F5与Radware的对比说明.doc

1. 公司状况对比1.1 Gartner的市场分析图：可以看到，F5处于领导者地位，Radware与F5的差距是非常大的。1.2 DellOro Group的市场占有率分析（端口数）从上图可以看出，Radware的市场占有率和F5相比还有很大的距离，并且该距离在越走越大。2. 设备硬件架构对比2.1 Radware产品的硬件架构下图是Radware设备的内部结构，我们可以看到Radware所谓的交换机架构其实是一个交换板同一台PC机器通过2个PCI的接口接合起来的。所以其架构是基于PC的架构，处理能力也非常差，所谓的ASIC架构只是交换板部分的接口部分的2层ASIC，这种ASIC只有设备在做2层转发的时候才具有实际的意义，而负载均衡设备都是工作在47层，此时Radware 所谓的ASIC无法对47层的处理进行优化。 其所谓的NP 处理器也只是在其高端产品上（3020以上平台）才有使用，并且其NP对外通讯只具备3个千兆端口，因此在很大程度上会影响到系统的扩展性。在NP的设计理论中，一个NP的最佳运行状态应当是运行单个应用，并且不适合于复杂的七层信息处理，因此Radware的NP基本上仅用于四层交换，而其他的功能大部分在CPU内完成。在6000以下平台，均采用500Mhz的Motorola Power PC 7410作为核心CPU，该CPU在1999年时是作为Apple G4电脑的核心处理器，是一个已经过时很久的产品。在最高端的6000平台上，也只采用了1.7Ghz主频的产品，即使在RISC芯片家族中，也是一个非常落后的一个CPU产品。在处理复杂内容如字符串检索、内容替换等功能时时，单纯精简指令的RISC CPU就比RISC、CISC混合指令集的CPU存在非常大的差距了。因此在Radware设备上根本无法完成F5产品所具有的灵活多变的功能，而只能实现简单、固定的功能。使用户的投资无法得到保证。2.2 F5产品的硬件架构 F5的V9系列产品是第六代应用交换机（Radware的产品属于第四代应用交换机架构，已经远远落后于F5 V9系列产品了），其设计结构更加适合47层流量的处理，特别是独有的4层ASIC芯片的设计，大大提高了设备的4层处理能力，2颗64位的CPU可以确保每秒110,000个7层的新建连接。 F5 硬件平台的交换芯片采用Broadcom 的芯片，提供了强大的端口处理能力，确保了F5产品的高性能。 PVA芯片的出现体现了F5 强大的硬件设计能力，PVA芯片为业界首个也是唯一的专门处理四层交换的ASIC芯片，从PVA1到PVA10最大可支持到10Gbps的吞吐能力。因此赋予了F5 BIGIP高速无阻塞交换能力。F5硬件平台里面也集成了Cavium硬件的SSL加速芯片，使得F5的BIGIP系列产品最高可以支持32,000TPS, 500,000SSL的并发连接，这些都是业界领先的。Radware的SSL加速需要额外的一款设备CertainT100来完成，其性能非常之差，以至于至今在国内还无使用的客户，在相关的测试中，甚至不如国产的SSL加速设备。 另外在F5的硬件平台里面也可以集成硬件的压缩卡，提供高性能的硬件压缩功能，而Radware需要单独采用另外一款设备CertainT100来完成此项工作。3. 设备软件架构对比3.1 Radware的软件架构Radware产品均基于VxWorks操作系统开发，其主要是用于在工业控制中的现场总线等小流量，实时性要求较高的场合使用。其结构比较精简，对硬件的支持很弱。因此对Radware带来大量的研发工作。代码的修改、维护都很不方便。不适合用在在处理互联网大流量处理。固定的内存分配机制导致在工程师上线系统的时候经常需要手工调整内存来适应不同的客户需求。否则就会导致系统的死机和停机。系统开发的复杂性也导致Radware产品功能单一，在一个设备中仅能提供一种功能，如果用户需要较多功能就需要购买Radware很多盒子。3.2 F5的软件架构如图：在每台F5 BIGIP设备中，均存在有3个操作系统，其中Host OS主要负责系统的管理，如Web页面管理、服务器健康检查和SNMP等。TMM 微内核主要用于处理业务流量，TMM Micro Kernel直接控制PVA、交换芯片、CPU和内存，保证业务流量的最高优先级执行。SCCP主要实现系统的带外管理，具有独立的PowerPC CPU、内存和存储介质。SCCP使系统在任何情况下均属于可管理状态。在TMM微内核中，完全采用模块化搭建系统功能。