文/沈博文
H3C SecPath M9000多业务安全网关是H3C最新推出的针对大型企业、园区网出口、高性能云计算数据中心、运营商骨干网的高端旗舰安全产品。硬件上基于CLOS多级多平面交换架构、配合高性能多核处理器,在满足用户多业务处理需求的基础上实现最高400G的处理性能。
一、 H3C SecPath M9000硬件架构
H3C SecPath M9000包括三款设备形态:M9006、M9010、M9014,关键业务单元均采用冗余保护设计,满足电信级可靠性要求。主控引擎1+1备份;独立交换引擎3+1备份,单槽位达到T级带宽,提供无阻塞大容量交换能力的同时,便于后续业务\IO引擎的持续升级;电源、风扇均具备N+1备份。
二、 系统业务处理单元功能组成说明
主控引擎:主控引擎是整个系统的管理控制中心,在各单板管理CPU的配合下实现分布式的配置管理、状态监控、路由\LACP\STP等网络协议的运算学习、二三层转发表项的维护及下刷。基于ComwareV7先进的控制平面分布式技术,可以实现主备控制引擎的负载分担处理,在实现冗余备份同时,进一步提高控制引擎的处理能力。控制引擎和各单板的管理CPU之间有独立的管理总线,该管理总线与业务数据隔离,保证管理数据的可靠性。
IO引擎:IO引擎是与外部互联互通的处理单元,负责将接收到的数据根据智能引流规则通过交换矩阵转发到指定业务引擎,同时业务引擎处理完的数据在通过IO引擎转发到外部。M9000根据业务引擎状态及业务配置需求维护动态引流规则,确保业务处理的负载分担及冗余备份。同时IO引擎芯片卸载了MPLS、组播、QOS等功能实现,使业务引擎更专注于安全业务处理。另外,相比基于路由架构的高端设备,M9000可以提供更高密万兆、40GE、100GE接口,充分节省业务槽位,便于性能扩展。
交换引擎:交换引擎作为整个系统中的数据中转站,提供无阻塞的数据交换。M9000采用3+1冗余备份独立的交换引擎,其中M9006提供单槽位双向480G带宽,M9010、M9014则提供单槽位双向1120G带宽,最高端M9014整机交换能力可达13.44T,满足未来网络升级需求。同时4个交换引擎提供独立交换通道,负载分担处理,可以根据实际的业务性能需求,灵活配置交换引擎数量。
业务引擎:业务引擎是M9000系统中所有安全业务的处理单元。M9000业务引擎采用多核多线程处理器,该处理器每一个线程具备独立的一二级cache,可以运行独立的操作系统,同时通过高速消息总线传递核间消息,配合Comware V7的分布式操作系统,在功能和性能上都具有良好的可扩展性,同时该处理器内置网络及安全加速引擎,保证VPN业务的高速处理。在数据中心应用场景中,万级乃至十万级的安全策略较为常见,在如此大的安全策略匹配情况下,单纯依靠CPU的处理能力,会导致新建速率的显著下降,对外的体现就是用户请求响应不及时,更恶劣的情况是,在服务器遭受到DDOS攻击的时候,此时攻击流量基本都是匹配最后一条拒绝的策略,从而可以实现很小的攻击流量消耗掉整个CPU处理性能,从而造成DOS攻击。M9000业务处理引擎内置大容量TCAM,可容纳数十万IPV4、IPV6策略表项,从而保证性能不会因为策略数目而下降,同时增加了设备的防攻击能力。
各个业务处理单元在M9000整个系统中是一个统一的逻辑整体,系统实时监测该逻辑引擎内成员的状况,根据业务引擎的增加、删除、故障、恢复动态调整数据流向,从而可以实现多引擎的负载分担与冗余备份。