博客

UALink聯盟（UALink Consortium）正式成立，現已開放企業會員申請。
聯盟宣布首個技術規格UALink 1.0將於2025年第一季公開發布。
目前核心成員（Promoter Members）包括AMD、Astera Labs、AWS、Cisco、Google、HPE、Intel、Meta和Microsoft等科技巨頭。
參考：UALink（Ultra Accelerator Link）
對話AMD CEO Lisa Su：解決難題UALink聯盟致力於制定開放標準和技術規範，推動AI加速器高速互連技術的產業化發展。
其核心目標是為大型語言模型（LLM）訓練和複雜運算任務提供GPU叢集互連解決方案。
這項開放標準旨在實現類似NVIDIA NVLink的GPU互連能力，但面向整個產業開放。
值得關注的是，聯盟匯聚了許多互為競爭對手的科技巨頭，他們選擇透過開放合作來推進AI及加速器運算工作負載的技術演進。
技術演進：CPU架構的瓶頸突破在高效能運算（HPC）領域，業界較早意識到傳統CPU架構的限制。
由於大規模平行運算能力和超高資料吞吐量，GPU在深度學習、基因組定序和大數據分析等領域的效能顯著優於CPU。
這種架構優勢和可程式特性使GPU成為AI運算的首選加速器平台。特別是在LLM規模每半年翻倍的發展態勢下，GPU的運算效率和處理速度優勢更為突出。
然而，在現有伺服器架構中，CPU作為系統主控，所有資料流都需要經過CPU進行路由轉送。
GPU必須透過PCIe匯流排與CPU連接。無論GPU運算效能多強，系統整體效能仍受制於CPU的資料路由能力。
隨著LLM和資料集規模的持續擴張，尤其在生成式AI（Generative AI）領域，這項架構瓶頸在大規模GPU叢集協同運算時表現得特別突出。
對於超大規模資料中心和前沿AI模型研發機構而言，如訓練GPT-4、Mistral或Gemini 1.5等模型的GPU叢集（通常由數千GPU節點跨機架部署），系統延遲已成為關鍵挑戰。
這項技術瓶頸不僅影響模型訓練，也為企業IT部門大規模部署生成式AI推理（Inference）服務帶來挑戰。
對於AI和HPC等運算密集型工作負載，CPU架構對系統及叢集效能的限制已顯著影響到運算效能、部署成本和推理精度等多個層面。 UALink技術解讀UALink聯盟致力於開發新一代加速器直連架構標準，實現加速器間繞過CPU的直接通訊。
此技術規範定義了一種創新的I/O架構，單通道可達200 Gbps傳輸速率，支援最多1024個AI加速器互連。
相較於傳統乙太網路（Ethernet）架構，UALink在效能和GPU互連規模上都具有顯著優勢，互連規模更是大幅超越Nvidia NVLink技術。
資料中心網路架構可分為三個層面：前端網路（Front-end Network）、縱向擴展網路（Scale-Up Network）和橫向擴展網路（Scale-Out Network）。
前端網路透過CPU上的乙太網路卡（NIC）連接廣域網，用於存取運算儲存叢集和外部網路。
後端網路專注於GPU互連，包含縱向擴展和橫向擴展兩個維度。 UALink主要應用於縱向擴展場景，支援數百GPU低延遲高頻寬互連。
而橫向擴展網路則透過專用網路卡和乙太網路技術支援超大規模GPU叢集（1萬至10萬級），這是Ultra Ethernet技術的主要應用領域。以Dell PowerEdge XE9680伺服器為例，單一伺服器最多支援8塊AMD Instinct或Nvidia HGX GPU。
採用UALink技術後，可實現百台級伺服器叢集內GPU的直接低延遲存取。隨著算力需求成長，使用者可透過Ultra Ethernet Consortium（UEC）技術實現更大規模擴充。
2023年，Broadcom、AMD、Intel和Arista等產業領導者成立UEC，致力於提升AI和HPC工作負載的效能、擴充性和互通性。 AMD近期發表的Pensando Pollara 400網路卡是首款符合UEC規範的產品。
參考：AMD發佈業界首款UEC就緒AI NICUltra Ethernet 規範更新UALink是實質的開放標準，而非針對Nvidia NVLink的競爭標準。
聯盟已組成專門工作小組，正在開發具體技術標準和解決方案。
核心成員已開始佈局底層技術，如Astera Labs推出的Scorpio系列交換晶片。
其中P-Series支援基於PCIe Gen 6的GPU-CPU互連（可客製化），X-Series專注於GPU-GPU互連。
這些基礎架構為未來支援UALink標準奠定了技術基礎。值得注意的是，UALink在加速器、交換晶片、Retimer等互連技術上保持中立立場，不偏向特定廠商，目標是建立開放創新的技術生態系統。
對企業IT管理者和CIO而言，UALink的價值在於提供更有效率的訓練和推理平台，具備自我管理和自我優化能力，同時降低TCO。 Nvidia NVLink與市場格局UALink的出現固然是對Nvidia市場主導地位的回應，但其更深層意義在於確保GPU互連這項關鍵技術不被單一廠商壟斷。
主流伺服器供應商Dell、HPE、Lenovo對UALink和NVLink的支援策略值得關注（目前Lenovo作為Contributor加入UALink聯盟，Dell尚未加入）。
NVLink採用專有訊號實現Nvidia GPU互連，而UALink支援多廠商加速器，並允許符合標準的廠商提供底層架構元件。
對伺服器廠商而言，支援多種互連標準確實增加了從設計、製造到認證、支援的成本。
雖然UALink方案具有吸引力，但考慮到Nvidia在市場中的強勁需求，預計短期內市場格局不會發生根本性變化。
資料中心計算的協同發展UALink聯盟的成立是產業重要里程碑，有助於解決AI模型訓練過程中日益複雜的技術挑戰。
隨著Astera Labs等廠商開發底層互連架構，Dell和HPE等公司建構配套硬體平台，這種技術創新將從AWS和Meta等超大規模用戶延伸到企業IT部門，推動AI技術的廣泛落地。
理想情況下，市場需要一個統一的加速器互連標準。目前，看到AMD、Intel、Google、AWS等競爭對手攜手推動開放標準，展現了產業協同創新的積極態勢。
———-參考資料：Kimball, Matt, and Patrick Moorhead. “Digging Into the Ultra Accelerator Link Consortium.” Forbes, November 7, 2024. https://www.forbes.com/sites/moorinsights/2024/11/07/digging-into-the-ul-tra-accelium.

