应用识别、应用流量管理、应用可视化……以应用管理控制为基础的下一代防火墙[注]技术的出现，使厂商们开始为下一代防火墙赋予越来越多的网络应用管理控制功能。随着下一代防火墙网络管理控制能力的提升，我们不由得产生了一个疑问——我们还需要使用路由器吗?

这个问题可以从两个方面进行分析：从集中统一管理的角度来讲，功能不断增强的下一代防火墙无论是在路由协议、NAT、VPN等方面的功能性上，已经具备了全面替代路由器的技术能力。然而换一下角度，从网络可靠性、稳定性的角度来看，下一代防火墙是一款网络安全设备，功能着重点在于网络威胁的安全防护，当下一代防火墙取代路由器后，一但有网络威胁或网络攻击发生，防火墙系统资源被大量占用后，网关的正常数据转发及网络应用也将受到极大影响，甚至会有网络连接中断的不良情况出现。这将对网关的稳定性及可靠性产生极大的影响，在一些对网关稳定性及可靠性有较高要求的企业，这种影响是会是无法忍耐的。

那么，可否有一款注重网络数据转发，同时具备应用识别、流量管理、应用可视的“下一代”路由器出现，同时满足用户网络应用集中统一管理与网关传输可靠性的应用需求呢?思科新近推出的ISR-4451-X就是这样一款具备网络应用管理控制能力的“下一代”路由器产品。

思科ISR 4451-X 集成服务路由器

思科ISR4451-X集成服务路由器最近获得interop的2014年度最佳硬件设计奖，它通过多核的硬件平台，智能集成市场领先的数据传输、统一通信、安全、应用服务能力。还能通过集成USC-E模块，将一个小型化的数据中心放入一个2U大小的盒子中。作为一款提供全面7层服务内部托管到分支机构的路由器，ISR4451-X能在多业务并发环境下提供多达2Gbps的处理能力, 同时提供多达10G的内部交换能力，充分满足分支机构网络日益增加的、基于应用的多业务需求。

ISR4451-X在传统的路由器基础上, 提供了丰富的应用识别、应用优化和安全传输业务，并且通过集成的ISR-WAAS技术, 无需任何额外的模块即可支持应用加速业务。支持UCS-E小型化刀片服务器模块, 可以提供6核心的CPU处理能力, 支持多达48G内存和3TB硬盘存储, 实现了一个小型化的数据中心处理能力。用户可以安装虚拟的无线控制器，ISE身份识别引擎等多种服务进一步扩展ISR4451-X的有线无线统一融合能力。在支持多种广域接口模块的同时，也整合了传统的中继线语音网关/IP语音网关业务，并且支持PoE供电的接口或24/48端口PoE交换机模块，IP话机和无线AP可以非常便捷的接入到网络中。

思科ISR 4451-X 集成服务路由器(正反面)

基于应用的智能路由

通过基于应用的识别与管理控制，下一代防火墙抢占了路由器的大部份市场。那么思科ISR 4451-X能否在应用识别与管理控制上重新恢复失地呢?下面，我们来看一下思科ISR 4451-X在“应用路由”方面又有了什么样的全新体验。

应用识别 可管可控

在2013年对思科ASR1000路由器进行测试时，思科的路由器中就已经加入了NBAR2这种应用识别功能，现在ISR 4451-X也集成了全新的Cisco NBAR2应用识别引擎。目前NBAR2已经内置了含有1200种以上的应用识别特征库，并且用户可以自由的根据端口、地址段、特定字段、域名、文件名等，对应用进行特别定制，从而更加灵活的对网络应用进行管理。

同时，Cisco NBAR2还可以基于应用进行多级QoS调度，对整个广域网接口按照租用带宽进行限速后，将各种网络应用按不同优先级分类，进行网络应用带宽保障，从而确保企业核心网络应用的带宽流量不被侵占。

