【IT168 方案】

　　客户名称：某运营商

　　所属行业：宽带运营商

　　客户需求：防火墙、NAT、多链路负载、端口集聚、上网日志记录

　　产品型号：Hillstone SA-5050

　　赢单关键：以一当三的高性能、多端口、大流量的日志记录、最小的空间占用

　　网络原况：

　　某运营商通过几年的网络建设，规模逐步扩大到近15万用户，出口带宽达10G，一共通过10台某品牌防火墙的NAT地址翻译来为用户提供上网服务。

　　随着业务量的不断增加，机房原有设备已不具备扩容能力，而ISP机房的机架也几乎被众多防火墙设备占满。日益增长的网络流量和泛滥的P2P应用吞噬着网络带宽，家庭用户普遍的在线视频和多线程下载不仅占用了大量网络带宽，高峰时大量每秒新建会话数及高达上百万的并发会话都让原有防火墙设备难以承受。以上诸多问题都迫切需要解决，对此用户希望通过升级防火墙设备来解决原有设备老化、性能不足导致上网慢的问题，同时还有以下几点需求 是需要在升级时满足的：

　　1、 高可扩展性：新设备的性能不但要强于原有防火墙设备，而且还必须具备高可扩展性，这样才能满足当前和未来几年网络发展的需求。

　　2、 根据公安部82号令， P宽带运营商需要保存至少60天的客户端上网日志。

　　3、 具备流量监控，会话数限制等功能。

　　4、 机房容量有限，目前机架已接近饱和，要求新设备比以前设备体积小。

　　Hillstone山石网科提供的解决方案：

　　在经过对网络的流量进行分析，与网络中原有防火墙设备的承载能力及处理器、内存占用率等数值进行全面评估后，Hillstone山石网科给出解决方案：

　　用一台Hillstone SA-5050多核安全网关替换原有的三台防火墙，端口高度集成的Hillstone SA-5050共连接七条线，分别是三条千兆的互联网出口链路、三条千兆的内网链路及一条带外管理兼日志输出链路。开启的功能包括端口集聚、策略路由、多地址池NAT及流量监控等。Hillstone SA-5050多核安全网关拥有8G吞吐量、每秒20万新建会话和并发500万会话数的高性能，新的网络拓扑图如下：

　　对于记录至少60天日志的需求，用户三条链路下数万用户的访问量巨大，平稳时段的每秒新建会话仍然会超过6000条，这个原因也致使 前期日志系统测试的效果并不理想，用户上网高峰时段的日志记录量高达每秒1万多条，在如此大的数据流量下经常出现日志存储数据库无法响应的问题，对此 Hillstone山石网科利用本土研发的优势，在短短一周的时间内进行多次数据库优化和调校，使得新版本下的日志系统及数据库可以承受最高每秒 15000次的日志记录量，这是原有网络环境单条链路都难以实现的，而优化过的Hillstone山石网科解决方案则可以担当起传统多台设备的日志压力，解决了用户的一大难题。

　　在完成传统防火墙功能的同时，Hillstone SA系列多核安全网关还为用户提供了基于设备接口流量、网络协议流量、网络协议会话、网络IP流量、网络IP会话等实时监控及历史状态查询功能，为运维工程师监控网络状态提供了很大帮助。

　　对于机房机架容量饱和问题，Hillstone山石网科设备虽然性能是传统设备的多倍，但在体积上却没有成倍的增加，而是在1U的机箱内集成了高达12个千兆端口及双电源，这既成为以一换多的基础，而且为机房创造出之后扩容的空间。

　　客户评价：

　　Hillstone SA-5050多核安全网关上线后一直稳定运行，在晚高峰时三条千兆互联网链路的总流量曾超过2.8G，通过设备上网的并发IP数超过两万，最大并发会话 高达400多万，每秒新建会话数超过1万，此时设备自身的CPU占用率在30~45%之间，用户上网正常，日志记录正常。

　　Hillstone山石网科此项目中解决了环境中传统设备性能低、维护量大、无法记录上网日志和机架容量受限等问题，得到了用户的一致认可，树立了高性能的标杆。