應用識別、應用流量管理、應用可視化……以應用管理控制為基礎的下一代防火墻[注]技術的出現，使廠商們開始為下一代防火墻賦予越來越多的網絡應用管理控制功能。隨著下一代防火墻網絡管理控制能力的提升，我們不由得產生了一個疑問——我們還需要使用路由器嗎?

這個問題可以從兩個方面進行分析：從集中統一管理的角度來講，功能不斷增強的下一代防火墻無論是在路由協議、NAT、VPN等方面的功能性上，已經具備了全面替代路由器的技術能力。然而換一下角度，從網絡可靠性、穩定性的角度來看，下一代防火墻是一款網絡安全設備，功能著重點在于網絡威脅的安全防護，當下一代防火墻取代路由器后，一但有網絡威脅或網絡攻擊發生，防火墻系統資源被大量占用后，網關的正常數據轉發及網絡應用也將受到極大影響，甚至會有網絡連接中斷的不良情況出現。這將對網關的穩定性及可靠性產生極大的影響，在一些對網關穩定性及可靠性有較高要求的企業，這種影響是會是無法忍耐的。

那么，可否有一款注重網絡數據轉發，同時具備應用識別、流量管理、應用可視的“下一代”路由器出現，同時滿足用戶網絡應用集中統一管理與網關傳輸可靠性的應用需求呢?思科新近推出的ISR-4451-X就是這樣一款具備網絡應用管理控制能力的“下一代”路由器產品。

思科ISR 4451-X 集成服務路由器

思科ISR4451-X集成服務路由器最近獲得interop的2014年度最佳硬件設計獎，它通過多核的硬件平臺，智能集成市場領先的數據傳輸、統一通信、安全、應用服務能力。還能通過集成USC-E模塊，將一個小型化的數據中心放入一個2U大小的盒子中。作為一款提供全面7層服務內部托管到分支機構的路由器，ISR4451-X能在多業務并發環境下提供多達2Gbps的處理能力, 同時提供多達10G的內部交換能力，充分滿足分支機構網絡日益增加的、基于應用的多業務需求。

ISR4451-X在傳統的路由器基礎上, 提供了豐富的應用識別、應用優化和安全傳輸業務，并且通過集成的ISR-WAAS技術, 無需任何額外的模塊即可支持應用加速業務。支持UCS-E小型化刀片服務器模塊, 可以提供6核心的CPU處理能力, 支持多達48G內存和3TB硬盤存儲, 實現了一個小型化的數據中心處理能力。用戶可以安裝虛擬的無線控制器，ISE身份識別引擎等多種服務進一步擴展ISR4451-X的有線無線統一融合能力。在支持多種廣域接口模塊的同時，也整合了傳統的中繼線語音網關/IP語音網關業務，并且支持PoE供電的接口或24/48端口PoE交換機模塊，IP話機和無線AP可以非常便捷的接入到網絡中。

思科ISR 4451-X 集成服務路由器(正反面)

基于應用的智能路由

通過基于應用的識別與管理控制，下一代防火墻搶占了路由器的大部份市場。那么思科ISR 4451-X能否在應用識別與管理控制上重新恢復失地呢?下面，我們來看一下思科ISR 4451-X在“應用路由”方面又有了什么樣的全新體驗。

應用識別 可管可控

在2013年對思科ASR1000路由器進行測試時，思科的路由器中就已經加入了NBAR2這種應用識別功能，現在ISR 4451-X也集成了全新的Cisco NBAR2應用識別引擎。目前NBAR2已經內置了含有1200種以上的應用識別特征庫，并且用戶可以自由的根據端口、地址段、特定字段、域名、文件名等，對應用進行特別定制，從而更加靈活的對網絡應用進行管理。

同時，Cisco NBAR2還可以基于應用進行多級QoS調度，對整個廣域網接口按照租用帶寬進行限速后，將各種網絡應用按不同優先級分類，進行網絡應用帶寬保障，從而確保企業核心網絡應用的帶寬流量不被侵占。