应用流量 实时监管

了解网络应用流量构成，并且通过图形化的实时监管进行分析，这是下一代防火墙最吸引用户关注的功能之一。现在思科ISR 4451-X也可以完成这项工作。思科ISR 4451-X通过Cisco NBAR2应用识别引擎可以精确灵活的对网络实时应用情况进行分析，并通过Flowdia网络性能分析控制系统对设备应用流量进行查询，即可按时间段、流量、应用类型、占用带宽、用户数等分别进行排序查询。以图文的方式，形象地将网络应用情况一一罗列出来。方便用户对网络应用流量占用情况进行分析监管。

应用质量 可视分析

网络故障的问题定位，始终是网络运维的日技术难点之一。得益于应用识别与应用可视化，我们可以对一些网络应用问题进行迅速定位，并通过相关网络设置加以缓解。然而，在实际网络应用过程中，还常会出现一些“未知”的网络应用问题，当网络中的应用或服务出现故障时，通过应用识别与应用可视化也无法进一步了解，在对网络应用问题的深度挖掘与性能调优时，应用识别及应用可视化也会力不从心。具体是由于服务器端出现故障，还是现有网络中所存在的问题，还是要靠排除法费时费力的去一一验证。

现在，思科ISR 4451-X，不仅可以完成应用识别与应用可视化，还可以对网络应用质量进行实时的分析，并及时对网络应用问题进行定位。这不是简单依靠一套应用识别引擎可以做到的。思科ISR 4451-X上，通过Netflow功能可以导出详细的用户访问及网络质量统计，在通过Flowdia网络性能分析控制系统对数据进行分析后，用户可以轻松的了解到客户端应用请求到路由器的延迟时间、路由器通过广域网链路时的延迟时间以及服务器端响应的延迟时间，通过总延迟中这三段时间所占用比例，用户可以轻易分析出网络应用质量下降是由于内部网络环境问题、广域网链路问题还是应用服务器所出现的问题，从而准确对故障进行定位。并且还可以通过网络性能可视化图表直观的对网络中不同应用传输性能进行直观分析。

性能回溯 行为审计

ISR4451-X可以支持1:1的Netflow采样，配合Flowdia网络性能分析控制系统，可以对用户的每个应用访问进行精确的审计，当用户对网络性能故障进行报障投诉时，可以在数秒内查询到用户应用性能日志，进行实时化的故障分析。同时对于用户的违规访问可以做到精确的实时的回溯审计分析。

智能路由 外网加速

在国内，通常企业会租借多条不同外网链路与外界沟通，租借链路的质量也会有高有低。通常的做法是基于带宽进行负载均衡，将访问流量均匀的分配出去。这时就会出现一个问题，有些企业核心业务或语音视频等需要高质量带宽保障的业务会分配到低质量链路中去，从而对企业网络业务应用产生负面的影响。况且以目前国内网络的现状，也无法轻易的断定哪些链路是高质量链路，哪些链路的质量不好。现在思科ISR 4451-X的智能路由功能可以完善的解决这方面的问题:用户只需要在思科ISR 4451-X上定义好流量控制策略，ISR-4451-X会自动学习流量特征并加以分类汇聚，同时ISR-4451-X将对所连接的链路进行测量，最后控制应用流量由相应用网络出口进行传输。本次，我们看到了思科工程师的智能路由简单功能示意：

通过ISR-4451-X应用识别引擎(NBAR2)对内网业务进行识别，并制定相关策略分为语音业务、核心业务以及其它业务(剩余所有网络应用)后，在路由器两个外网端口上分别接入电信与联通Interneet链路。在路由器上设置1链路延迟大于30ms后语音业务切换到2链路、延迟大于60ms后核心业务切换到2链路、延迟大于90ms后其它业务切换到2链路。之后发与路由策略相符合的业务流与对端进行正常通信。此时所有业务流均通过1链路与对端保持通信。加大电信延迟到30ms后，查看到策略相关语音业务切换到链路2传输。延迟变为70ms后查看到策略相关核心业务应用流量切换到链路2传输。延迟大于90ms后所有业务均自动切换到了2链路进行传输。成功实现了按链路传输质量选择应用智能传输的路由管控目的。当然，用户还可以根据自身网络应用需求在多条外接链路上更加灵活的进行相关路由传输设置。