Full Proxy结构实现的数据零拷贝技术使TMM在实现高速数据转发功能的时候实现丰富的功能。iControl的API接口提供了系统的二次开发接口，用户可以通过iControl接口开发定制化的系统数据采集和管理平台。4. 广域负载技术对比要点F5：独特的Inbound算法：Return to DNS, Round Robin, Ratio, Topology, Static Persist, Global Availability, VS Capacity, Least Connections, Round Trip Time, Hops, Packet Rate, CPU, Completion Rate, QOS, Kilobytes/second, Drop Packet, Fallback IP, and Connection Rate.Radware: 只能选择一种算法，基本只能依靠动态就近性算法因为Internet用户访问性能主要受链路质量（其中南北电信互联互通问题最为严重）影响，所以F5的动态探测和静态拓扑相结合是好的选择；动态探测需要侦测客户段的本地DNS服务器，不是所有本地DNS服务器都让侦测的（受安全策略，负载均衡的影响），而F5支持三个优先级算法，一般Topology+None+RTT，还可以使用Qos算法，Radware的动态就近性算法类似于F5的RTT算法，解析正确率不高，并且不像F5那样能够非常清楚的看到侦测结果。5.目前使用F5广域负载均衡产品客户列表 5.1 ICP行业l ChinaCache中国第一家CDN服务商l Tom.Com l Sina 新浪l Sohu 搜狐l Tencent QQl 21DNNl 21CNl 新华网l 阿里巴巴l 华奥星空 5.2 移动电信类行业l 中国移动(超过200台F5的Bigip和3DNS负载均衡产品)：WAP 移动网关、MMS彩信、彩铃系统、1860 call center / Customer Service System、移动电子商务、小额支付、BOSS、OAl 中国联通(超过80台F5的Bigip和3DNS负载均衡产品)：WAP网关二期、三期、四期l 中国电信互联星空、DNS服务器负载均衡、游戏中心、链路调度l 中国网通北方十一省流媒体CDN项目5.3 金融证券类行业 工商银行 建设银行 农业银行 中国银行 招商银行 光大银行 民生银行 交通银行 深发展银行 人民银行 中国证券登记网 银河证券 北京证券 华夏证券 广发证券 世纪证券 招商证券 平安证券 华西证券 联合证券附件： F5 与Radware的产品对比概况列表关键对比点F5Radware说明公司背景四七层交换市场占有率达到35%，市场占有率第一，并且在不断上升中四七层交换市场占有率仅7%，并且在不断萎缩大多数的用户选择证明F5全面优于Radware，其市场占有率只有F5的1/5Gartner评测中F5位于领导象限中的最高点2006年从2005年在领导象限中排末位掉到了领导象限之外第三方的权威评测机构也能说明整体的发展趋势从1999年上市一直在盈利，具备充足的研发和扩展能力已经连续两个季度亏损，后续发展乏力，产品架构从2002年ASIII之后就没有新的发展Radware在传统的欧洲市场、韩国市场和澳洲市场均已被F5彻底击败硬件架构强大的中央处理+ASIC+交换背板，ASIC负责四层交换，中央处理负责七层交换低端产品采用PowerPC+switch，高端产品采用NPNP不具备强大的七层处理能力，并且开发复杂，对于新技术、产品的Bug等修复能力很差除了最低端的1500之外，所有的产品均配备ASIC四层加速芯片，从PVA1到PVA10，吞吐能力从1G扩展到10G。采用Broad最新HiGiga 10G接口实现内部交换3020以上平台采用NP处理机制，但中央处理器为500Mhz到1.7Ghz的低端CPU，单个NP具备3个千兆网卡接口Radware号称的全线ASIC只是一个二层交换芯片的说法。企图蒙混过关。其内部交换均通过千兆网络端口进行核心CPU采用Intel或AMD的高端64位CPU核心CPU采用Motorola的PowerPC芯片作为核心CPUIntel或AMD的芯片更适合于复杂指令的七层协议处理最大10Gbps的吞吐能力在最高端的6000平台上最大6Gbps的吞吐能力两个NP的处理能力已经达到瓶颈，没有后续扩展能力支持万兆接口支持万兆接口在万兆接口上仅能提供6Gbps的吞吐能力，无法达到线速四层交换采用Flash+硬盘方式仅有Flash卡CF用于安装TMOS，硬盘用于Log纪录，因此F5能提供更加详细的分析信息在高端设备6400/6800可内置HTTP压缩芯片，最高可到2Gbps的吞吐能力无法内置，需要外挂方式HTTP硬件压缩可以减小核心CPU占用，实现高带宽吞吐能力SSL处理可同时支持内置SSL处理和外置SSL处理两种方式仅支持外置SSL处理方式系统部署不灵活，仅外置方式导致系统管理维护复杂内置外置SSL均采用同样的TMOS系统和SSL加解密芯片。