應用流量 實時監管

了解網絡應用流量構成，并且通過圖形化的實時監管進行分析，這是下一代防火墻最吸引用戶關注的功能之一。現在思科ISR 4451-X也可以完成這項工作。思科ISR 4451-X通過Cisco NBAR2應用識別引擎可以精確靈活的對網絡實時應用情況進行分析，并通過Flowdia網絡性能分析控制系統對設備應用流量進行查詢，即可按時間段、流量、應用類型、占用帶寬、用戶數等分別進行排序查詢。以圖文的方式，形象地將網絡應用情況一一羅列出來。方便用戶對網絡應用流量占用情況進行分析監管。

應用質量 可視分析

網絡故障的問題定位，始終是網絡運維的日技術難點之一。得益于應用識別與應用可視化，我們可以對一些網絡應用問題進行迅速定位，并通過相關網絡設置加以緩解。然而，在實際網絡應用過程中，還常會出現一些“未知”的網絡應用問題，當網絡中的應用或服務出現故障時，通過應用識別與應用可視化也無法進一步了解，在對網絡應用問題的深度挖掘與性能調優時，應用識別及應用可視化也會力不從心。具體是由于服務器端出現故障，還是現有網絡中所存在的問題，還是要靠排除法費時費力的去一一驗證。

現在，思科ISR 4451-X，不僅可以完成應用識別與應用可視化，還可以對網絡應用質量進行實時的分析，并及時對網絡應用問題進行定位。這不是簡單依靠一套應用識別引擎可以做到的。思科ISR 4451-X上，通過Netflow功能可以導出詳細的用戶訪問及網絡質量統計，在通過Flowdia網絡性能分析控制系統對數據進行分析后，用戶可以輕松的了解到客戶端應用請求到路由器的延遲時間、路由器通過廣域網鏈路時的延遲時間以及服務器端響應的延遲時間，通過總延遲中這三段時間所占用比例，用戶可以輕易分析出網絡應用質量下降是由于內部網絡環境問題、廣域網鏈路問題還是應用服務器所出現的問題，從而準確對故障進行定位。并且還可以通過網絡性能可視化圖表直觀的對網絡中不同應用傳輸性能進行直觀分析。

性能回溯 行為審計

ISR4451-X可以支持1:1的Netflow采樣，配合Flowdia網絡性能分析控制系統，可以對用戶的每個應用訪問進行精確的審計，當用戶對網絡性能故障進行報障投訴時，可以在數秒內查詢到用戶應用性能日志，進行實時化的故障分析。同時對于用戶的違規訪問可以做到精確的實時的回溯審計分析。

智能路由 外網加速

在國內，通常企業會租借多條不同外網鏈路與外界溝通，租借鏈路的質量也會有高有低。通常的做法是基于帶寬進行負載均衡，將訪問流量均勻的分配出去。這時就會出現一個問題，有些企業核心業務或語音視頻等需要高質量帶寬保障的業務會分配到低質量鏈路中去，從而對企業網絡業務應用產生負面的影響。況且以目前國內網絡的現狀，也無法輕易的斷定哪些鏈路是高質量鏈路，哪些鏈路的質量不好?，F在思科ISR 4451-X的智能路由功能可以完善的解決這方面的問題:用戶只需要在思科ISR 4451-X上定義好流量控制策略，ISR-4451-X會自動學習流量特征并加以分類匯聚，同時ISR-4451-X將對所連接的鏈路進行測量，最后控制應用流量由相應用網絡出口進行傳輸。本次，我們看到了思科工程師的智能路由簡單功能示意：

通過ISR-4451-X應用識別引擎(NBAR2)對內網業務進行識別，并制定相關策略分為語音業務、核心業務以及其它業務(剩余所有網絡應用)后，在路由器兩個外網端口上分別接入電信與聯通Interneet鏈路。在路由器上設置1鏈路延遲大于30ms后語音業務切換到2鏈路、延遲大于60ms后核心業務切換到2鏈路、延遲大于90ms后其它業務切換到2鏈路。之后發與路由策略相符合的業務流與對端進行正常通信。此時所有業務流均通過1鏈路與對端保持通信。加大電信延遲到30ms后，查看到策略相關語音業務切換到鏈路2傳輸。延遲變為70ms后查看到策略相關核心業務應用流量切換到鏈路2傳輸。延遲大于90ms后所有業務均自動切換到了2鏈路進行傳輸。成功實現了按鏈路傳輸質量選擇應用智能傳輸的路由管控目的。當然，用戶還可以根據自身網絡應用需求在多條外接鏈路上更加靈活的進行相關路由傳輸設置。

用戶在進行網絡業務應用時，不但有網絡質量問題，還存在網絡接入帶寬成本問題。如何在保質保量的情況下，盡可能減少網絡接入成本?目前最常用的手段是單獨的采用廣域網優化技術進行優化?，F在思科ISR 4451-X也同樣具備了單邊加速廣域網優化這項功能。在思科測試人員的展示中，當ISR-4451-X開啟廣域網優化功能后，從流量實時監控界面中可以直觀的看到，在功能開啟前，收發流量帶寬基本持平，開啟廣域網優化后，接收帶寬在短時間內極速下降，廣域網優化效果十分明顯。

全面穩健的數據轉發

通過上面的應用功能介紹，我們了解到思科ISR 4451-X路由器已經具備了基于應用的智能路由管控功能。然而這些應用路由功能穩定性與可靠性是否可以滿足目前網絡的應用需求呢?為此，我們在思科上海研發測試實驗室再一次對思科ISR 4451-X路由器的網絡及應用處理性能進行了一次全面的測試。本次測試采用的是IXIA XM12測試儀表與IxNetwork、IxLoad測試軟件，對思科ISR 4451-X路由器的2對千兆網絡接口在網絡層和應用戶的網絡處理性能進行了測試。

流量轉發——實用論英雄

談到產品測試，有必要對產品測試的指標結果進行一下分析。當前在路由器與交換機的產品性能測試指標中，數據包轉發速率(PPS)(每秒鐘內數據包轉發數量)無疑是考查產品性能的重要指標。數據包轉發速率做為路由器與交換機的主要性能指標是有其必然存在的道理。最小數據包長的數據包轉發性能，本身就是設備網絡處理能力的最直觀體現，通過數據包轉發率×數據包長×字符位還可以得到可用帶寬的信息。然而，從目前網絡應用實際流量的角度來看，僅僅依靠數據包轉發速率越來越無法直觀的對產品的網絡處理性能進行判斷了。原因有以下幾點：

一、小數據包轉發速率與網絡應用流量性能不符

小數據包(64Byte)轉發速率確實可以真實地反應出一款產品的網絡轉發性能。但現在發現，在實際網絡應用中，小數據包的實際網絡傳輸中占有的比例還不到1%。根據對不同網絡業務應用的統計，發現網絡傳輸的數據包平均長度基本保持在600Byte-700Byte之間。

以此來計算，小數據包性能達到線速的話，在實際應用中將會有90%左右的處理性能空置。這必然會導致硬件投入成本、產品使用功耗等網絡運營成本的提升。

二、數據包轉發速率與網絡流量帶寬不匹配

要想減少投入成本，避免處理性能空置，就必然要對數據包轉發處理性能進行調整。然而，數據包轉發處理性能進行調整后又會引發第二個問題，那就是數據包轉發速率與網絡流量帶寬不匹配。我們再也無法簡單依據小數據包轉發性能對產品可滿足網絡帶寬流量進行直觀分析。

三、單一功能測試無法對產品功能性全面評估

同時，隨著路由器中網絡應用管理控制功能的不斷加強，單一的網絡性能轉發自然也無法對產品網絡綜合應用性能進行分析。

要想對網絡產品實際應用性能進行全面了解決，還需要轉換一下方法和思路。因此，在思科ISR 4451-X路由器的網絡性能測試中，我們不但對其關鍵功能的網絡性能分別進行了測試，還特意采用64Byte、512Byte、1518Byte三種不同包長數據包轉發性能分別進行測試。并將相關數據轉換成網絡層流量(吞吐量)加以對比分析。測試分析結果如下：(參見數據包轉發性能測試結果)

思科ISR 4451-X路由器數據包轉發性能測試結果

在64Byte數據包轉發性能測試結果中，我們可以直觀并且明顯的看到，思科ISR 4451-X路由器在加載不同路由及管理控制功能后，數據包轉發處理性能出現的明顯的變化。在功能負載最低的單播路由轉發時，轉發處理性能最高，可以達到290萬數據包每秒(2902622pps)以上。單播逆向路由檢測(uRPF)時對設備性能影響不大，轉發性能在261萬以上(2613722pps)。在設備上加載4萬條管理控制策略后，轉發性能為接近223萬(2229100pps)，加載4萬管理控制策略并開啟uRPF后，性能又有所減低，在205萬(2046334.5pps)左右。流量管理控制(QoS)與Netflow對設備處理性能要求略高，轉發流量分別為144萬(1440442.5pps)與182萬左右(1815984pps)。

