位置 —— 核心还是边界
在Juniper的理想中,网络是分区的。数据在两个区域之间流动,应该受到监管。所以我们在Juniper的配置中,经常能看到security zone这个概念。所有的策略都是在区域和区域之间执行功能,甚至包括VPN也是这样。这样的理念包含了下一代IP网络的特征,也就是状态化骨干网——一种理想化的骨干网络,可以消除很多现阶段看来很头疼的网络攻击。但是防火墙终究是防火墙,完美的状态化和精确的分布式计算Viking架构所能企及的高度还是有限的,最强的SRX现在有160G的带宽,同属Juniper的EX8200交换机背板有多少呢?我们的核心……160G,够么?
在Cisco的理想中,网络是分内外的。内部网络默认都是安全的,或者那些不安全的因素,应该丢给交换机(诸如风暴控制)路由器(RACL?)或者主机(UAC)去完成,防火墙就是一道内外网络之间的铁闸,我们要有很大的接口带宽,很强的IPSec接入能力,SSL VPN,我们还要会L2TP over IPSec。作为一个万能的小强,我们拥有一颗X86的芯……等等,X86?亲,您这是打算坑死在X86架构上么?性能呢?性能呢?5585X已经达到了40G!
面对防火墙在哪里的问题,Cisco明显是明智的。作为网络的出口,40G的处理能力已经足够强大,并且基于廉价的X86平台,Cisco搭上了Intel Xeon的顺风车。X86架构最大的问题就是运算量淤积——强大的内核和孱弱的IO,这种奇怪的组合正好可以应用在Firewall应用上。
架构 —— 分布式还是集中运算
Juniper是将分布式运算进行最彻底的公司。在Juniper所有的产品线当中,RE是一个奇怪的部件,如果直接拔掉,设备现有的转发完全不会停顿(……),有想象过一个动物被扭掉脑袋后还能走路的事情么?这就是分布式的力量。分布式可以轻易的提升处理能力,只要有槽位,SRX的处理能力就可以无止境的提升。SRX使用XLR的网络处理,每处理器32线程,其中24线程用于转发,具有10G处理能力。当一个机箱有多个XLR的时候,会有一个XLR成为ControlPoint,负责其他XLR之间的任务指派。
Cisco则一直停留在对称多处理,也就是SMP的工作上。因此ASA系列都是固定处理能力配置,固定型号的CPU频率和数量是固定的(除非您自己回家偷偷换)。ASA的实际处理能力实际上就是由搭载的处理器性能限定的。新一代的5585x借助了Intel Xeon的新一代处理器,处理性能相比起5580有了飞跃,这种飞跃,我认为是硬件体系的飞跃,而不是软件体系的飞跃。
架构上,Juniper的Viking明显是超越Cisco很多的。但是这只是从编程的角度上来讲。防火墙属于严密的逻辑设备,过度的分布式反而增加了设备的不稳定性——试想,当一个数据包需要穿行林林总总8、9块芯片才能完成一次转发,这些芯片当中任何一个出现瑕疵的概率,是不是比只需要穿过5个芯片要高很多呢?Juniper的HA比ASA的要弹性很多,我想,这可能也是为了弥补分布式计算带来的风险。
角色 —— 判官还是路由参与者
Juniper的SRX支持丰富多样的路由和VPN功能。为了更好的支持MPLS下的IPSec,SRX在较新版本的软件中支持了GET VPN,并且通过NHTB,在一定程度上模拟了DMVPN的功能。还有继承自卓越的T/M系列路由器的路由能力,MPLS支持和高级QoS支持,支持跨域的Option A/B/C选项。我们眼前的SRX就是一个全能的金刚,路由器能做的,它都能做,路由器做不了的,它也能做。
Cisco的ASA功能相比较而言就简单很多。也许ASA上也就十几条静态,外加一个缺省路由,就完成了所有的路由配置,或者,你想配置个CBWFQ,却发现只有policer可以用,没有bandwidth可以配置。如果想GET VPN和DMVPN,对不起,那是路由器的活儿。也许你真的想不出ASA在路由方面能做啥。没错,ASA的确不是路由器,那是个防火墙。嗯……“MPLS呢?”“MPLS是啥?”
从这一点区别上,我们更加可以看出这两个公司的区别。Juniper由于产品线的斑驳,无法向市场推出有针对性的产品,于是使用了单一产品功能大而全的策略。Cisco则很淡定的表示我们的ASA就是个安全设备,路由什么的有路由器。在这方面,分不出太多的高下,不过较少的软件功能,也许出错的概率会小一些吧。
Cisco是一个伟大的公司,它不断的在思考,网络应该是个什么样子,需要有那些技术去支撑。那Cisco去研究,去开发,适合推广的,就RFC标准化,成为业界的策略。而其他的大多数公司,都是在深挖RFC的内容,巴不得把每一个Option都做的天花乱坠,却很少自己去想,网络应该是一个什么样的东西。于是我们现在看到的网络,应该都是Cisco-liked的网络,因为只有Cisco在一直耕耘,而其他人,都在埋头追赶。
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment