【IT168专稿】在Cisco ESA系统中，采用的是专用的AsyncOS系统，硬件上采用的是多处理器的邮件架构，产品从C600(双CPU)、C650(四个CPU)发展到现在的C660(八个CPU)。在专用的AsyncOS系统中，对CPU的利用做了特别的优化。传统的多核处理，处理数据时会先选择使用多个CPU中的一个，而优化后，处理任务会均分到各CPU中，这样可以很大程度上避免某一CPU出现过载的情况，加过整体上的处理速度，如下图。

　　不同的硬件型号的配置也不一样，但它们在处理功能上都相同。各型号的具体配置如下图，其中X1060是针对超大型用户设置的型号。

　　作为专用的邮件安全网关，Cisco IronPort没有设计成传统的安装于通用操作系统上的软件形式，而是采用专用的操作系统AsyncOS。AsyncOS系统是一个非常精致、强悍的操作系统，它唯一能做的就是MTA(Mail Transfer Agent 邮件传输代理),专门针对邮件进行处理，与邮件处理无关的任何Internet进程在其中都不存在。AsyncOS系统中最大的并发处理数可以做到10000个，而即使做过优化的通用操作系统因为受限于其通用性而很难做到这样。

　　AsyncOS系统针对邮件传输的特点专门设计了无堆栈线程调度技术。了解操作系统的人都知道，在通用的操作系统中的进程调度都是采用堆栈技术，堆栈技术中有大量的场景计算和现场保护工作，将消耗大量CPU资源。AsyncOS系统还采用了快速的内存访问技术，设计了超大队列存储空间。

　　邮件传输的特点是，传输文件可能有几十万上百万的数量，但文件大小平均下来可能只有几十K，传输中的频繁IO操作会给系统带来很大的性能瓶颈。针对邮件传输的这种特点，AsyncOS系统专门设计了AsyncFS文件系统来解决上述问题。

　　AsyncOS系统在邮件投递过程中采用了多队列投递方式，根据邮件接收方的域名不同采用不同的队列。采用这种方式时，如果某一队列在投递的过程中出现了问题，它不会对其他的队列投递造成影响。

　　AsyncOS系统概况如下图。

　　在IronPort邮件网关中，设计了专门的接收器(Listeners)。接收器是一个后台运行的SMTP(Simple Mail Transfer Protocol 简单邮件传送协议)服务进程，用来处理SMTP的连接请求，使用TCP Port 25，运行接收器之后即可对邮件进行接收和处理。接收器有两种类型：Public和Private。两种类型分别针对邮件的接收和外发，接收来自Internet的邮件时使用Public类型接收器，从内部的邮件服务器转发到邮件WEB中时使用Private类型接收器。Public类型接收器对接收邮件要进行HAT表和RAT表的检查，Private类型接收器对外发的邮件要进行HAT表的检查。

　　IronPort邮件网关中可以配置多个网络接口和多个接收器，这样就可以提供非常大的灵活性。在很多用户的网络中可能划分了非常详细的不同的网络布置，比如说inside、outside,BMZ等，这就涉及到不同的网络区段之间进行通信的问题。提供的多个网络接口，可以在不同的网络接口上配置多个IP地址，可以配置属于不同网段的IP地址，每个IP地址上再创建一个基于IP地址的接收器，这样就可以在部署环境中进行灵活的部署，不论是属于哪个网络区域。

　　在SMTP客户端，以SMTP方式发送邮件时需要对邮件做身份验证，一般来说这个身份验证过程是由邮件服务器来完成的，而IronPort邮件网关也可以承担邮件身份验证的功能，这样用户就可以把用户端直接指到IronPort邮件网关上来做身份验证。这种方式有两个突出的优势：一是可以大大降低客户端对邮件服务器负载的占用;另一个是把客户端发送邮件的过程变成先经过邮件安全网关对邮件地址和内容进行安全检查，这可以通过邮件信誉和内容过滤器来实现。

        上期回顾： 最前沿！思科IronPort邮件网关（一）