博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 3952|回复: 2

关于AceNet流控墙的正确理解

[复制链接]
发表于 2010-1-15 09:10:20 | 显示全部楼层 |阅读模式
关于AceNet流控墙的正确理解

前言:AceNet流控墙是一款基于asic芯片的硬件产品。目前有AG500 AG1000/AG1000E AG3000/AG3000E AG5000等型号。同时随设备有一套日志审计软件Ace-reporter.官方中文网站为www.acenettech.com.cn

    关于AceNet的产品。目前在流控领域即将独领风骚的情况下,为了让大家对AceNet的产品有一个比较全面,正确的理解,同时也对本论坛对AceNet的产品产生误解的情况下做个个人针对AceNet流控墙产品的看法,故撰写此文章,让大家能够较为客观,全面,正确的了解AceNet的产品。
     首先,从产品架构来讲,我们知道,目前情况下,大多数的产品都是基于cpu架构的。而了解cpu架构产品的兄弟都知道,CPU架构下的产品和总线等联系在一起,要解决一系列的问题。所以,仅仅靠CPU本身不能解决设备本身的性能问题。况且CPU本身也有自己处理能力,散热等问题。而AceNet的产品是基于asic芯片的技术。可能很多朋友要说,现在有些防火墙的产品也是基于asic芯片的。这就需要我们做技术的兄弟好好的去追问,那些芯片的到底是什么样的结构?因为芯片技术中的逻辑门这个参数是个非常重要的参数。我们也知道,逻辑门的多少直接决定了你芯片的处理能力,而AceNet的芯片达到3000万门以上。不仅如此,有些产品说自己基于硬件解决,包括大家都知道的思科产品,它都是说自己是某个功能是硬件,比如硬件加速卡等,而不是真正意义上的硬件架构,但为了忽悠客户,就说自己产品是基于硬件的。这些想必大家都知道。而AceNet的产品之所以能在客户交流,包括和厂家技术人员沟通的时候,都敢说,可以做NAT,可以做流量的DPI的深层次的监测,都不会造成网络的丢包,或形成网络瓶颈,就是因为基于强大的独有的芯片处理能力,而不是完全靠CPU(注意cpu的性能也是有一些著名厂商intel,amd等设计的时候就决定了它的处理能力,同时还会产生大量的热量,会造成设备由于温度过高而瘫痪的现象也是会有的)来进行处理,同时,AceNet的整体架构,可以在完全没有CPU的情况下,也可以对P2P进行DPI的深层次监测,控制,进行地址转换等.