用户在进行网络业务应用时，不但有网络质量问题，还存在网络接入带宽成本问题。如何在保质保量的情况下，尽可能减少网络接入成本?目前最常用的手段是单独的采用广域网优化技术进行优化。现在思科ISR 4451-X也同样具备了单边加速广域网优化这项功能。在思科测试人员的展示中，当ISR-4451-X开启广域网优化功能后，从流量实时监控界面中可以直观的看到，在功能开启前，收发流量带宽基本持平，开启广域网优化后，接收带宽在短时间内极速下降，广域网优化效果十分明显。

全面稳健的数据转发

通过上面的应用功能介绍，我们了解到思科ISR 4451-X路由器已经具备了基于应用的智能路由管控功能。然而这些应用路由功能稳定性与可靠性是否可以满足目前网络的应用需求呢?为此，我们在思科上海研发测试实验室再一次对思科ISR 4451-X路由器的网络及应用处理性能进行了一次全面的测试。本次测试采用的是IXIA XM12测试仪表与IxNetwork、IxLoad测试软件，对思科ISR 4451-X路由器的2对千兆网络接口在网络层和应用户的网络处理性能进行了测试。

流量转发——实用论英雄

谈到产品测试，有必要对产品测试的指标结果进行一下分析。当前在路由器与交换机的产品性能测试指标中，数据包转发速率(PPS)(每秒钟内数据包转发数量)无疑是考查产品性能的重要指标。数据包转发速率做为路由器与交换机的主要性能指标是有其必然存在的道理。最小数据包长的数据包转发性能，本身就是设备网络处理能力的最直观体现，通过数据包转发率×数据包长×字符位还可以得到可用带宽的信息。然而，从目前网络应用实际流量的角度来看，仅仅依靠数据包转发速率越来越无法直观的对产品的网络处理性能进行判断了。原因有以下几点：

一、小数据包转发速率与网络应用流量性能不符

小数据包(64Byte)转发速率确实可以真实地反应出一款产品的网络转发性能。但现在发现，在实际网络应用中，小数据包的实际网络传输中占有的比例还不到1%。根据对不同网络业务应用的统计，发现网络传输的数据包平均长度基本保持在600Byte-700Byte之间。

以此来计算，小数据包性能达到线速的话，在实际应用中将会有90%左右的处理性能空置。这必然会导致硬件投入成本、产品使用功耗等网络运营成本的提升。

二、数据包转发速率与网络流量带宽不匹配

要想减少投入成本，避免处理性能空置，就必然要对数据包转发处理性能进行调整。然而，数据包转发处理性能进行调整后又会引发第二个问题，那就是数据包转发速率与网络流量带宽不匹配。我们再也无法简单依据小数据包转发性能对产品可满足网络带宽流量进行直观分析。

三、单一功能测试无法对产品功能性全面评估

同时，随着路由器中网络应用管理控制功能的不断加强，单一的网络性能转发自然也无法对产品网络综合应用性能进行分析。

要想对网络产品实际应用性能进行全面了解决，还需要转换一下方法和思路。因此，在思科ISR 4451-X路由器的网络性能测试中，我们不但对其关键功能的网络性能分别进行了测试，还特意采用64Byte、512Byte、1518Byte三种不同包长数据包转发性能分别进行测试。并将相关数据转换成网络层流量(吞吐量)加以对比分析。测试分析结果如下：(参见数据包转发性能测试结果)

思科ISR 4451-X路由器数据包转发性能测试结果

在64Byte数据包转发性能测试结果中，我们可以直观并且明显的看到，思科ISR 4451-X路由器在加载不同路由及管理控制功能后，数据包转发处理性能出现的明显的变化。在功能负载最低的单播路由转发时，转发处理性能最高，可以达到290万数据包每秒(2902622pps)以上。单播逆向路由检测(uRPF)时对设备性能影响不大，转发性能在261万以上(2613722pps)。在设备上加载4万条管理控制策略后，转发性能为接近223万(2229100pps)，加载4万管理控制策略并开启uRPF后，性能又有所减低，在205万(2046334.5pps)左右。流量管理控制(QoS)与Netflow对设备处理性能要求略高，转发流量分别为144万(1440442.5pps)与182万左右(1815984pps)。