本文依舊是一篇對大佬文章的解讀：
渣B，公眾號：zartbot
談談RDMA和ScaleUP的可靠傳輸
本文所講的ScaleOUT和ScaleUP中的兩種技術，分別是ScaleOUT的RDMA和ScaleUP的乙太網路技術堆疊。
一、RDMA：從無損到有損的轉向
（一）Lossless：早期場景的最優解－為了低延遲和簡化協定Lossless（無損網路）是盡量不丟包，它能流行是因為早期應用不需要高頻寬，只需要極致低延遲。
1. 為什麼早期不丟包？
早期的超算（HPC）涉及到“解偏微分方程”，對網絡延遲極其敏感：這類應用會頻繁同步阻塞：簡單說就是“發一個包，等收到確認，再發下一個”，網絡中“正在傳的報文”（inflight）很少；既然“正在傳的包少”，網絡就不會擁擠，自然幾乎不丟包。
2. 不丟包的情況下，為什麼要簡化協議？如果網路基本上不丟包，就沒必要用複雜的L4可靠傳輸（TCP的重傳、壅塞控制），搞個簡單的傳輸協定反而更省延遲：Infiniband做出的簡化：Infiniband（早期超算常用網路）就是把「PCIe匯流排」（電腦內部顯示卡/硬碟的連線）擴展到多算常用網路）就是把「PCIe匯流排」（電腦內部顯示卡/硬碟的連線）擴展到多台化協議，這很簡單；
FCoE的方案：早期儲存用FC（光纖通道）建獨立網路（SAN），伺服器要接「業務網路+儲存網路」兩套線；2008Cisco搞了FCoE（FC over Ethernet），把儲存流量放到乙太網路裡，因為當時硬碟是HDD（慢，頻寬低），用PFC（PFC 3. RoCE的早期嘗試：RoCEv1失敗，v2轉向UDP2010年RoCEv1是「2層乙太網路技術」（只能在一個區域網路內傳），4年沒進展；2014年RoCEv2改成「基於UDP傳輸」（能跨網段），但還是依賴Lossless－網路不遺失包。
小結：Lossless早期場景（低inflight、低頻寬需求）下，「不丟包」是天然狀態，簡化協定能最大程度降延遲，是性價比最高的選擇。 （二）Lossy：為了高頻寬+雲端適配，接受丟包Lossy（有損網路）是“允許丟包，但能快速恢復”，它出現是因為2018年後應用需求變了：從“低延遲”轉向“高頻寬+多租戶”。
1. AI和儲存
（1）GPU需要「打滿頻寬」GPU的運算和通訊能重疊進行（算A的時候，同時傳B的資料），導致網路中「正在傳的封包」（inflight）暴增－此時「能不能把頻寬用滿」比「單次延遲低不低」更重要。 （2）全快閃雲端儲存：inflight也暴增以前儲存用HDD（慢，一次傳一點），現在用SSD（相對快，一次傳很多），再加上雲服器的上多個用戶共用存儲，網路擁塞變得很常見，inflight同樣很高。
2. 雲端環境是天生用不了Lossless的整個雲端的系統用VPC（虛擬網路）隔離租戶，而VPC是「Overlay網路」（在實體網路上套一層虛擬網路），Lossless依賴的PFC技術在Overlay裡沒法用，所以雲端必須用Lossy網路。
小結：Lossy在高inflight、高頻寬、雲Overlay下，“丟包不可避免”，強行保無損（用深buffer堆延遲）性價比很低，不如接受丟包，再透過技術快速恢復，優先保證頻寬和多租戶適配。
（三）RoCE的缺陷：為什麼Lossless的RoCE撐不住新場景？ RoCE（尤其是RoCEv2 Lossless）在早期HPC或儲存裡好用，但新場景下有亂序、擁塞控制、丟包重傳的問題。
1. 多路徑亂序RoCE的RC（可靠連接）模式要求“數據包必須按順序到”，一旦亂序（包1沒到，包2先到），就認定“包1丟了”，觸發“Go-back-N重傳”（把包1及後面的包全重傳一遍），浪費帶寬。
（1）為什麼會亂序？為了用滿頻寬，會為網路加上「多路徑」（例如4條連結），但交換器的「雜湊演算法」可能會把不同流量擠到同一連結（例如GPU1和GPU2的流量都去Link1，Link4空閒）。
為了解決這個問題，人們搞了「Multi-Rail」（同型號GPU連同一交換機）、「Multi-Plane」（把一個800G端口拆成8個112G端口，連8個交換機）。
但這樣處理的話，封包走不同路徑，到達時間不一樣，必然亂序。 （2）RoCE為什麼搞不定亂序？ RoCE的封包只有「首包/中間包/尾包」的標記，中間包不帶「遠端記憶體位址」 －如果亂序，接收端不知道這個中間包該寫進對方記憶體的哪個位置。
Nvidia CX7只能勉強支援「WRITE操作」的亂序（把一個大消息拆成多個帶地址的小包），但「SEND/RECV操作」搞不定（接收端的buffer地址不固定）。
