其次是業(yè)務(wù)的實時性和可靠性要求更高。傳統(tǒng)園區(qū)網(wǎng)主要承載EMAIL/靜態(tài)WEB等業(yè)務(wù)，這些業(yè)務(wù)普遍對于實時性要求不高，而新興的視頻、語音等業(yè)務(wù)對于實時性和可靠性的要求則幾近苛刻。

另外，新的技術(shù)和應(yīng)用不斷產(chǎn)生，帶來的是網(wǎng)絡(luò)承載設(shè)備對于新業(yè)務(wù)的承載支持和設(shè)備處理性能的靈活擴展都有了更高的要求。

變化引發(fā)的挑戰(zhàn)

園區(qū)網(wǎng)的上述三個發(fā)展趨勢，對園區(qū)網(wǎng)承載網(wǎng)絡(luò)設(shè)備的功能及性能都提出了更高的要求。而高端防火墻作為大型園區(qū)網(wǎng)出口的基礎(chǔ)安全防護(hù)設(shè)備，同樣面臨著重重挑戰(zhàn)。

第一大挑戰(zhàn)–性能

承載業(yè)務(wù)的豐富化，帶來的是巨大的出入數(shù)據(jù)流量和海量的用戶請求連接。目前大型園區(qū)網(wǎng)出口流量動輒數(shù)Gb，大量用戶接入使得防火墻的新建連接和并發(fā)連接數(shù)指標(biāo)要求也呈幾何倍數(shù)增長。以我們常用的淘寶和土豆網(wǎng)為例：單個用戶打開其首頁時需要建立的連接數(shù)接近100個，對于承載幾千人甚至上萬人的園區(qū)網(wǎng)來說，其同時上網(wǎng)產(chǎn)生的新建和數(shù)百萬以上的并發(fā)連接，對于園區(qū)網(wǎng)絡(luò)承載設(shè)備都是巨大的考驗，傳統(tǒng)高端防火墻每秒幾萬的新建連接速度和一百萬級別的并發(fā)連接能力已經(jīng)無法滿足當(dāng)前大型園區(qū)出口的應(yīng)用需求。其中，并發(fā)連接可以通過擴展內(nèi)存來實現(xiàn)性能的提升（并發(fā)數(shù)和內(nèi)存呈線性對應(yīng)增長關(guān)系），但新建連接則需要對防火墻的處理流程和硬件架構(gòu)進(jìn)行優(yōu)化才能大幅提升相關(guān)性能。

同時，隨著園區(qū)網(wǎng)承載實時性業(yè)務(wù)的增多，對于出口防火墻的延時、丟包率指標(biāo)也提出了新的要求。（常見業(yè)務(wù)類型對延時和丟包的要求如下）

目前多家廠商都已推出了超高性能的防火墻設(shè)備來應(yīng)對用戶的性能要求。例如H3C的SecPath F5000-A5通過采用先進(jìn)的分布式處理架構(gòu)和FPGA技術(shù)，其連接處理能力達(dá)到支持20萬新建連接、400萬并發(fā)連接，并采用ACL加速技術(shù)，實現(xiàn)在超過20000條安全策略、80%滿負(fù)荷的流量壓力下，保持幾十微秒級別的延遲和零丟包率。

第二大挑戰(zhàn)–可靠性

園區(qū)網(wǎng)承載的業(yè)務(wù)越來越重要，自然其網(wǎng)絡(luò)可靠性要求也會隨之升高。防火墻設(shè)備的可靠性是保證網(wǎng)絡(luò)可靠的基礎(chǔ)，同樣不能忽視。傳統(tǒng)高端防火墻在硬件設(shè)計方面做出了一定改進(jìn)，包括通過雙電源、雙風(fēng)扇等部件冗余手段來保證高可靠性，但是這些傳統(tǒng)手段已經(jīng)不能完全滿足當(dāng)前園區(qū)出口級設(shè)備的高可靠性要求。對于高端防火墻來說，需要在以下幾個方面著重加以強調(diào)。

軟件系統(tǒng)可靠性: 軟件系統(tǒng)對通信產(chǎn)品的重要性，等同于Windows之于電腦，安全、穩(wěn)定、成熟的軟件系統(tǒng)才能幫助用戶打造真正的高可靠網(wǎng)絡(luò)。一些廠商選擇FreeBSD等開源代碼進(jìn)行修改，沒有經(jīng)歷過大規(guī)模電信級應(yīng)用環(huán)境的洗禮，在相對簡單的應(yīng)用環(huán)境下應(yīng)用可以勉強支撐，在大型園區(qū)復(fù)雜的應(yīng)用環(huán)境下必定會捉襟見肘。只有類似像H3C的Comware、CISCO的IOS這一級別的軟件，才能保證系統(tǒng)的可靠性。

