转:Juniper SRX and Cisco ASA ---- 两种网络理念的搏杀

位置 —— 核心还是边界

在Juniper的理想中，网络是分区的。数据在两个区域之间流动，应该受到监管。所以我们在Juniper的配置中，经常能看到security zone这个概念。所有的策略都是在区域和区域之间执行功能，甚至包括VPN也是这样。这样的理念包含了下一代IP网络的特征，也就是状态化骨干网——一种理想化的骨干网络，可以消除很多现阶段看来很头疼的网络攻击。但是防火墙终究是防火墙，完美的状态化和精确的分布式计算Viking架构所能企及的高度还是有限的，最强的SRX现在有160G的带宽，同属Juniper的EX8200交换机背板有多少呢？我们的核心……160G，够么？

在Cisco的理想中，网络是分内外的。内部网络默认都是安全的，或者那些不安全的因素，应该丢给交换机（诸如风暴控制）路由器（RACL？）或者主机（UAC）去完成，防火墙就是一道内外网络之间的铁闸，我们要有很大的接口带宽，很强的IPSec接入能力，SSL VPN，我们还要会L2TP over IPSec。作为一个万能的小强，我们拥有一颗X86的芯……等等，X86？亲，您这是打算坑死在X86架构上么？性能呢？性能呢？5585X已经达到了40G！

面对防火墙在哪里的问题，Cisco明显是明智的。作为网络的出口，40G的处理能力已经足够强大，并且基于廉价的X86平台，Cisco搭上了Intel Xeon的顺风车。X86架构最大的问题就是运算量淤积——强大的内核和孱弱的IO，这种奇怪的组合正好可以应用在Firewall应用上。

架构 —— 分布式还是集中运算

Juniper是将分布式运算进行最彻底的公司。在Juniper所有的产品线当中，RE是一个奇怪的部件，如果直接拔掉，设备现有的转发完全不会停顿（……），有想象过一个动物被扭掉脑袋后还能走路的事情么？这就是分布式的力量。分布式可以轻易的提升处理能力，只要有槽位，SRX的处理能力就可以无止境的提升。SRX使用XLR的网络处理，每处理器32线程，其中24线程用于转发，具有10G处理能力。当一个机箱有多个XLR的时候，会有一个XLR成为ControlPoint，负责其他XLR之间的任务指派。

Cisco则一直停留在对称多处理，也就是SMP的工作上。因此ASA系列都是固定处理能力配置，固定型号的CPU频率和数量是固定的（除非您自己回家偷偷换）。ASA的实际处理能力实际上就是由搭载的处理器性能限定的。新一代的5585x借助了Intel Xeon的新一代处理器，处理性能相比起5580有了飞跃，这种飞跃，我认为是硬件体系的飞跃，而不是软件体系的飞跃。

架构上，Juniper的Viking明显是超越Cisco很多的。但是这只是从编程的角度上来讲。防火墙属于严密的逻辑设备，过度的分布式反而增加了设备的不稳定性——试想，当一个数据包需要穿行林林总总8、9块芯片才能完成一次转发，这些芯片当中任何一个出现瑕疵的概率，是不是比只需要穿过5个芯片要高很多呢？Juniper的HA比ASA的要弹性很多，我想，这可能也是为了弥补分布式计算带来的风险。

角色 —— 判官还是路由参与者

Juniper的SRX支持丰富多样的路由和VPN功能。为了更好的支持MPLS下的IPSec，SRX在较新版本的软件中支持了GET VPN，并且通过NHTB，在一定程度上模拟了DMVPN的功能。还有继承自卓越的T/M系列路由器的路由能力，MPLS支持和高级QoS支持，支持跨域的Option A/B/C选项。我们眼前的SRX就是一个全能的金刚，路由器能做的，它都能做，路由器做不了的，它也能做。

Cisco的ASA功能相比较而言就简单很多。也许ASA上也就十几条静态，外加一个缺省路由，就完成了所有的路由配置，或者，你想配置个CBWFQ，却发现只有policer可以用，没有bandwidth可以配置。如果想GET VPN和DMVPN，对不起，那是路由器的活儿。也许你真的想不出ASA在路由方面能做啥。没错，ASA的确不是路由器，那是个防火墙。嗯……“MPLS呢？”“MPLS是啥？”

从这一点区别上，我们更加可以看出这两个公司的区别。Juniper由于产品线的斑驳，无法向市场推出有针对性的产品，于是使用了单一产品功能大而全的策略。Cisco则很淡定的表示我们的ASA就是个安全设备，路由什么的有路由器。在这方面，分不出太多的高下，不过较少的软件功能，也许出错的概率会小一些吧。


Cisco是一个伟大的公司，它不断的在思考，网络应该是个什么样子，需要有那些技术去支撑。那Cisco去研究，去开发，适合推广的，就RFC标准化，成为业界的策略。而其他的大多数公司，都是在深挖RFC的内容，巴不得把每一个Option都做的天花乱坠，却很少自己去想，网络应该是一个什么样的东西。于是我们现在看到的网络，应该都是Cisco-liked的网络，因为只有Cisco在一直耕耘，而其他人，都在埋头追赶。