不過早期的iWARP技術是天生支援亂序的，每個資料包都帶有“訊息序號（MSN）+偏移量（MO）”，接收端不管順序，按MSN和MO就能寫記憶體。
2. 擁塞控制－Rate-Based跟不上RoCE用Rate-Based擁塞控制（控制發送速率，每秒發1gb這種），但不適用突發的流量：
（1）為什麼不好用？大模型訓推中，流量是「突發的」（一會兒發10GB，一會兒發2GB），Rate-Based沒法實時調整速率，相當於動態場景控不住；交換機的buffer（緩存）擴展很慢（多端口共享buffer需要很多SRAM，成本高），Rate-Based沒法精準控制正在傳的報文準控制。
（2）不用Rate-Based，用什麼？ 「Window-Based」是「控制inflight數量」（例如最多同時傳100個套件），更適合突發流量，但RoCE協定不支援：缺陷1：RoCE的「封包」和「ACK確認包」是分開發的，封包裡不帶ACK訊息，沒辦法用ACK驅動視窗調整；缺陷2：RoCE的「讀取回應包」（例如讀對方記憶體後回傳的資料）是用ACK包封裝的，但這個包沒有對應的ACK－－如果用Window-Based，讀響應包發不出去。所以AMD、Google都選了Window-Based，而RoCE只能硬撐Rate-Based，這就要更複雜的遙測（Telemetry）即時監控網路了，反而增加網卡複雜度。
3. 丟包重傳－Go-back-N效率太低跨資料中心下丟包更常見，但RoCE的重傳機制太落後：
（1）RoCE的缺點：分不清“亂序”和“丟包”RoCE接收端只要發現“包亂序”，就會把後面的包全丟了，沒法告訴寬傳端“
（2）更好的選擇：SACK+RACK-TLPSACK：一種選擇性確認，接收端告訴發送端“我收到了包1、3、4，就缺包2”，發送端只重傳包2，不浪費頻寬；RACK-TLP：快速判斷“包是不是真丟了”（超時沒到才丟了），避免把定亂當包。
Google的Falcon技術在「5%丟包率」下還能維持90%的有效頻寬（Goodput），就是靠這兩個技術。
4. Google Falcon的總結－RoCE改不動了Google在Falcon的論文裡點出過RoCE的問題：不支持現代重傳（Go-back-N/SR局限大）；多路徑亂序沒法處理，SACK加不進去（要改接收端buffer或協議語義，成本高）；擁塞控制和反饋路徑分離（靠慢）。
Nvidia的CX8雖然加了「PSA算力」優化，但還是在Lossless框架裡修修補補，擁塞響應反而變慢了。
（四）RDMA正在進行哪些變化相當於RDMA正在現代化。既要用多路徑（亂序傳，用滿頻寬），又要相容於舊應用（但舊應用依賴「依序完成」的RC語意）。
參考iWARP的DDP技術就行，給每個資料包加MSN/MO，接收端亂序接收，再依序交給應用，不用改應用程式碼。技術選擇上，3條路徑：接受丟包（Lossy），不用深buffer堆延遲；用SACK/RACK-TLP快速恢復丟包，保證頻寬；用Window-Based擁塞控制，適配突發流量，省網卡複雜度。
另外，也要解決雲端上的適配，即多租戶和虛擬化問題，包括：支援Overlay網路（適配雲端VPC）；支援「熱遷移」（例如虛擬機器遷移時，RDMA連接不中斷），這塊阿里雲CIPU已經實現，Nvidia還沒做到；多租戶隔離：不同用戶的RDMA流量不互相干擾。
二、Ethernet ScaleUP
（一）Ethernet ScaleUP的演進趨勢2020年，NetDAM系統出世是為了解決AI運算中的「記憶體牆」問題，因為傳統DDR記憶體容量足夠但頻寬不足，而HBM雖頻寬高但容量受限。
他們想做一個兼具數Tbps頻寬和數TBytes容量的記憶體抽象層，直接透過統一的記憶體語意實現大規模GPU互連。
記憶體語意抽象：將遠端記憶體存取（如LD/ST指令）直接對應到乙太網路傳輸，避免傳統RoCE訊息語意的協定開銷。
例如，透過位址交織（Address Interleaving）實現多鏈路負載平衡，解決哈希衝突問題。
NetDAM在2021 年就把這套方案做出來了，但落地難，因為：GPU廠家沒有一個統一方案：早期僅有英偉達NVLink支援ScaleUP，其他廠商（AMD）甚至都沒搞出交換機，而Intel/Microsoft的RoCE方案因訊息語意缺陷（高延遲、Cache不友善）難以適配GPU架構。 CXL 協定因為 Intel 拖進度，商用很慢。而乙太網路ScaleUP需在相容性（如是否修改MAC頭）與效能最佳化間權衡。
（二）記憶體語意的重要性：為何RoCE無法取代？ RoCE的缺陷：協議開銷高一個是給鄰居寄快遞，一個是自己去拿。
