Netscreen的岁月 之十三 ISG-2000
系列目录 Netscreen的岁月
- Netscreen的岁月 之一 初识邓锋
- Netscreen的岁月 之二 Egis Communications
- Netscreen的岁月 之三 防火墙做错了
- Netscreen的岁月 之四 思科啊思科
- Netscreen的岁月 之五 一堆新高管
- Netscreen的岁月 之六 研发体系
- Netscreen的岁月 之七 NS-1000
- Netscreen的岁月 之八 中国筷子楼
- Netscreen的岁月 之九 Efficient Networks
- Netscreen的岁月 之十 世界第一的防火墙芯片
- Netscreen的岁月 之十一 上市
- Netscreen的岁月 之十二 NS-200危机
- Netscreen的岁月 之十三 ISG-2000
2002年我开始构思下一代高端平台。NS-5400和Saturn毕竟有许多先天的不足。这段时间公司并购了一家做IPS的公司,叫OneSecure。 OneSecure的创始人是Nir Zuk, 一个以色列人,之前在Checkpoint干过。我就在考虑如何能够在一个系统里同时支持Firewall和IPS,甚至包括和Trend Micro合作的病毒防护功能。把别人的软件融合到ScreenOS里是不现实的,软件升级很麻烦,bug又多,还把整体性能给拖下来了。
因此我设想规划四个内部处理模块,除了防火墙主控CPU外,还可以支持另外三个CPU板,板间通过Xilinx FPGA的Rocket I/O串行总线相连,拿ASIC和一颗大FPGA组成交换总线板,前面板还有固定端口和4个接口扩展槽 。有了三个CPU板,类似IPS和AV的处理功能就可以跑在各自独立的操作系统上了。事后证明,这是一个非常优越和超前的设计。后来Netscreen的IPS主要通过这个平台销售,始料未及的是,客户大多买的是独立的IPS系统,因为通过三块双CPU卡加速的IPS性能已经可以与一些专业硬件加速的平台相竞争。
我给这个项目取了一个代码名,叫Tasmania。 原因是公司每年都有President Club,拉业绩优异的销售去风景优美的地方有吃有玩,让我们一帮工程师十分眼热。他们也请工程师,不过只请支持过项目的工程师,而且每年就一个名额,那就只有测试组的人才有资格参加。那一年,他们去的是澳大利亚的Tasmania岛,我留了这个私心,希望产品大卖的时候那帮销售能够想起我来,不过到我离开,这个心愿也没有实现。
这个设计构想没有异议地得到了大家的支持。不过后来Raymond找到邓锋,担心Rocket I/O技术太新,会有风险。在他俩的坚持下,第一版还是用传统的FIFO bus作为主数据通道,但是我还是要求FPGA一定要支持Rocket I/O,可以不用但是生产时要可以测试。多年后,我离开了Juniper,老兄弟聚会的时候,有人还提起幸好当年留下了Rocket I/O,解决了板间互联的性能问题,这个平台才能支撑那么久。屈指一算,ISG-2000在市场上活跃了八年,可谓长寿矣。
这次做ISG-2000,软件方面又是老搭档老黄来负责。其实当时整个软件部门也在讨论大的改变。创业时柯严写的ScreenOS操作系统,修修补补多年,已经不敷使用。首先要解决的是内存保护的问题,不然一个飞指针就能把系统搞死,太可怕了,尤其是代码量越来越大,新手不断进入,这个问题非解决不可。
2000年底,陈怀临加入Netscreen。陈怀临就是现在大名鼎鼎弯曲评论的创始人,他在这个项目上的工作首先就是给ScreenOS加上内存保护,基本上是改变直接寻址的模式,转而用虚地址和MMU映射,一旦发生内存overwrite,CPU会启动Exception,这样就可以定位问题了。
ISG-2000用的是PowerPC G4,而且麻烦的是,为了追求性能,我设计了两片处理器,跑在一个LVTTL并行总线上。从电路设计上,这是我遇到最难的一个,原因是信号的终结termination非常麻烦,因为是T形总线。后来的串行技术,就算速率再高,比起这个几乎就没有太大技术含量了。
当时我还年轻,火气也比较大,遇事不服输,系统不稳定,陈怀临怀疑是硬件问题,我就和他争辩。他吵不过,干脆要port一个Linux来验证。邓锋是学并行计算出身的,他推荐我读了一本处理器原理的权威著作,最后我也弄明白了Cache, MMU的工作原理,因此能够读懂Exception寄存器的含义了,算是一大收获。
这个项目上我基本上只负责架构,我们硬件组的Edward, Scott Chastain和机构工程师Eugene负责具体的设计。技术的挑战最终提升了整个团队的个人和团队协同作战能力,这是第二个收获。
几经周折,这个系统终于发布了,而且大获成功。
—————————- 版权所有Hillstone 老童 欢迎转载 —————————-