可支持数据的多进多出方式外置SSL加速器与APP Directore采用完全不同的系统，从操作系统到界面均不相同Radware的外置SSL加速器为纯PC架构，最大接口能力只能是一个百兆端口加一个千兆端口内置SSL加速芯片，可同时处理SSL非对称加解密和对称加解密，最高可到32000TPS，6Gbps吞吐能力SSL加速只能采用外挂方式外挂方式的系统效率很低，数据包多次往返同一台设备，并且只能处理非对称加解密。吞吐能力不超过200Mbps软件专有设计TMOS系统，具有四-七层处理优异的性能和良好的扩展能力嵌入式操作系统，处理能力和扩展能力都受到极大的限制功能实现简单，系统CPU，内存支持都很受限制 管理系统+微内核+独立带外管理系统，业务流量主要由微内核处理整台设备采用一个操作系统运行分离式操作系统保证系统业务流量和管理流量独立处理分离，系统稳定，可靠更合理的使用内存资源，最大可到8G，内存自动分配，对不同功能所占用的内存进行合理分配，各功能间不会互相强占资源。最大内存支持512M，共享很小的内存资源，内存分配混乱，在系统上线时经常需要手工调整内存分配Radware内存管理混乱，很多时候需要手工调整内存参数，在内存调整不当时容易发生死机功能冗余功能具有多种触发条件的切换功能，包括：1、 心跳切换2、 网络切换3、 系统进程监控切换最短时间可达毫秒级自身原有的ARP切换方式由于设计问题，无法使用，后采用VRRP切换方式Radware所谓“标准”VRRP切换也只是各厂商自行实现的切换方式，不同厂家设备之间绝对不可能通过VRRP来进行互相切换的。VRRP切换方式的切换速度慢。并且每个VIP都需要捆绑VRRP，造成配置复杂支持连接镜像功能，实现切换时用户无中断号称支持连接镜像功能Radware由于其内存分配机制，在进行复制时极其不稳定，基本无法使用支持iRules可编程控制语言，灵活控制流量无此项功能。系统功能无法自定义扩展iRules具备50多个事件，200多个函数，可采用标准TCL语言对流量进行处理支持Syn cookie防DDOS攻击能力，在高端产品如8400上完全使用ASIC芯片处理DDOS攻击，性能出众。在购买额外的软件License之后可支持安全防护功能由于硬件本身处理能力的性能问题，防DDOS攻击能力远远弱于F5设备，其余的安全防护功能耗费资源太大，在实际上线的时候仅可启动少数几种可配置HTTP压缩模块，在高端设备6400以上可选配硬件压缩卡不支持此项功能，需要额外设备支持HTTP压缩可以节省链路带宽占用，提高客户端响应速度可选配Web Accelerator加速模块，可大幅度提高Web应用处理速度不支持此项功能Web Accelerator支持动态Cache、浏览器行为控制，可对大部分的Web应用系统进行加速可加入ASM应用安全处理模块，采用正向安全策略严格保护Web应用安全只有负向安全策略，没有真正的Web应用安全防护功能Radware应用安全模快由于资源消耗太大，通常不会开启。负向安全策略无法防范未知的攻击手段全局负载均衡GTM:支持多级流量分配机制，支持动态、静态地址分布、流量、连接数等多种负载均衡算法可以与F5 BIGIP、LC、FirePass完全互动，实现流量分配的最佳定向。也可独立运行，同时可兼容如Cisco、Nortel等其他竞争厂家产品。支持全域名解析如SOA，MX记录等解析。保证业务的全兼容性和部署的灵活性WSD-NP必须与负载均衡设备绑定，很少的全局负载均衡算法。单台设备同时处理全局负载均衡和本地负载均衡带来很大的安全隐患。仅支持与Radware AppDirector 配合，与其自身的LinkProof都无法协同工作Radware的全局负载均衡仅仅是简单的在四层交换机上增加了一个DNS解析模块，只能实现A记录解析，功能单一，在国内很少有用户使用。而F5 3DNS和GTM在国内外均有大量的实施案例链路负载均衡LinkController:支持多级负载均衡机制，灵活的负载均衡算法。准确地就近性判断机制和多级负载均衡算法选择保证了用户通过最佳链路访问。iRules支持可实现灵活的路由策略选择可通过HTTP压