RoCE發送RDMA請求需建構WQE（Work Queue Element）、寫記憶體、觸發Doorbell，導致每個操作需要數十條指令。但而記憶體語意僅需1條LD/ST指令。
容易塞車RoCE依賴哈希分片，在多連結或多層交換場景中容易多線路衝突，記憶體語意是位址分流。 GPU適配低RoCE需輪詢CQ（Completion Queue），查不到得等一會；記憶體語意只需Polling固定記憶體位址的Flag，延遲降低一個數量級。
記憶體語意的優點：GPU適配直接適配GPU的單發射架構與Warp調度機制，減少上下文切換開銷。
例如，記憶體存取失敗時可立即切換至其他Warp，無需等待CQ處理。計算單元不用指揮，專注計算支援原子操作（Fetch-And-Add），不需要像Allreduce中頻繁HBM讀寫，一條普通的儲存指令（LDGSTS- Load Global Store Shared）就能觸發遠端操作。
（三）在線上計算（In-network Computing）：交換器的角色與侷限英偉達NVLink Sharp方案
讓中間的 「交換器」（類似快遞分類站）不光傳數據，還能幫著算點簡單的（例如加數字），少讓 GPU 來回傳數據。英偉達是給交換器裝個144 位元加法器，能算簡單的把 10 塊 GPU 的資料加起來，但複雜的活乾不了。
BRCM的困境早期想讓交換器用 RoCE “算賬”，但交換機記不住賬（沒足夠內存存臨時結果），但交換機算到一半忘了前面的數，無法處理DeepSeek-V3這種大規模的Token調度。 NetDAM的端側優化讓 GPU 先把資料打包，再讓交換器幫小忙（例如分給多塊 GPU），不讓交換器幹重活。
實際收益不高
訓練 AI 模型時，許多資料傳輸延遲已經被FSDP技術隱藏了，SHARP類在網路運算幫忙算的那點時間，對整體速度影響不大。
在推理狀態下，資料就更靈活了，交換器根本跟不上節奏，不如讓 GPU 自己處理。
（四）記憶語意與事務在記憶體語意和事物上，硬體要做到協同設計是很複雜的。
GPU記憶體模型：Acquire-Release語意ScaleUP需確保記憶體操作的順序性，例如先寫入本機HBM再傳送遠端請求。英偉達H200透過LDGSTS指令實現弱序一致性，但AMD MI300仍依賴強序模型，增加協定設計難度。
可靠傳輸與交易耦合傳統乙太網路的IP/UDP開銷高達數百字節，而記憶體事務需低延遲（如<100ns）。
解決方案包括動態打包指令（如100ns定時器）或精簡MAC頭（如BRCM SUE的AFH欄位）。
乙太網路ScaleUP的定義存在爭議：嚴格派必須保留EthType字段，只改杯子上的標籤但不換裡面的奶茶，也就是源/目的MAC位址，這樣所有設備都認。
彈性派只要用奶茶杯，裡面裝啥都行，複用乙太網路實體層但重新定義MAC子層（UALink的640位元組DataLink FLIT），但要改變一下資料分類規則。
（五）ScaleUP域的規模：GPU不是堆越多越好模型並行的實際需求：
拿Google的例子來說，9216 塊 GPU 的集群，實際幹活時最多 512 塊一起，多了反而 “互相等消息”（傳數據延遲），效率變低； 國內的誤區：有些芯片單卡算力弱（比如只有英偉達的 1/5），就想先把卡傳 5 倍的卡補回來，但還不如把卡加了卡。
（六）延遲對XPU微架構的影響GPU的脆弱性：Outstanding窗口限制CUDA Core同時處理本地做菜（計算）和遠端調貨（訪問其他GPU記憶體）時，若遠端延遲過高，會佔滿Load隊列，堵住打菜窗口。
Cache失效代價CQ處理需經常存取HBM（每次Cache Miss 200ns），但身邊GPU的L1D Cache容量僅數KB，需要去很遠的HBM取貨，這裡頻繁Warp切換會增加數微秒延遲。
硬體上的取捨：Blackwell vs H200Blackwell為提升TensorCore效能增加TMEM，但CUDA Core數量減少，導致傳統算符效能下降。 H200透過平衡SRAM與計算核，在多數場景下表現更優。
晶片總共就這麼大，增加打飯窗口的代價是減少炒菜的爐台，結果有些菜炒的慢，還不如原來。
光互連長距離光傳輸會有延遲忽高忽低的情況，需在交換器等訊號，反而增加了延遲。
（七）是否需要可靠傳輸：協定的tradeoffSUE-Lite怎麼取捨的：非可靠傳輸不用等回執，丟了再說。
省略E2E Go-Back-N重傳，僅保留鏈路級重傳（LLR），也就是北京寄上海，中間站中哪一佔丟了自己負責。
這樣下來晶片面積減少50%。適用於容忍少量丟包的場景（如推理），但需應用層自行處理錯誤。

