分享
 
 
 

联想防火墙:硬件QoS——电信级防火墙的首选

王朝other·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

电信运营商以及各行业宽带网络的建设目标是建立一个可运营、可增值、可管理的宽带网络,以获取更高的网络带宽资源,促进网络增值业务繁荣发展。随着数据、语音、视频等多业务需求与日俱增,用户对带宽及网络应用服务质量提出了越来越高的要求。如何通过充分利用现有的带宽管理技术提高网络效率,有效地制止带宽的浪费,降低运营成本,提供满意的网络应用服务质量,成为电信运营商极为关注的发展方向。

网络的带宽处理能力很大程度取决于核心设备的性能,而作为核心安全设备的电信级防火墙,不仅需要保证安全,同时它还要提供强大的带宽管理功能,但不能成为性能的瓶颈,而基于硬件QoS防火墙的应运而生恰恰满足了运营商的这种需求。

防火墙QoS是什么

由于防火墙通常放在LAN-WAN的出口,所以,在防火墙通常都实现了一定的流量控制功能。所谓防火墙服务质量保证(QoS),是指在防火墙上提供的服务性能的聚集效应,它决定用户对特定服务的满意程度。

采用防火墙QoS可以解决或改善诸如传输延迟、抖动、丢包等问题,从而保证网络的安全性、稳定性和可靠性。然而防火墙QoS极大的作用在于能够控制带宽的使用,通过对重要应用如电子商务进程进行优先带宽分配,可以保证这些进程的稳定性。

实现QoS通常包括三个步骤:分类、排队和调度。由于IP包的到达的不确定性和突发性,实现有效和准确的流量控制以保证满意的服务质量相当困难。不同的流量控制方法表现在对流量的测量和排队(丢弃)、调度的算法和具体实现的差别上。如何根据不同的业务种类和用户群,提供相应的带宽、时延、抖动、丢包率等参数,是防火墙生产商和电信运营商需要共同解决的难题。

更适合电信运营商

传统的基于X86架构的防火墙可以为网络提供一定的带宽管理功能,但在电信运营商的网络,尤其是在骨干网中便显得力不从心。本质原因是X86架构的防火墙只能采取软件控制QoS,而一旦面临高吞吐量时,自身的处理能力根本无法保证性能。由于这一原因,软件流控算法通常不会做得很复杂,这样就带来了流量控制的精确性的问题;同时,不恰当的算法不能平滑地降低流量,在网络拥塞时,会引起网络流量的震荡;另外,由于流量控制由软件来完成,并且通常不能和安全处理模块并行处理,在启用流量控制的情况下,即便采用较为简单的流控方法,对转发的包会引入一定的额外迟延。同时,软件QoS支持的优先级较少,这样将导致其承载的不同网络应用无法得到相应的优先级分配。像语音、视频等对传输延迟比较敏感的应用和像邮件、文件传输等对带宽延迟并不敏感的应用争抢带宽资源,传输质量无法得到有效的保护。

由硬件实现的QoS则可以有效地进行高吞吐量下的带宽管理,在此基础上可以增加优先级的划分并有效提高带宽控制粒度,从而弥补传统CPU对性能的拖累。

硬件实现QoS的方法也很多,其中通过网络处理器(NP)则是极为理想的一种。NP是一种可编程器件,它特别适用于通信领域的各种任务,比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QoS等。网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成,多个微码处理器在网络处理器内部并行处理,通过预先编制的微码来控制处理流程。而对于一些复杂的标准操作(如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等),则采用硬件协处理器来进一步提高处理性能,从而实现了业务灵活性和高性能的有机结合。

相对于FPGA、ASIC等硬件,NP在性能、可靠性和灵活性方面更具有鲜明的特点,可实现复杂的拥塞管理、队列调度、流分类和QoS功能,并可以极高地查找、转发性能,实现“硬件流控”。

基于NP的防火墙可以在网络处理器上设计多个独立的硬件流控通道,对不同的带宽策略数据报文采用独立的硬件流控通道QoS队列,完成并行流量分配处理,保证防火墙能够根据系统网络中流量的变化,自适应调整各受控流量带宽,同时保证对数据报文的高速转发和较低的延时。

通过基于NP硬件的高效带宽分配算法,不仅能够根据用户定义的带宽策略(最大峰值带宽,最小保证带宽和优先级),结合当前网络处理器的流量信息,动态实现带宽分配的实时控制,而且可以内建预测模型,对下一时刻的分配带宽进行预测优化,实现了对带宽的连续精确实时控制。

管理员可自定义多种不同的带宽控制策略,并通过安全规则对基于源IP 地址、目的IP地址、协议、服务、方向、时间段的不同业务流进行精细粒度的带宽策略管理,通过对每一个粒度元素设定可以满足对极精细流量控制的要求。此外,不同的带宽策略可以由管理员根据实际业务流量需要,选择多种优先级进行定义区分,从而实现带宽管理的灵活控制。

联想网御“超五”千兆线速防火墙内置高达4G带宽的NP芯片,并采用单独的硬件来完成流量控制,同时与安全模块并行处理,不会因流控而引入新的延迟。它采用了创新的流量控制算法,使得流量控制更为精确,更能够快速响应并平滑突发流量,以实现对防火墙带宽的高效管理和精确控制;它还可对不同带宽策略提供十个优先级进行区分,并可以提供124个独立的硬件流控通道及数百种带宽控制策略。

通过基于安全策略的带宽管理,联想网御“超五”千兆线速防火墙可以保证电信运营商为用户提供满意的服务质量,并实现性能与安全的完美结合。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有