博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3102|回复: 5

HillStone的带宽管理

[复制链接]
发表于 2009-3-7 19:13:54 | 显示全部楼层 |阅读模式
Hillstone提供专有的智能应用识别(Intelligent Application Identification)功能,简称为IAI。IAI能够对百余种网络应用进行分类,甚至包括对加密的P2P应用(Bit Torrent、迅雷、Emule、Edonkey等)和即时消息流量进行分类。Hillstone QoS首先根据流量的应用类型对流量进行识别和标记。然后,根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是:用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用;对于网页浏览和P2P下载流量,用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。

将Hillstone的行为控制以及IP QoS结合使用,用户可以很容易地为关键用户控制流量并区分流量优先级。Hillstone设备最多可支持20,000个不同IP地址的流量优先级区分和带宽控制(入方向和出方向),这就相当于系统中可容纳最多40,000的QoS队列。

结合应用QoS,Hillstone设备可提供另一层的流量控制。Hillstone设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如,对于同一个IP地址产生的不同流量,用户可以基于应用分类结果指定流量的优先级。

除了高峰时间,用户经常会发现他们的网络带宽并没有被充分利用。Hillstone的弹性QoS功能(FlexQoS)能够实时探测网络的出入带宽的利用率,进而动态调整特定用户的带宽。弹性QoS(FlexQoS)既能为用户充分利用带宽资源提供极大的灵活性,又能保证高峰时段的网络使用性能。

Hillstone QoS解决方案提供各种报告和监控方法,帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。Hillstone设备提供带宽使用情况的历史记录,为将来分析提供方便。
发表于 2009-4-6 18:37:28 | 显示全部楼层
学习与了解
发表于 2009-4-26 09:03:50 | 显示全部楼层
本人在这个领域干了5年的研发的。现在就在hillstone,研发的人不会那么唧唧歪歪的去贬低自己的同行,也不会用马甲去给自己的产品做宣传,我就直接说说hillstone的技术优势,欢迎拍砖啊。

Hillstone最初的人员是从Juniper的NetScreen而来,这个业内基本皆知了吧。Hillstone发展这两年半,靠的也是一批技术骨干(不仅仅是Juniper过来的老员工)在研发方面的积累以及领导做事情的决心和高效的执行能力。最初的1.0版本不用1年就完成了,这个版本基本的FW功能和全状态的检测包括常用协议的ALG都做的一应俱全,还有几乎所有功能的web界面。考虑到是从无到有的白手起家过程,效率还是相当惊人的,那个时候大家周末天天加班,也有人压力太大而推出。这是性能最好的一个版本(因为功能少),但是因为没有QoS功能,只是一个内部版本,真正面试的第一个版本是1.1。其中的QoS功能已经基本满足需要了。后来的版本一致把QoS作为一个重要的功能点不断加强。最新的3.5版本的QoS功能已经相当强大了。

我也了解了很多国内的其他厂商,在很多的细节方面,我可以负责任的说,Hillstone和国内很多厂商相比,技术上还是有很大优势的。比如以下的这几点:

1. HA的全状态会话备份,很多公司的产品的HA只是配置的同步,并不对会话作全状态的同步,这样在打开了Syn check的情况下,或者对于FTP的数据连接这样的会话,在主备切换的时候都会使已有的连接断掉。这个方面国外的知名厂商普遍做的不错,国内则不多。
2. 小包性能,对于Hillstone的产品来说,当前是多核,但不是多核+多处理器(快了)。小包的性能可以反映出程序写的是不是真正用上了多核的性能。同样单处理器的系统,hillstone的性能是最好的。Hillstone的系统一开始就是为多核而写的,所以这个结果不足为怪。
3. 加解密性能,这个其实不是Hillstone做的多么出色,而是Cavium的cpu对加解密的支持不是采用协处理器的方式,没有性能瓶颈。当然,软件性能高的前提是充分利用硬件的功能。
4. SSLVPN的功能,这个国内的如深信服做的也不错。反倒是一些国外的厂商不知道为什么总是把FW和IPSecVPN放在一个产品,SSLVPN分开成另一个产品。Hillstone的SSLVPN基本可以替代Juniper的SSLVPN产品。基于x86的系统如果没有专门的加解密硬件,那么并发隧道数等最大值就是瞎扯,因为整体才上百Mbps的性能,还要同时建上万个vpn隧道?

Juniper对于Netscreen的产品现在的支持日渐式微,ScreenOS现在是6.3版本,7.0版本估计是不会出来了,顶多再发行一两个版本就会终结这个产品线。相比ScreenOS,Hillstone的系统至少在这些方面是有所超越的:
1. 并发连接数,说实话,这个指标不是很有意义,加内存就行了。但是当系统的并发连接数达到10m以上的时候,还是需要些技术的,不然,光是改一条policy要把系统中所有连接重新扫描以决定是否保留这一项操作,就足以让处理器在一段时间内没有响应。
2. 对p2p等应用的识别,这个对于QoS等具有重要意义,不明白ScreenOS为什么到现在也不加入这个功能,国内做这个的厂家不少,我能看到的,华三等企业做得都不错。这一块主要是技术支持要跟上,p2p的软件都更新的很快,别人一发布新版本,原来的特征码变了,就得重新分析。Juniper只是在IDP产品上才有这个功能,而内嵌IDP的FW只有最高端的ISG系列,中低端的产品,连最基本的bt、emule都不能进行控制。
3. AV的流扫描引擎。使用流扫描的也有不少公司了。流扫描的好处不用多讲,至少可以解决文件方式扫描时候可怜的并发扫描数。Hillstone的流扫描引擎效率相当不错,而且还有不少改进的空间。


下面说说不足的地方:
1. 刚开始的版本的易用性不是很好,Web也基本上是照着CLI做,没有体现出Web的易用的本色。主要原因是开始的工程师都算是ScreenOS的CLI用户,没有从客户的角度出发来设计界面。现在越来越注意这方面的问题了,有专门负责易用性开发的工程师,3.5版本的Web已经有很大改进。
2. Web总是落后于CLI,这个其实也没有办法,做功能的工程师把功能和CLI都基本做完了,Web才开始做,而web为了更好用,也会牺牲一定的灵活性。这个,很难解决。Web界面这东西也更容易出一些小问题,因为比较复杂。


其实,对于基本的防火墙和QoS等功能,由于很成熟了,假以时日,很多厂商都能做的很稳定,但是快速的问题响应和用户所需新功能的迅速、稳定的开发实现才是能够体现差别的地方。
发表于 2009-4-26 10:17:27 | 显示全部楼层
hillstone 的产品的发展很有前景啊!功能也很强啊!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 11:03 , Processed in 0.100255 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表