設一個可靠性邊界即便使用LLR，SDC（靜默資料錯誤）仍可能導致CRC校驗失敗，相當於包裹遺失了但快遞站沒發現。
要在應用層再檢查一下，可以在包裹裡放個密碼本。 Buffer管理的難題：E2E重傳的代價很高若RTT=2μs、頻寬=1TB/s，需2MB Buffer儲存未確認數據，需要在中間的每個站點都保留一個臨時儲存空間，這就很複雜了。
UALink的優化把包裹切成512位元組的小塊，只在每個中轉站保留512KB的臨時存儲空間，通過”DL FLIT打包”技術，讓小包裹能更快重發，但要求快遞站能快速識別這些小包裹（交換機支持快速查表轉發）
三、ScaleUP發展定律：快，還得穩不止一）：Little’ Law（利特爾定律）：「同時在忙的數量」=「來的速度」×「每個忙多久」這個定律聽著複雜，其實每天都在經歷，例如超市收銀台：
平均每分鐘來2個顧客（速度為2人/分鐘）；每位顧客結帳要3分鐘（每個在系統裡的時間：3分鐘）；那麼收銀台前平均會有 2×3=6個顧客在排隊或結帳（同時在忙的數量」）。
對應到GPU的內存訪問，道理一樣：每分鐘來多少顧客=內存帶寬，每秒能傳多少字節；每個顧客結帳時間=內存訪問延遲，一個數據從發出到寫完，要多少納秒“同時在忙的數量”=Inflight-Bytes，正在道理中的字節數。
老收銀台（Hopper）：頻寬一般，結帳快（延遲低），6個顧客（32KB）就能讓收銀台忙不停（打滿頻寬）；新收銀台（Blackwell）：頻寬更高（每分鐘來的顧客更多），或者結帳稍慢（延遲稍高），得12個顧客（64KB）才能讓它長得稍微慢一點（延遲稍高），得12個顧客（64KB）才能讓它長得稍微長久了。
怎麼讓記憶體忙起來，增加Inflight-Bytes？ GPU計算的管線需要從倉庫（記憶體）往生產台（GPU 運算核心）搬零件，如果Inflight Bytes是“正在倉庫到加工台路上的零件總數”，這個數字不夠，搬運工就會沒事（頻寬浪費）。
有沒有辦法讓這個管線的頻寬打滿？
三個辦法，指令級並行(ILP)、資料級並行(DLP)、非同步記憶體存取。
指令級並行：讓工人同時多喊幾次搬運，但得記清 「這4個零件分別要搬到哪、生產到哪一步」。
用什麼記呢？用寄存器，原來1個零件用1個 寄存器，現在4個要用4個，寄存器很快就不夠用。
資料級並行：讓工人 “一次搬個大箱子”，但得有地方臨時放這個大箱子（寄存器要存 8 字節數據），原來1個小零件用1格寄存器，現在1個大箱子用8格，寄存器很快被佔滿，壓力更大。
非同步記憶體存取 ：前兩種方法都是讓工人兼職搬運和生產，導致記事本（暫存器）不夠用。
非同步就是單獨僱用一批搬運工（GPU裡的非同步拷貝引擎），生產工人只負責生產，搬運工自己去倉庫搬零件，搬到後放旁邊的暫存區（SMEM），生產工什麼時候用什麼時候拿。

