其次是業(yè)務(wù)的實(shí)時(shí)性和可靠性要求更高。傳統(tǒng)園區(qū)網(wǎng)主要承載EMAIL/靜態(tài)WEB等業(yè)務(wù)，這些業(yè)務(wù)普遍對于實(shí)時(shí)性要求不高，而新興的視頻、語音等業(yè)務(wù)對于實(shí)時(shí)性和可靠性的要求則幾近苛刻。

另外，新的技術(shù)和應(yīng)用不斷產(chǎn)生，帶來的是網(wǎng)絡(luò)承載設(shè)備對于新業(yè)務(wù)的承載支持和設(shè)備處理性能的靈活擴(kuò)展都有了更高的要求。

變化引發(fā)的挑戰(zhàn)

園區(qū)網(wǎng)的上述三個(gè)發(fā)展趨勢，對園區(qū)網(wǎng)承載網(wǎng)絡(luò)設(shè)備的功能及性能都提出了更高的要求。而高端防火墻作為大型園區(qū)網(wǎng)出口的基礎(chǔ)安全防護(hù)設(shè)備，同樣面臨著重重挑戰(zhàn)。

第一大挑戰(zhàn)–性能

承載業(yè)務(wù)的豐富化，帶來的是巨大的出入數(shù)據(jù)流量和海量的用戶請求連接。目前大型園區(qū)網(wǎng)出口流量動(dòng)輒數(shù)Gb，大量用戶接入使得防火墻的新建連接和并發(fā)連接數(shù)指標(biāo)要求也呈幾何倍數(shù)增長。以我們常用的淘寶和土豆網(wǎng)為例：單個(gè)用戶打開其首頁時(shí)需要建立的連接數(shù)接近100個(gè)，對于承載幾千人甚至上萬人的園區(qū)網(wǎng)來說，其同時(shí)上網(wǎng)產(chǎn)生的新建和數(shù)百萬以上的并發(fā)連接，對于園區(qū)網(wǎng)絡(luò)承載設(shè)備都是巨大的考驗(yàn)，傳統(tǒng)高端防火墻每秒幾萬的新建連接速度和一百萬級別的并發(fā)連接能力已經(jīng)無法滿足當(dāng)前大型園區(qū)出口的應(yīng)用需求。其中，并發(fā)連接可以通過擴(kuò)展內(nèi)存來實(shí)現(xiàn)性能的提升（并發(fā)數(shù)和內(nèi)存呈線性對應(yīng)增長關(guān)系），但新建連接則需要對防火墻的處理流程和硬件架構(gòu)進(jìn)行優(yōu)化才能大幅提升相關(guān)性能。

同時(shí)，隨著園區(qū)網(wǎng)承載實(shí)時(shí)性業(yè)務(wù)的增多，對于出口防火墻的延時(shí)、丟包率指標(biāo)也提出了新的要求。（常見業(yè)務(wù)類型對延時(shí)和丟包的要求如下）

目前多家廠商都已推出了超高性能的防火墻設(shè)備來應(yīng)對用戶的性能要求。例如H3C的SecPath F5000-A5通過采用先進(jìn)的分布式處理架構(gòu)和FPGA技術(shù)，其連接處理能力達(dá)到支持20萬新建連接、400萬并發(fā)連接，并采用ACL加速技術(shù)，實(shí)現(xiàn)在超過20000條安全策略、80%滿負(fù)荷的流量壓力下，保持幾十微秒級別的延遲和零丟包率。

第二大挑戰(zhàn)–可靠性

園區(qū)網(wǎng)承載的業(yè)務(wù)越來越重要，自然其網(wǎng)絡(luò)可靠性要求也會(huì)隨之升高。防火墻設(shè)備的可靠性是保證網(wǎng)絡(luò)可靠的基礎(chǔ)，同樣不能忽視。傳統(tǒng)高端防火墻在硬件設(shè)計(jì)方面做出了一定改進(jìn)，包括通過雙電源、雙風(fēng)扇等部件冗余手段來保證高可靠性，但是這些傳統(tǒng)手段已經(jīng)不能完全滿足當(dāng)前園區(qū)出口級設(shè)備的高可靠性要求。對于高端防火墻來說，需要在以下幾個(gè)方面著重加以強(qiáng)調(diào)。

軟件系統(tǒng)可靠性: 軟件系統(tǒng)對通信產(chǎn)品的重要性，等同于Windows之于電腦，安全、穩(wěn)定、成熟的軟件系統(tǒng)才能幫助用戶打造真正的高可靠網(wǎng)絡(luò)。一些廠商選擇FreeBSD等開源代碼進(jìn)行修改，沒有經(jīng)歷過大規(guī)模電信級應(yīng)用環(huán)境的洗禮，在相對簡單的應(yīng)用環(huán)境下應(yīng)用可以勉強(qiáng)支撐，在大型園區(qū)復(fù)雜的應(yīng)用環(huán)境下必定會(huì)捉襟見肘。只有類似像H3C的Comware、CISCO的IOS這一級別的軟件，才能保證系統(tǒng)的可靠性。

