当增加到Internt出口带宽利用率达到90%时,受限的P2P应用带宽将呈指数递减,直到降低至限定的500M带宽为止。这一策略使得当网络中的高优先级数据流量不是很大时,剩下的空闲带宽可以得到充分有效的利用。
  

4. 启用攻击防护
从实施防火墙迁移前的调查中得知,以前长江大学对外开放的几个应用服务器曾经有段时间频繁受到外网攻击,严重时曾一度导致服务器瘫痪而无法对外提供正常的服务。而且学校内网中也有为数不少的机器,或因为感染病毒或因为人为的原因导致其间歇性的对外发送攻击数据包,因为这个事情长大不止一次的收到网络接入提供商的警告,并要求学校马上自查,如若不然将对发起攻击的源IP予以封杀。长大为此已经“牺牲”了若干合法IP资源了,要不是他们分配到的合法IP较多,到现在很可能已经沦落到“无米下锅”的尴尬境地了。
    这一次计划在新的“终结者”防火墙上对内外网同时开启“攻击防护”功能,将攻击统统消灭在网络边界。凭借“终结者”的强大攻击防护能力,让流经它的数据做到“真真正正,干干净净”。

收获之旅

新的防火墙迁移之后的表现用张主任自己的话说那就是“感觉超乎想像”。他坦承当初计划启用这么多功能时他很怀疑防火墙能不能撑的住,因为他也知道像启用QoS、攻击防护等这样的功能都会是相当耗费设备系统资源的,再加上网络流量也是相当大,所有这些对防火墙而言都是个极大的考验,所以当初制定完防火墙迁移计划后他心里还是颇为忐忑的。但随后的防火墙实际使用情况却是让他倍感惊喜,“终结者”防火墙正式投入使用之后,不但设备运行稳定,而且最初设计的配置要求也都达到了预期的目的。两条高速的接入线路在防火墙的驾驭下带宽资源得到了充分的发挥。关键是与改造前相比,学生们对改造后的网络使用情况都相当满意。用张主任的话讲:学生们说好才是真的好。

在项目的验收总结会上,长江大学方面对于此次防火墙升级给予了高度肯定,称赞“终结者”防火墙“大有可观”。并积极的表示在以后此类项目中将优先考虑与神州数码公司的合作。

小结

神州数码网络公司的“终结者”防火墙之所以在此次长江大学的项目中深受好评,是与公司近年来持续加大产品研发力度密不可分的。其08年推出的“终结者”系列防火墙具有领先的系统结构设计、强健的专用实时操作系统以及最低的总体拥有成本等诸多方面优势。

领先的系统结构设计

神州数码“终结者”系列防火墙是创新的新一代高效网络安全处理平台,它采用64 位高性能多核处理器技术,拥有包括TCP 会话保持与报文重组、VPNQoS流量管理的芯片级加速方案,并且提供独立的硬件DFA 引擎。辅以高达48Gbps 高速交换总线,以及新一代64 位实时并行操作系统--DCFOS,确保了整个系统不仅在处理网络通信,并且在处理应用安全防护时拥有充足的系统资源保障。

强健的专用实时操作系统

终结者”系列防火墙采用专用64 位实时并行操作系统,其并行的处理能力和模块化的结构易于集成和扩展安全功能。专用的安全加固64 位操作系统针对新一代多核处理器安全机构进行了全面的优化和安全加固,极大地提高了系统的处理效率、系统稳定性和安全性。模块化和并行多任务的处理机制,为神州数码新一代的网络安全系统提供了极大的可扩展能力,包括支持更多核处理器和集成更多安全功能。积累多年被证实的专业硬件安全产品研发和市场经验,“终结者”系列防火墙在软硬件的稳定性和可靠性上都有了进一步提高。全面优化的软硬件系统拥有高稳定性和高可靠性,为网络流量和网络攻击日益膨胀的企业IT 环境提供了强大的保障。“终结者”系列防火墙能够在最大程度上确保企业关键业务的不间断运行。

最低的总体拥有成本

神州数码“终结者”系列防火墙提供了非常友好的使用和管理界面,部署简单、易于维护和管理。灵活的特性可以满足不同用户对不同应用环境的需求。独特创新的新一代网络安全架构提供给用户最大化的可扩展能力,有效保护用户投资。

热词搜索:

上一篇:把电子政务推向街道
下一篇:上海交大附属新华医院综合楼宇规划技巧

分享到: 收藏