（二）Kingman’s公式（金曼公式）：排隊多久取決於流量穩不穩這個公式講的是：系統越穩定，效率越高。
用高速公路舉個例子：高速公路的利用率=實際車流量/最大能承受的車流量；變異係數（CV）=車流的忽多忽少程度，早晚高峰車忽多忽少，CV高；半夜車流穩定，CV低。金曼公式說：同樣的利用率下，CV越高（車流越亂），平均塞車時間越長。半夜車流穩定（CV低），利用率80%也不堵；早高峰車流忽多忽少（CV高），利用率60%就可能塞死。
對應到GPU的Fabric（互連繫統）：穩定比速度更重要Fabric就像連接多個GPU的“高速公路網”，排隊延遲相當於利用率。
UALink它傳遞資料用固定640位元組的「資料包」（FLIT），所以車隊保持固定車距行駛，車流穩定（CV低）。
所以即使利用率高（例如80%），延遲也不大。 SUE它的資料包大小不固定（變長size），還要等不同GPU的隊列（不同出口的車搶道），車流忽快忽慢（CV高）。
就算利用率不高的60%利用率，也容易塞車（延後飆漲）。還有2個讓CV變高的添亂因素：對端HBM太忙：也就是內存滿了，那麼高速出口被堵住，進來的車只能排隊，車流變亂；Incast擁塞：多個GPU同時往一個GPU發數據，多條小路匯到主，車流大亂。
不管是記憶體存取還是資料傳輸，光追求「速度快」（高頻寬）沒用，還得讓「流量穩」（低CV）。
首先用Little’s Law算清楚需要多少“同時傳輸的字節”（Inflight-Bytes）才能打滿頻寬，先不要瞎加並行；再看看Kingman’s公式：盡量讓數據傳輸“有規律”，減少突發和混亂，才能在高利用率下不堵車。
四、總結早年超算要低延遲，RDMA 搞無損（不丟包、協議簡單），當時來看性價比很高。後來AI 要滿頻寬、雲環境也用不了無損，就轉 “有損”，當然也不是真的有損，而是丟了迅速恢復。

