硬件QoS——电信级防火墙的首选

　　电信运营商以及各行业宽带网络的建设目标是建立一个可运营、可增值、可管理的宽带网络，以获取更高的网络带宽资源，促进网络增值业务繁荣发展。随着数据、语音、视频等多业务需求与日俱增，用户对带宽及网络应用服务质量提出了越来越高的要求。如何通过充分利用现有的带宽管理技术提高网络效率，有效地制止带宽的浪费，降低运营成本，提供满意的网络应用服务质量，成为电信运营商极为关注的发展方向。

　　网络的带宽处理能力很大程度取决于核心设备的性能，而作为核心安全设备的电信级防火墙，不仅需要保证安全，同时它还要提供强大的带宽管理功能，但不能成为性能的瓶颈，而基于硬件QoS防火墙的应运而生恰恰满足了运营商的这种需求。

　　防火墙QoS是什么

　　由于防火墙通常放在LAN-WAN的出口，所以，在防火墙通常都实现了一定的流量控制功能。所谓防火墙服务质量保证（QoS），是指在防火墙上提供的服务性能的聚集效应，它决定用户对特定服务的满意程度。

　　采用防火墙QoS可以解决或改善诸如传输延迟、抖动、丢包等问题，从而保证网络的安全性、稳定性和可靠性。然而防火墙QoS极大的作用在于能够控制带宽的使用，通过对重要应用如电子商务进程进行优先带宽分配，可以保证这些进程的稳定性。

　　实现QoS通常包括三个步骤：分类、排队和调度。由于IP包的到达的不确定性和突发性，实现有效和准确的流量控制以保证满意的服务质量相当困难。不同的流量控制方法表现在对流量的测量和排队（丢弃）、调度的算法和具体实现的差别上。如何根据不同的业务种类和用户群，提供相应的带宽、时延、抖动、丢包率等参数，是防火墙生产商和电信运营商需要共同解决的难题。

　　更适合电信运营商

　　传统的基于X86架构的防火墙可以为网络提供一定的带宽管理功能，但在电信运营商的网络，尤其是在骨干网中便显得力不从心。本质原因是X86架构的防火墙只能采取软件控制QoS，而一旦面临高吞吐量时，自身的处理能力根本无法保证性能。由于这一原因，软件流控算法通常不会做得很复杂，这样就带来了流量控制的精确性的问题；同时，不恰当的算法不能平滑地降低流量，在网络拥塞时，会引起网络流量的震荡；另外，由于流量控制由软件来完成，并且通常不能和安全处理模块并行处理，在启用流量控制的情况下，即便采用较为简单的流控方法，对转发的包会引入一定的额外迟延。同时，软件QoS支持的优先级较少，这样将导致其承载的不同网络应用无法得到相应的优先级分配。像语音、视频等对传输延迟比较敏感的应用和像邮件、文件传输等对带宽延迟并不敏感的应用争抢带宽资源，传输质量无法得到有效的保护。

　　由硬件实现的QoS则可以有效地进行高吞吐量下的带宽管理，在此基础上可以增加优先级的划分并有效提高带宽控制粒度，从而弥补传统CPU对性能的拖累。

　　硬件实现QoS的方法也很多，其中通过网络处理器（NP）则是极为理想的一种。NP是一种可编程器件，它特别适用于通信领域的各种任务，比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QoS等。网络处理器器件内部通常由若干个微码处理器和若干硬件协处理器组成，多个微码处理器在网络处理器内部并行处理，通过预先编制的微码来控制处理流程。而对于一些复杂的标准操作(如内存操作、路由表查找算法、QoS的拥塞控制算法、流量调度算法等)，则采用硬件协处理器来进一步提高处理性能，从而实现了业务灵活性和高性能的有机结合。

　　相对于FPGA、ASIC等硬件，NP在性能、可靠性和灵活性方面更具有鲜明的特点，可实现复杂的拥塞管理、队列调度、流分类和QoS功能，并可以极高地查找、转发性能，实现“硬件流控”。

　　基于NP的防火墙可以在网络处理器上设计多个独立的硬件流控通道，对不同的带宽策略数据报文采用独立的硬件流控通道QoS队列，完成并行流量分配处理，保证防火墙能够根据系统网络中流量的变化，自适应调整各受控流量带宽，同时保证对数据报文的高速转发和较低的延时。

　　通过基于NP硬件的高效带宽分配算法，不仅能够根据用户定义的带宽策略（最大峰值带宽，最小保证带宽和优先级），结合当前网络处理器的流量信息，动态实现带宽分配的实时控制，而且可以内建预测模型，对下一时刻的分配带宽进行预测优化，实现了对带宽的连续精确实时控制。

　　管理员可自定义多种不同的带宽控制策略，并通过安全规则对基于源IP 地址、目的IP地址、协议、服务、方向、时间段的不同业务流进行精细粒度的带宽策略管理，通过对每一个粒度元素设定可以满足对极精细流量控制的要求。此外，不同的带宽策略可以由管理员根据实际业务流量需要，选择多种优先级进行定义区分，从而实现带宽管理的灵活控制。

　　联想网御“超五”千兆线速防火墙内置高达4G带宽的NP芯片，并采用单独的硬件来完成流量控制，同时与安全模块并行处理，不会因流控而引入新的延迟。它采用了创新的流量控制算法，使得流量控制更为精确，更能够快速响应并平滑突发流量，以实现对防火墙带宽的高效管理和精确控制；它还可对不同带宽策略提供十个优先级进行区分，并可以提供124个独立的硬件流控通道及数百种带宽控制策略。

　　通过基于安全策略的带宽管理，联想网御“超五”千兆线速防火墙可以保证电信运营商为用户提供满意的服务质量，并实现性能与安全的完美结合。