設(shè)備級冗余機(jī)制：電源冗余等手段僅能解決系統(tǒng)內(nèi)部局部模塊工作異常的問題，無法避免極端情況下設(shè)備級故障導(dǎo)致的斷網(wǎng)，最好采用關(guān)鍵部件的全冗余設(shè)計(jì)。此外，雙機(jī)熱備作為傳統(tǒng)解決單點(diǎn)故障的方案已經(jīng)相對成熟，但傳統(tǒng)的雙機(jī)方案利用VRRP或者動(dòng)態(tài)路由方式實(shí)現(xiàn)流量的切換，切換時(shí)間均以秒計(jì)；對于視頻等實(shí)時(shí)性業(yè)務(wù)來說，秒級的切換時(shí)間是不能接受的，必須通過類似H3C F5000這種控制和轉(zhuǎn)發(fā)平面完全物理分離的相關(guān)機(jī)制保證毫秒級的快速收斂和切換。

自我故障檢測機(jī)制：對于高可靠性設(shè)備來說，實(shí)時(shí)的運(yùn)行狀態(tài)檢測和鏈路狀態(tài)檢測是必不可少的， 除了傳統(tǒng)的針對CPU、內(nèi)存利用率的監(jiān)控外，協(xié)議檢測、機(jī)箱溫度、風(fēng)扇狀態(tài)、多鏈路情況下的鏈路狀態(tài)探測技術(shù)，均是幫助提高可靠性的有效手段。H3C的F5000就是通過物理上獨(dú)立的檢測平面，實(shí)現(xiàn)了BFD for BGP/IS-IS/OSPF/ VRRP（針對各種協(xié)議的快速故障檢測機(jī)制，故障檢測時(shí)間小于20ms）和機(jī)箱溫度和板卡溫度檢測等功能，來保證當(dāng)鏈路發(fā)生異常時(shí)能自動(dòng)切換且切換性能小于50ms。

第三大挑戰(zhàn)–擴(kuò)展性

業(yè)務(wù)方面，云計(jì)算、物聯(lián)網(wǎng)等信息化建設(shè)熱點(diǎn)雖然尚未成熟普及，但均對網(wǎng)絡(luò)提出了新的要求，例如需要采用IPv6技術(shù)解決海量信息點(diǎn)標(biāo)識(shí)問題，采用VPN技術(shù)解決多業(yè)務(wù)承載問題、采用NAT日志滿足公安部82號令問題等。因此，園區(qū)網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候需要考慮IPv6、MPLS VPN、NAT日志審計(jì)等相關(guān)特性，以及開啟這些多業(yè)務(wù)特性時(shí)性能不會(huì)受到影響，從而保證基礎(chǔ)網(wǎng)絡(luò)設(shè)施和基礎(chǔ)安全防護(hù)設(shè)施對于建設(shè)熱點(diǎn)的技術(shù)擴(kuò)展性。另外，新協(xié)議的支持和相關(guān)協(xié)議的NAT穿越能力也是用戶評估園區(qū)出口防火墻時(shí)需要重點(diǎn)考察的問題。

系統(tǒng)方面，高端產(chǎn)品必須具備良好的可升級性及彈性配置，這也是出于對用戶投資的有效保護(hù)。這種可升級性是全方位的，性能、接口、內(nèi)存甚至電源和風(fēng)扇都要做到靈活升級配置。這就要求產(chǎn)品在設(shè)計(jì)初始就必需充分考慮到產(chǎn)品的升級需求：小到內(nèi)存條容量的升級，大到網(wǎng)絡(luò)接口、設(shè)備性能/處理能力的升級。

對于以上要求，H3C的SecPath F5000無論在IPV6、NAT穿越還是部件升級擴(kuò)容方面都做好了充分的準(zhǔn)備。比如F5000獲得了IPv6 Ready Phase-2的認(rèn)證，可以保證IPv4向IPv6的過渡；F5000采用的可擴(kuò)展硬件加速技術(shù)-"FGPA"，保證多業(yè)務(wù)并發(fā)而不影響性能；通過基于Crossbar的分布式架構(gòu)，保證了F5000的性能、接口等可擴(kuò)展性。也正是憑借在性能、可靠性和擴(kuò)展性方面的全面優(yōu)異表現(xiàn)，SecPath F5000已經(jīng)先后在武漢大學(xué)、西南大學(xué)、哈爾濱工程大學(xué)、西安電子行政平臺(tái)、無錫市民行政中心、貴州電網(wǎng)、西山煤電等眾多行業(yè)客戶的大型園區(qū)網(wǎng)出口得到應(yīng)用。

liukai