64Byte數據包轉發性能可以直觀的了解產品不同功能的網絡數據處理能力，然而我們要如何對處理性能是否滿足實際應用需求進行判斷呢?為此，選用RFC2544定義的7種標準測試包長中與當前網絡轉發平均包長相近的512Byte數據包與最長的1518Byte數據包轉發性能進行了測試(在此向為此飽受折磨的思科測試工程師表示最高敬意!!!)。

思科ISR 4451-X路由器在512Byte與1518Byte的轉發速率均達到了其2Gbps的最高限速，但在測試圖表的直觀對比中，由于數據包長度增加與轉發帶寬的限制，我們所看到的是，轉發處理性能節節下降。512Byte轉發速率均在接近50萬pps之內，1518Byte轉發速率均在16.5萬pps左右。

雖然通過這個測試結果，我們可以了解到，思科ISR 4451-X路由器在不同功能下的轉發處理能力均在實際網絡應用處理性能的三倍以上(與512Byte轉發性能進行對比)在有些對設備網絡處理性能要求不高的功能上，處理性能甚至在實際網絡處理需求5倍以上。這樣的網絡處理能力設計，充分考慮到了用戶在實際網絡應用中，在設備上加載不同路由轉發、管理控制及網絡應用功能后的網絡處理能力需求，自然可以全面穩健的對網絡數據流量進行轉發。

但用戶如果對數據包與轉發速率的關系不太了解，就無法直觀的對測試結果是否可以滿足自身網絡應用需求進行判斷。于是，我們將數據包轉發速率的結果轉換成了網絡流量(吞吐量 Throughput)后重新進行了一次對比。(對比結果參見吞吐性能測試結果)

思科ISR 4451-X路由器吞吐量性能測試結果

在吞吐量性能測試結果中，在64Byte數據包流量轉發時，為了保障設備在加載其它網絡功能時的流量處理能力，在對設備性能影響最小的單播路由轉發性能上，ISR-4451-X的處理能力依然接近了2Gbps。在隨后加載不同功能的流量轉發中，ISR-4451-X的網絡流量處理能力均產生了不同程度變化，但最低的流量轉發性能也保持在1.2Gbps以上，為多種網絡管理控制功能共同加載所需的處理能力預留了十分充裕的系統處理資源。

而在512Byte數據包流量轉發時，由于ISR-4451-X對轉發性能進行了嚴格的限制，因此即便我們采用的是2對千兆鏈路雙向進行的測試，但各項測試的結果依然保持在2.09Gbps左右(比公開發布的性能指標略高)1518Byte數據包流量依然如此。由此我們可以我們可以直觀的對思科ISR 4451-X路由器的網絡數據轉發流量進行了解，清楚觀察到ISR-4451-X的數據流量轉發處理能力雖然被限制在了2Gbps左右，但保留了十分充裕的網絡應用處理性能，完全可以滿足多種網絡應用功能的綜合應用。

轉發延時——極速高效

思科ISR 4451-X路由器時延性能測試結果

要想保障網絡應用的穩定可靠運行，不但需要有高性能的網絡數據轉發性能，網絡數據轉發時，時延過高也會影響網絡數據的正常傳輸。尤其是在一些與語音、視頻相關的網絡應用業務上，對網絡轉發時延的性能會有更高的要求。我們同樣對思科ISR 4451-X路由器在不同網絡功能下的網絡時延性能在不丟包的情況下進行了測試。測試結果表明：ISR-4451-X路由器具備非常出色的網絡數據轉發時延性能。在64Byte、512Byte時，網絡時延基本保持在20微秒左右(20650納秒到27884納秒之間)。1518Byte時，由于數據包長度變大，時延略有增長，但也始終保持在46微秒左右(44952納秒—46281納秒)。這個轉發性能，基本達到了千兆網絡產品數據轉發性能的極限，顯示出了十分高效的網絡時延轉發性能。