64Byte数据包转发性能可以直观的了解产品不同功能的网络数据处理能力，然而我们要如何对处理性能是否满足实际应用需求进行判断呢?为此，选用RFC2544定义的7种标准测试包长中与当前网络转发平均包长相近的512Byte数据包与最长的1518Byte数据包转发性能进行了测试(在此向为此饱受折磨的思科测试工程师表示最高敬意!!!)。

思科ISR 4451-X路由器在512Byte与1518Byte的转发速率均达到了其2Gbps的最高限速，但在测试图表的直观对比中，由于数据包长度增加与转发带宽的限制，我们所看到的是，转发处理性能节节下降。512Byte转发速率均在接近50万pps之内，1518Byte转发速率均在16.5万pps左右。

虽然通过这个测试结果，我们可以了解到，思科ISR 4451-X路由器在不同功能下的转发处理能力均在实际网络应用处理性能的三倍以上(与512Byte转发性能进行对比)在有些对设备网络处理性能要求不高的功能上，处理性能甚至在实际网络处理需求5倍以上。这样的网络处理能力设计，充分考虑到了用户在实际网络应用中，在设备上加载不同路由转发、管理控制及网络应用功能后的网络处理能力需求，自然可以全面稳健的对网络数据流量进行转发。

但用户如果对数据包与转发速率的关系不太了解，就无法直观的对测试结果是否可以满足自身网络应用需求进行判断。于是，我们将数据包转发速率的结果转换成了网络流量(吞吐量 Throughput)后重新进行了一次对比。(对比结果参见吞吐性能测试结果)

思科ISR 4451-X路由器吞吐量性能测试结果

在吞吐量性能测试结果中，在64Byte数据包流量转发时，为了保障设备在加载其它网络功能时的流量处理能力，在对设备性能影响最小的单播路由转发性能上，ISR-4451-X的处理能力依然接近了2Gbps。在随后加载不同功能的流量转发中，ISR-4451-X的网络流量处理能力均产生了不同程度变化，但最低的流量转发性能也保持在1.2Gbps以上，为多种网络管理控制功能共同加载所需的处理能力预留了十分充裕的系统处理资源。

而在512Byte数据包流量转发时，由于ISR-4451-X对转发性能进行了严格的限制，因此即便我们采用的是2对千兆链路双向进行的测试，但各项测试的结果依然保持在2.09Gbps左右(比公开发布的性能指标略高)1518Byte数据包流量依然如此。由此我们可以我们可以直观的对思科ISR 4451-X路由器的网络数据转发流量进行了解，清楚观察到ISR-4451-X的数据流量转发处理能力虽然被限制在了2Gbps左右，但保留了十分充裕的网络应用处理性能，完全可以满足多种网络应用功能的综合应用。

转发延时——极速高效

思科ISR 4451-X路由器时延性能测试结果

要想保障网络应用的稳定可靠运行，不但需要有高性能的网络数据转发性能，网络数据转发时，时延过高也会影响网络数据的正常传输。尤其是在一些与语音、视频相关的网络应用业务上，对网络转发时延的性能会有更高的要求。我们同样对思科ISR 4451-X路由器在不同网络功能下的网络时延性能在不丢包的情况下进行了测试。测试结果表明：ISR-4451-X路由器具备非常出色的网络数据转发时延性能。在64Byte、512Byte时，网络时延基本保持在20微秒左右(20650纳秒到27884纳秒之间)。1518Byte时，由于数据包长度变大，时延略有增长，但也始终保持在46微秒左右(44952纳秒—46281纳秒)。这个转发性能，基本达到了千兆网络产品数据转发性能的极限，显示出了十分高效的网络时延转发性能。