但RoCE還是有些問題，一亂序就重傳、控不住突發流量等。至於「記憶體牆」如何解決，要靠記憶體語義，畢竟1條指令遠端訪問，比幾十條指令的RoCE快。也不能光堆硬件，光是高頻寬不夠，還得降低延遲，讓流量跑穩。

一、ASA防火牆是新世代防火牆(NGFW)嗎？
ASA防火牆本身是一種傳統的狀態化偵測防火牆，並不屬於下一代防火牆。雖然透過搭載專用模組(如早期的CX模組或當前的FirePOWER模組)，ASA可以實現下一代防火牆的功能，例如應用識別、內容識別和用戶識別，但這種實現方式本質上是類似UTM一樣依賴多引擎堆疊，而不是像原生下一代防火牆那樣通過統一引擎實現所有功能，而且在面對當前的“雲化、移動、網絡化和信任環境等已顯零信任”。

二、ASA防火牆有哪幾種設定方式？
1.透過命令列(CLI)進行配置
對於防火牆的初始配置或一些基礎配置，例如介面/ACL/NAT/路由等配置，可以透過命令列快速完成這些配置。
2.透過ASDM進行配置
ASDM是一種圖形化介面配置，如果想透過圖形化介面配置ASA防火牆，使用者必須在ASA的Flash上​​安裝ASDM軟體的鏡像。如果Flash中安裝了多個ASDM鏡像，ASA防火牆預設會使用它在Flash中找到的第一個ASDM鏡像，使用者可以透過使用指令「asdm image」來指定使用某個ASDM鏡像。而且要使用ASDM設定ASA防火牆，必須使用指令「http server enable」啟用防火牆的Web伺服器功能，並且透過指令「http ip 子網路遮罩 介面」指定能夠使用ASDM設定防火牆的IP位址和介面。

三、ASA防火牆如何劃分安全區域？
不像其他廠商防火牆的安全區域是基於zone(介面的集合)，ASA防火牆的安全區域是基於介面(實體或邏輯)的，每個介面為一個安全區域。每個介面需要分配一個名字來識別它在網路中的作用，例如通常命名「inside」表示該介面連接的是一個內部網絡，「outside」表示該介面連接的是一個外部網絡，「dmz」表示該介面連接的是一個非軍事區域(DMZ)。每個介面還需要分配一個安全等級(0-100)，安全等級越高，表示該介面越安全越可信，inside介面預設安全等級100/outside介面預設安全等級0/dmz等其他介面的安全等級需要手動配置，dmz介面通常為50。

註：安全等級的作用是用來反應ASA防火牆上的一個介面相對於另一個介面的信任程度。

四、ASA防火牆有哪些預設的安全策略？
1.預設允許從高安全等級介面到低安全等級介面的流量通過。例如從inside(100)介面到outside(0)介面的流量預設允許通過，無需配置ACL放行。

2.預設不允許從低安全等級介面到高安全等級介面的流量通過。例如從outside(0)介面到inside(100)介面的流量預設不允許通過。若要允許從低安全等級介面到高安全等級介面的流量通過，需要設定ACL放行。

3.預設不允許相同安全級介面之間的流量通過。例如從dmz1(50)到dmz2(50)的流量預設不允許通過。若要允許相同安全等級的介面之間流量通過，需要使用指令「same-security-traffic permit inter-interface」放行。

4.預設不允許流量從一個介面流入又從同一個介面流出。例如從outside介面接收到的封包經過路由查詢後又從該介面發送出去，ASA防火牆預設不允許這樣的流量通過。若要允許流量從接收它的介面流出，則需要使用指令「same-security-traffic permit intra-interface」放行。