應用性能——務實求真

既然路由器也已經進入了“下一代”，那么我們更需要對它的網絡應用處理能力進行更進一步的了解。在對網絡應用性能測試時，我們現在比較關注的有以下三個指標：新建連接處理能力、并發連接保持能力以及應用層網絡流量。和網絡層的數據包轉發性能一樣，在應用層中的性能指標也不可以用簡單的“比數”(誰的指標數字高，誰的產品處理性能就好)，來進行判斷。

那么要以什么來做為評判依據呢?應用需求自然要通過應用行為來進行分析。客戶端是每個網絡用戶所必需的網絡應用工具，在此我們不妨通過客戶端在網絡應用中的極限應用需求來做一下分析：每個用戶使用的客戶端占用1Mbps網絡帶寬，每秒鐘發起10次網絡應用鏈接請求，同時保持200個網絡應用連接。

以此推算，思科ISR 4451-X路由器的2Gbps的數據流量轉發處理能力可以滿足2000個用戶(客戶端)網絡帶寬應用需求。為此，ISR-4451-X提供每秒2萬次的新建連接處理能力，以及提供20萬網絡并發連接處理能力，就可滿足實際網絡應用需求了。那ISR-4451-X的網絡應用處理能力可以達到多少呢?我們同樣實地進行了一次測試。

在本次測試中，我們對思科ISR 4451-X路由器在防火墻和NAT功能開啟情況下的新建連接處理能力和并發連接保持能力進行了測試。測試結果表明：思科ISR 4451-X路由器在啟用防火墻功能后，依然可以提供每秒鐘5萬新建連接以上的網絡應用連接處理能力。在僅開啟NAT情況下，新建連接處理能力更提升到了接近8萬新建連接每秒。這個新建連接處理能力，完全可以滿足用戶在ISR-4451-X上加載不同網絡應用管理控制功能后的網絡應用處理需求了。

在并發連接性能測試中，思科ISR 4451-X路由器無論是防火墻還是在NAT功能開啟情況下，均可以達到同時保持320萬并發連接的網絡應用處理能力。

同時，我們還利用IXIA測試儀表模擬了在幾種不同網絡應用情況下，思科ISR 4451-X路由器應用識別的應用處理性能。在多種網絡應用同時進行數據傳輸時，ISR-4451-X依然可以對不同應用進行準確識別，并且可以保持設備設定的2Gbps的網絡流量進行數據轉發。同樣，無論是在NAT功能下還是在防火墻功能下，ISR-4451-X也始終可以保障2Gbps的數據轉發流量。

為什么思科ISR 4451-X路由器的應用處理能力會高于我們的推算結果呢，原因和數據包轉發處理性能相同，適當的提升新建連接處理速率，可以滿足多種不同網絡管理及應用識別功能同時開啟后對設備處理能力的實際應用需求。但是思科ISR 4451-X路由器并發連接保持能力為什么會比正常應用需求高出300萬那么多呢?要知道，2G寬帶20萬并發連接，只是我們以正常網絡應用處理來進行計算，可是當網絡中發生異常，有應用瘋狂建立網絡連接暫時無法處理時，或者用戶有特殊的網絡應用需求，需要占用大量網絡連接時，就會需要有一個足夠大的“池子”把這些網絡應用連接給容納進去，從而有效的保障網絡應用數據轉發的可靠平穩進行。ISR 4451-X提供了一個三百萬并發的大“池子”應當可以為網絡應用連接提供一個充分的保障了。

立足應用 穩健網絡

通過以上網絡應用識別、管理功能以及網絡層、應用層網絡性能的測試，我們可以了解，思科ISR 4451-X路由器具備了基于應用的智能路由管理控制功能，并且具備著十分穩健的網絡數據轉發處理性能。不僅如此，在測試中，思科ISR 4451-X在建立4000條IPSec通道后，依然可以保證2Gbps的IPSec網絡數據轉發流量。同時還可以支持思科的OTV與VxLAN協議(此方面內容將在思科1000V虛擬路由器評測中詳細進行分析)，可以跨地域的令企業總部與分支機構網絡連為一體。從而更加有效的對企業網絡業務應用進行統一控制管理。立足應用、穩健網絡使思科ISR 4451-X路由器可以更加深入細致的對網絡應用進行管理，并且使網絡應用數據在一個穩健可靠的平臺上進行轉發處理。從而滿足了企業用戶基于應用對網絡業務進行分析管理，可靠進行數據傳輸的實際應用需求。