x86平臺網(wǎng)絡(luò)應(yīng)用效能實(shí)測

雖然一些業(yè)內(nèi)人士已經(jīng)看到x86平臺的發(fā)展，認(rèn)為其將在網(wǎng)絡(luò)領(lǐng)域有所斬獲，但對于普通用戶來說，再次接受x86平臺有著很大的難度。一方面，這個曾經(jīng)不太適合做網(wǎng)絡(luò)業(yè)務(wù)處理的硬件平臺為許多用戶留下過不好的應(yīng)用體驗(yàn)；另一方面，一些廠商長期對x86架構(gòu)并不客觀的宣導(dǎo)，也加深了其在用戶心中的負(fù)面印象。

先入為主的誤會

我們在之前的調(diào)研中發(fā)現(xiàn)，抱有這種看法的用戶并不在少數(shù)。北京市某學(xué)校信息中心負(fù)責(zé)人李老師就是一個典型代表，雖然他在目前進(jìn)行的流控產(chǎn)品選型中比較中意連續(xù)兩年獲得《計算機(jī)世界》年度產(chǎn)品獎的Panabit應(yīng)用層流量管理系統(tǒng)，卻因其運(yùn)行在x86平臺上而猶豫不決。

“我們一直用著一臺x86架構(gòu)的UTM產(chǎn)品，效果越來越不好。”李老師介紹說，“以前網(wǎng)絡(luò)負(fù)載不大時，設(shè)備運(yùn)行沒有任何問題；現(xiàn)在越來越多的教學(xué)、科研任務(wù)要通過網(wǎng)絡(luò)進(jìn)行，學(xué)校網(wǎng)絡(luò)出口的百兆帶寬經(jīng)常被占滿，UTM運(yùn)行也變得不穩(wěn)定。”令人沒有想到的是，他緊接著又說出一個令我們很難理解的結(jié)論，“看來，x86平臺也就是這個樣子了。”

x86架構(gòu)與網(wǎng)絡(luò)運(yùn)行不穩(wěn)定有直接關(guān)系？實(shí)驗(yàn)室工程師習(xí)慣以量化的數(shù)據(jù)去看待問題，自然無法認(rèn)同李老師的推斷。在他的協(xié)助下，我們走進(jìn)該校信息中心，對網(wǎng)絡(luò)運(yùn)行情況進(jìn)行了實(shí)地考察。經(jīng)過分析，我們發(fā)現(xiàn)造成學(xué)校網(wǎng)絡(luò)出口擁塞的主要原因大致有三：其一是在線課件播放系統(tǒng)產(chǎn)生的數(shù)據(jù)流量，由于學(xué)生分布在不同校區(qū)，遠(yuǎn)程教學(xué)會在上課時段對網(wǎng)絡(luò)造成比較大的壓力。其二是學(xué)校周邊視頻監(jiān)控的數(shù)據(jù)上傳流量，根據(jù)教委要求，為加強(qiáng)校園安全工作，各學(xué)校的視頻監(jiān)控數(shù)據(jù)需實(shí)時匯總到教委信息中心，以便對突發(fā)事件做到事前預(yù)警、事中監(jiān)控及事后取證。李老師所在的學(xué)校需要實(shí)時上傳4路監(jiān)控視頻，這也是該校網(wǎng)絡(luò)上行帶寬占用率居高不下的原因之一。其三則是P2P、在線視頻等非業(yè)務(wù)應(yīng)用產(chǎn)生的流量，此類應(yīng)用會無限制地占用網(wǎng)絡(luò)帶寬，是每一個網(wǎng)絡(luò)管理員都非常頭疼的問題。我們在分析報表中看到，以迅雷為代表的下載應(yīng)用在網(wǎng)絡(luò)使用高峰期一度搶占了70%左右的帶寬，嚴(yán)重影響了該校教學(xué)工作的正常開展。

根據(jù)分析得到的數(shù)據(jù)，我們建議李老師對UTM上的安全策略進(jìn)行了調(diào)整，不再對遠(yuǎn)程教學(xué)與視頻監(jiān)控相關(guān)的流量進(jìn)行應(yīng)用層面的安全防護(hù)。由于它們都是可信流量，修改過的訪問控制策略非但不會造成安全隱患，還能有效降低UTM的負(fù)載。很快，我們看到設(shè)備的CPU占用率顯著下降，內(nèi)網(wǎng)用戶訪問網(wǎng)絡(luò)的延遲也回到相對合理的水平，x86“不行”的誤會也就此得到解除。但對于非業(yè)務(wù)流量的控制需求，該校主出口使用的這臺國外某品牌的UTM產(chǎn)品并沒有足夠的本土化保障，對國內(nèi)主流應(yīng)用的支持力度相對薄弱，無法進(jìn)行有效的控制。可以說，流控產(chǎn)品的部署勢在必行。

標(biāo)前測試：大放異彩

雖然解決了UTM運(yùn)行不穩(wěn)定的問題，李老師所在的信息中心管理團(tuán)隊(duì)還是對x86架構(gòu)產(chǎn)品存有疑慮，不愿直接將設(shè)備接入實(shí)際環(huán)境進(jìn)行測試。這一點(diǎn)大家都能理解，畢竟學(xué)校網(wǎng)絡(luò)承擔(dān)著大量的教學(xué)、科研任務(wù)，萬一出現(xiàn)意外，后果將不堪設(shè)想。在我們看來，李老師所在團(tuán)隊(duì)目前所需要的是一次客觀、嚴(yán)謹(jǐn)?shù)臉?biāo)前測試。實(shí)際上，這一環(huán)節(jié)已經(jīng)被國內(nèi)越來越多的用戶所認(rèn)可，因?yàn)槭欠襁x購產(chǎn)品，或者是否再接入實(shí)際環(huán)境測試，都可以用標(biāo)前測試得到的量化數(shù)據(jù)作為決策依據(jù)。