      其次,从AceNet的产品功能来看,由于AceNet的产品是可以做负载均衡,防火墙的地址转换,服务影射,流量分析和控制功能。这就对大家有个误区,可能大家都认为大而全的产品性能肯定会降低,这就像是被中国的儒家文化潜移默化了几千年的中国人一样,始终摆脱不了原有的思维习惯。拿汽车做个例子,奔驰,宝马的功能就是比奥拓多,同时驾驶性能远超过奥拓,因为他们有强大的技术实力,所以才可以把很多功能都集成在一起。同样AceNet的研发力量都是由美国硅谷的一批专业的芯片资深技术人员花费他们多少年的心血研发而成,所以他们凭借强大的技术团队来改变着我们目前IT领域的网络革命,来真正的实现芯片级的产品。所以才可以让AceNet产品做负载均衡,地址转换,基于4到7层协议的DPI分析等。所以,我们大家要在这个科技发达的时代,就需要相信科技的能量.
    让我们再来了解下AceNet产品在流量分析和控制方面的能力:
   1。针对Internet上应用的识别处理,作为一款流量设备,对互联网上的应用识别的越多当然越好,但如果拿这个百分比来解读每个流量产品实在是没有任何意义。因为这个参数被每个厂家都拿来忽悠客户,就连大家知道的packeteer,大家可能都认为它识别很全,很准确,那请问对XUNLEI等一些国内的协议识别,控制如何?!做过流量控制的我们心中都有数。在说了,好多厂家都把一些协议识别为others,还有好多产品把早已经"退休"的应用都写在自己的产品资料里,其实,当真正假设在用户网络中的时候,该识别的(比如迅雷,QQ等)不能准确识别,而早已"退休"的应用却显示在识别的应用中,而这些"退休"的应用等客户观察几年的情况下,甚至要更换设备的时候,也没有发现任何流量。所以,我们需要是能够真正识别网络中的应用,并且不断对新的应用进行准确的识别和控制,这才是流量设备需要做的事情。而具我了解AceNet产品可以做到对目前网络中的P2P识别,是比较全面,并且更新响应非常迅速的一款产品,并在接触的一些测试项目中,packeteer,ALLOT等不能有效识别的xunlei,qq等,AceNet产品却可以能够很好的识别和控制等。
     2。针对应用的控制。目前从我接触的关于AceNet的产品的一些案例中,发现可以真正做到a:针对某一类应用(BT,XUNLEI.ETC)进行上,下行带宽的控制。进行会话数的控制(基于源,目的会话数的分别控制)B.针对所有P2P的带宽的限制和会话数的控制。C.针对用户,地址组等的P2P的带宽限制(还可以按照时间,周一到周五的上班时间,周末的时间等来分别对待)。
    3。基于用户,IP地址的带宽控制。对基于用户,IP地址的带宽控制不仅仅需要做到能够控制,同时还能够做到配置的方便和简洁,据我所知,有些大品牌如果要做到基于每个地址的带宽控制,是需要用户一个一个输入的,这样,客户的工作量将会是多么巨大(如果对一个子网的每个地址做带宽控制的话)。而AceNet的产品配置、相当简单,只要输入子网,然后针对这个子网做基于时间,上下行,源和目的的会话数,黑名单(对了,黑名单功能还是其他产品几乎没有的一个功能)等的配置,这样这个子网中的每个地址就用了同样的策略了。实现了对每个地址的流量的有效控制。
     4。设备可靠性。对于那些非常普通流行的bypass功能,这个我都不想说了,因为技术太简单了,是个厂家都能做,但鉴于有些朋友的误解,我还是提一下:AceNet产品可以实现外置和内置的BYPASS功能。光口,电口BYPASS模块都可以随意选择。
    5。多链路负载均衡和策略路由等。AG设备产品支持将多个ISP设置到一个ISP池里来支持链路备份和负载均衡。对于多个ISP,AG设备产品具有多个算法,比如: HASH,LOAD,SESSION,LOAD-SESSIO等。同时,顺带说下,我理解的AceNet产品的策略路由。因为基于策略的路由比传统路由强,使用更灵活,它使网络管理者不仅能够根据目的地址而且能够根据源安全区、源 IP 地址、协议类型以及目的端口号来选择转发路径。AceNet产品策略路由可以提供了这样一种机制:根据网络管理者制定的标准来进行报文的转发,具有极强的自由性。当举个例子来说,当在AceNet中配置策略路由时,网络管理员可以指定出口是某个具体的 ISP 或者 ISP 池。在 ISP 池中,可以指定 ISP 成员的优先级来实现链路备份和负载均衡。如果ISP 池中ISP 成员的优先级相同,则流量在多个 ISP 之间随机均衡;如果其中一个失效,则在剩下的 ISP 成员之间均衡。如果ISP 成员的优先级不同,则选择高优先级的 ISP 作为路由出口,当高优先级的 ISP 失效后,才启用低优先级的 ISP。如果高优先级的 ISP 故障恢复,则路由出口重新选择高优先级的 ISP等。
     6。防火墙的地址转换。由于AceNet产品可以工作在路由,交换,透明等多种网络环境中,所以有必要给大家说下AceNet产品的地址转换,目前设备的 PAT 转换有两种类型:基于策略的 PAT:在策略中引用 PAT,那么匹配此策略的报文将执行 PAT转换。基于接口的 PAT:在出口接口中配置 PAT,此时接口从路由模式变成 NAT 模式。那么通过此接口出去的报文将执行 PAT 转换。
      而仅仅转换可能一些设备都能做到,关键是执行转换之后,还要加安全策略,能加多少条,观察新建会话数这些参数才是非常重要的。因为目前市场的防火墙设备,只要遇到大流量,用户数上千的情况下,就望洋兴叹了。因为不敢加策略,一旦加上几条策略,轻者丢包严重,重者导致防火墙瘫痪等。原因我想大家都知道,那就是设备本身的性能问题了,处理不过来这么多数据。

     7。日志的审计,记录。对于流量产品而言,日志的审计和记录是非常重要的。而AceNet的acenet_reporter采用的数据库-mysql数据库被一些朋友说成是不是专业的数据库软件?这个本身也没有意义。但对于日志的纪录,审计,对每一个地址,包括地址转换前后的纪录,每个session的纪录审计这些有用的记录,目前能有几家做到?!还有针对端口,IP,用户,服务等的流量统计,排名,查询等功能.我们要关注的是真正能够满足客户的需求,因为我们都知道:满足客户的实用需求的产品才是好产品.才会有广阔的市场空间.

      8。AG产品作为流量产品的后起之秀,目前已经如火如荼的在流量领域揭开了新的一页,市场已经不仅仅局限于教育,二级运营商了,在政府,企业等行业都已经拥有了客户群体。这些大家可以多多了解啦。

     9。AG系列产品支持的最大吞量可以达到10G(双向)的吞吐量.新建连接率可以达到 70K/每秒.240K/每秒(小于256条策略).

顺便说下我接触的几个真实案例,供大家参考:
1。某高校测试:有网通,教育两个出口。流量达到800M以上。AceNet产品先是透明测试,后来地址转换测试,一切仍旧OK.
2。某国家级单位:拿着也是著名厂家的顶级设备,面对客户400M的流量时,丢包及其严重,不得已,不到一天就下线。随后,那AceNet的ag1000测试,经过连续两周的测试,一切正常,随后结果当然是欢喜而归,客户满意,代理商满意,厂家更满意。
3。某政府单位:测试大家公认的流量产品,发现针对某个地址的流量带宽,怎么就那么难。因为需要一个一个输入,并且不能做两条链路的负载均衡,随后就直接否决。AceNet产品500去测试,方便配置,恰恰满足客户的迫切需求,效果明显,还有中文界面,立即获得好感。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-22 01:00 , Processed in 0.082905 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表