設(shè)備級冗余機制：電源冗余等手段僅能解決系統(tǒng)內(nèi)部局部模塊工作異常的問題，無法避免極端情況下設(shè)備級故障導(dǎo)致的斷網(wǎng)，最好采用關(guān)鍵部件的全冗余設(shè)計。此外，雙機熱備作為傳統(tǒng)解決單點故障的方案已經(jīng)相對成熟，但傳統(tǒng)的雙機方案利用VRRP或者動態(tài)路由方式實現(xiàn)流量的切換，切換時間均以秒計；對于視頻等實時性業(yè)務(wù)來說，秒級的切換時間是不能接受的，必須通過類似H3C F5000這種控制和轉(zhuǎn)發(fā)平面完全物理分離的相關(guān)機制保證毫秒級的快速收斂和切換。

自我故障檢測機制：對于高可靠性設(shè)備來說，實時的運行狀態(tài)檢測和鏈路狀態(tài)檢測是必不可少的， 除了傳統(tǒng)的針對CPU、內(nèi)存利用率的監(jiān)控外，協(xié)議檢測、機箱溫度、風(fēng)扇狀態(tài)、多鏈路情況下的鏈路狀態(tài)探測技術(shù)，均是幫助提高可靠性的有效手段。H3C的F5000就是通過物理上獨立的檢測平面，實現(xiàn)了BFD for BGP/IS-IS/OSPF/ VRRP（針對各種協(xié)議的快速故障檢測機制，故障檢測時間小于20ms）和機箱溫度和板卡溫度檢測等功能，來保證當(dāng)鏈路發(fā)生異常時能自動切換且切換性能小于50ms。

第三大挑戰(zhàn)–擴展性

業(yè)務(wù)方面，云計算、物聯(lián)網(wǎng)等信息化建設(shè)熱點雖然尚未成熟普及，但均對網(wǎng)絡(luò)提出了新的要求，例如需要采用IPv6技術(shù)解決海量信息點標(biāo)識問題，采用VPN技術(shù)解決多業(yè)務(wù)承載問題、采用NAT日志滿足公安部82號令問題等。因此，園區(qū)網(wǎng)絡(luò)設(shè)計的時候需要考慮IPv6、MPLS VPN、NAT日志審計等相關(guān)特性，以及開啟這些多業(yè)務(wù)特性時性能不會受到影響，從而保證基礎(chǔ)網(wǎng)絡(luò)設(shè)施和基礎(chǔ)安全防護(hù)設(shè)施對于建設(shè)熱點的技術(shù)擴展性。另外，新協(xié)議的支持和相關(guān)協(xié)議的NAT穿越能力也是用戶評估園區(qū)出口防火墻時需要重點考察的問題。

系統(tǒng)方面，高端產(chǎn)品必須具備良好的可升級性及彈性配置，這也是出于對用戶投資的有效保護(hù)。這種可升級性是全方位的，性能、接口、內(nèi)存甚至電源和風(fēng)扇都要做到靈活升級配置。這就要求產(chǎn)品在設(shè)計初始就必需充分考慮到產(chǎn)品的升級需求：小到內(nèi)存條容量的升級，大到網(wǎng)絡(luò)接口、設(shè)備性能/處理能力的升級。

對于以上要求，H3C的SecPath F5000無論在IPV6、NAT穿越還是部件升級擴容方面都做好了充分的準(zhǔn)備。比如F5000獲得了IPv6 Ready Phase-2的認(rèn)證，可以保證IPv4向IPv6的過渡；F5000采用的可擴展硬件加速技術(shù)-"FGPA"，保證多業(yè)務(wù)并發(fā)而不影響性能；通過基于Crossbar的分布式架構(gòu)，保證了F5000的性能、接口等可擴展性。也正是憑借在性能、可靠性和擴展性方面的全面優(yōu)異表現(xiàn)，SecPath F5000已經(jīng)先后在武漢大學(xué)、西南大學(xué)、哈爾濱工程大學(xué)、西安電子行政平臺、無錫市民行政中心、貴州電網(wǎng)、西山煤電等眾多行業(yè)客戶的大型園區(qū)網(wǎng)出口得到應(yīng)用。

liukai