在實(shí)驗(yàn)室合作伙伴思博倫通信的支持下，我們與李老師所在團(tuán)隊(duì)合作，于近日測試了他們關(guān)注的Panabit應(yīng)用層流量管理系統(tǒng)。

該產(chǎn)品運(yùn)行在x86平臺上，擁有優(yōu)秀的協(xié)議識別率及性能。商務(wù)模式方面，Panabit可以通過軟件授權(quán)或服務(wù)的形式進(jìn)行交付，給用戶自行選擇硬件的自由，還可以節(jié)省大量開支。李老師這次帶來的硬件，就是供應(yīng)商基于該校網(wǎng)絡(luò)實(shí)際情況，推薦的一款帶有6個千兆電口的基于Atom N270的x86網(wǎng)絡(luò)通信硬件平臺。

Atom N270？實(shí)驗(yàn)室工程師們感到難以置信。要知道，流控引擎是在DPI（Deep Packet Inspection，深度包檢測）的基礎(chǔ)上結(jié)合多種技術(shù)發(fā)展而來，屬于處理模型相對復(fù)雜的一類業(yè)務(wù)應(yīng)用，對硬件平臺的計算能力有著相當(dāng)高的要求。而Atom N270是什么級別的產(chǎn)品？放在上網(wǎng)本里也算是兩代之前的配置了，它真能滿足百兆級別應(yīng)用層流量管理的需求？

諸多疑問化做動力，促使我們立即開始了測試。被測設(shè)備預(yù)裝了Panabit 10.10專業(yè)版，開啟了應(yīng)用層流量分析，作用于4個千兆口綁定成的兩組橋。根據(jù)聯(lián)合制定的測試方案，我們首先對帶業(yè)務(wù)情況下的吞吐量、延遲進(jìn)行了測試。雖然常用的UDP測試流量對于IPS、WAF等應(yīng)用層安全設(shè)備來說意義不大，對流控產(chǎn)品測試卻有著十分現(xiàn)實(shí)的意義——據(jù)統(tǒng)計，目前互聯(lián)網(wǎng)中占流量比例最大的是在線視頻應(yīng)用（在教育、網(wǎng)吧等行業(yè)中比例數(shù)字更為驚人），它們其中大多數(shù)都使用了UDP傳輸，且數(shù)據(jù)包偏小。測試結(jié)果令人震驚，當(dāng)我們單獨(dú)測試1組橋的性能時，該平臺64Byte幀的吞吐量達(dá)到41%，也就是800多兆的處理能力。當(dāng)幀長逐漸增加時，吞吐量也呈線性增長，并在1518Byte時達(dá)到線速。此時最大的平均延遲也僅為68微秒。而在同時對2組橋的測試中，設(shè)備的整體吞吐量又有所增加，在256Byte時就已擁有接近2G的性能。我們也利用全部4個接口測試了該產(chǎn)品的鏈接處理能力，當(dāng)鏈接的Timeout時間設(shè)為0時，Avalanche測得的穩(wěn)定值在90000左右，峰值為90014CPS（HTTP）。這一次的數(shù)據(jù)體現(xiàn)出了設(shè)備的極限性能，根據(jù)以往經(jīng)驗(yàn)，其表現(xiàn)完全可以勝任普通千兆接入環(huán)境中的應(yīng)用。

有了這些測試數(shù)據(jù)，老師們基本放下心來，將設(shè)備接入實(shí)際環(huán)境中進(jìn)行了長時間的測試。對于流控設(shè)備上線后的效果，李老師給予了充分的肯定：“業(yè)務(wù)流量控制住了，學(xué)校網(wǎng)絡(luò)出口的流量也就下來了，UTM的負(fù)載就更小了。”而在穩(wěn)定性方面，他也坦言沒有遇到過任何異常情況，不過我們?nèi)匀唤ㄗh做更長時間的測試，以便進(jìn)一步考察x86網(wǎng)絡(luò)通信硬件平臺長期不間斷運(yùn)行的效果。

后記

廣闊天地 大有作為

從測試結(jié)果中可以看出，x86平臺的網(wǎng)絡(luò)業(yè)務(wù)處理能力確實(shí)有了長足的進(jìn)步。目前，在英特爾面向網(wǎng)絡(luò)應(yīng)用的嵌入式產(chǎn)品線中，Atom N270是最低端的一款產(chǎn)品，都有著如此強(qiáng)大的處理能力。隨著網(wǎng)絡(luò)通信和信息安全業(yè)務(wù)的關(guān)注點(diǎn)逐步向應(yīng)用層遷移，x86平臺的優(yōu)勢將會越來越明顯。當(dāng)然，現(xiàn)有基于x86架構(gòu)的產(chǎn)品仍不足以在高端市場和基于專用網(wǎng)絡(luò)通信處理平臺的產(chǎn)品競爭，但在其他諸多領(lǐng)域內(nèi)，x86已經(jīng)表現(xiàn)出了一定的競爭力。對開源系統(tǒng)良好的支持、海量的軟件資源、較低的開發(fā)難度、價格優(yōu)勢和易獲取性，這些都是其取勝的砝碼。是否有點(diǎn)眼熟？沒錯，如果哪天基于x86架構(gòu)的網(wǎng)絡(luò)通信和信息安全產(chǎn)品（至少是中低端）開始山寨化，大可不必感到奇怪。