应用性能——务实求真

既然路由器也已经进入了“下一代”，那么我们更需要对它的网络应用处理能力进行更进一步的了解。在对网络应用性能测试时，我们现在比较关注的有以下三个指标：新建连接处理能力、并发连接保持能力以及应用层网络流量。和网络层的数据包转发性能一样，在应用层中的性能指标也不可以用简单的“比数”(谁的指标数字高，谁的产品处理性能就好)，来进行判断。

那么要以什么来做为评判依据呢?应用需求自然要通过应用行为来进行分析。客户端是每个网络用户所必需的网络应用工具，在此我们不妨通过客户端在网络应用中的极限应用需求来做一下分析：每个用户使用的客户端占用1Mbps网络带宽，每秒钟发起10次网络应用链接请求，同时保持200个网络应用连接。

以此推算，思科ISR 4451-X路由器的2Gbps的数据流量转发处理能力可以满足2000个用户(客户端)网络带宽应用需求。为此，ISR-4451-X提供每秒2万次的新建连接处理能力，以及提供20万网络并发连接处理能力，就可满足实际网络应用需求了。那ISR-4451-X的网络应用处理能力可以达到多少呢?我们同样实地进行了一次测试。

在本次测试中，我们对思科ISR 4451-X路由器在防火墙和NAT功能开启情况下的新建连接处理能力和并发连接保持能力进行了测试。测试结果表明：思科ISR 4451-X路由器在启用防火墙功能后，依然可以提供每秒钟5万新建连接以上的网络应用连接处理能力。在仅开启NAT情况下，新建连接处理能力更提升到了接近8万新建连接每秒。这个新建连接处理能力，完全可以满足用户在ISR-4451-X上加载不同网络应用管理控制功能后的网络应用处理需求了。

在并发连接性能测试中，思科ISR 4451-X路由器无论是防火墙还是在NAT功能开启情况下，均可以达到同时保持320万并发连接的网络应用处理能力。

同时，我们还利用IXIA测试仪表模拟了在几种不同网络应用情况下，思科ISR 4451-X路由器应用识别的应用处理性能。在多种网络应用同时进行数据传输时，ISR-4451-X依然可以对不同应用进行准确识别，并且可以保持设备设定的2Gbps的网络流量进行数据转发。同样，无论是在NAT功能下还是在防火墙功能下，ISR-4451-X也始终可以保障2Gbps的数据转发流量。

为什么思科ISR 4451-X路由器的应用处理能力会高于我们的推算结果呢，原因和数据包转发处理性能相同，适当的提升新建连接处理速率，可以满足多种不同网络管理及应用识别功能同时开启后对设备处理能力的实际应用需求。但是思科ISR 4451-X路由器并发连接保持能力为什么会比正常应用需求高出300万那么多呢?要知道，2G宽带20万并发连接，只是我们以正常网络应用处理来进行计算，可是当网络中发生异常，有应用疯狂建立网络连接暂时无法处理时，或者用户有特殊的网络应用需求，需要占用大量网络连接时，就会需要有一个足够大的“池子”把这些网络应用连接给容纳进去，从而有效的保障网络应用数据转发的可靠平稳进行。ISR 4451-X提供了一个三百万并发的大“池子”应当可以为网络应用连接提供一个充分的保障了。

立足应用 稳健网络

通过以上网络应用识别、管理功能以及网络层、应用层网络性能的测试，我们可以了解，思科ISR 4451-X路由器具备了基于应用的智能路由管理控制功能，并且具备着十分稳健的网络数据转发处理性能。不仅如此，在测试中，思科ISR 4451-X在建立4000条IPSec通道后，依然可以保证2Gbps的IPSec网络数据转发流量。同时还可以支持思科的OTV与VxLAN协议(此方面内容将在思科1000V虚拟路由器评测中详细进行分析)，可以跨地域的令企业总部与分支机构网络连为一体。从而更加有效的对企业网络业务应用进行统一控制管理。立足应用、稳健网络使思科ISR 4451-X路由器可以更加深入细致的对网络应用进行管理，并且使网络应用数据在一个稳健可靠的平台上进行转发处理。从而满足了企业用户基于应用对网络业务进行分析管理，可靠进行数据传输的实际应用需求。