五、什麼是nat-control？
nat-control是ASA防火牆8.2及先前版本中的特性，它要求所有從低安全等級介面到高安全等級介面或從高安全等級介面到低安全等級介面的流量必須符合某個NAT規則執行位址轉換，否則ASA防火牆將丟棄該流量。也就是說即便是ACL放行了這些流量，也必須為這些流量配置NAT規則執行位址轉換，否則ASA將丟棄那些沒有符合任何NAT規則的流量。 8.2及之前版本的ASA防火牆nat-control特性預設是啟用的，8.3及之後版本的ASA防火牆就移除了nat-control特性，不再要求上述流量必須經過NAT。

註：nat-control特性不要求相同安全等級介面之間的流量必須執行NAT。

六、什麼是Identity NAT？
在ASA 防火牆中，Identity NAT(也稱為NAT 豁免)是一種特殊的NAT配置，它允許封包通過防火牆時不進行位址轉換，即來源位址和目標位址保持不變。 Identity NAT 通常用於特定的流量，例如VPN流量/內部網路之間的流量等，使用者希望這些流量繞過普通的NAT規則，直接以原始IP位址進行通訊。特別是在啟用了nat-control特性的8.2及之前版本的ASA防火牆，如inside介面和dmz介面之間的流量，通常希望保持原始IP位址進行通信，但nat-control又強制要求它必須執行NAT，因此可以透過配置Identity NAT避免對這些流量的封包執行位址轉換。

七、什麼是多上下文模式和單上下文模式？
在ASA 防火牆裡，多重上下文模式(multi-context mode)是指把一台實體ASA防火牆邏輯上劃分成多台虛擬防火牆，每個虛擬防火牆稱為一個安全上下文(security context)。每個安全上下文就是一個獨立的防火牆實例，它有自己的介面(邏輯劃分的)/存取控制策略/NAT規則/路由表/設定檔/管理帳號等。 ASA防火牆透過多上下文模式實現在一台實體防火牆上為不同的業務部門、客戶或應用環境提供相互獨立的防火牆實例。

單上下文模式(single-context mode)是ASA防火牆預設工作模式。在這個模式下，整個實體防火牆就是一個完整的防火牆實例，所有的介面都屬於該防火牆實例，存取控制策略/路由表/設定檔等都由這個防火牆實例統一配置和管理。

八、什麼是透明模式防火牆及路由模式防火牆？
透明模式防火牆是一種工作在二層的防火牆，它類似一台交換機，將同一網路(即一個LAN)分隔成不同的安全區域，對網路內流量(包括一些二層流量，如ARP/BPDU等)進行監控與控制。透明模式防火牆的接口為二層接口，以橋接方式連接網絡，因此部署時不會改變現有網絡三層拓撲結構，不需要對現有網絡重新IP編址，能夠無縫接入現有網絡中，對兩端通信設備來說是無感知透明的。

路由模式防火牆是一種工作在三層的防火牆，它類似一台路由器，將不同網路分隔成不同的安全區域，對網路間流量進行監控和控制。路由模式防火牆的接口為三層接口，分別連接不同的網絡，防火牆充當網關設備，因此部署時會改變現有網絡三層拓撲結構，需要對現有網絡重新IP編址。

九、什麼是Failover？
Failover(故障切換)是ASA防火牆實現高可用性(High Availability, HA)的機制。透過部署一台冗餘的ASA設備，Failover能夠在兩台設備間實時同步網路配置/會話狀態等信息，並透過專用的Failover鏈路交換心跳信息，檢測對方是否運作正常。當一台ASA設備故障或需要維護時，自動由另一台ASA設備接手處理網路業務，從而確保網路通訊不間斷。

Failover有兩種高可用性模式：主動/備用(Active/Standby)和 主動/主動(Active/Active)。在主動/備用模式下，一台ASA防火牆處於Active狀態，負責處理所有網路流量，而另一台處於Standby狀態，不處理網路流量，只同步網路設定和會話狀態。由於配置簡單，大部分防火牆高可用性都是這種主動/備用模式。

在主動/主動模式下，兩台ASA防火牆都處於Active狀態，分擔處理網路流量，它們之間相互同步網路配置和會話狀態。 ASA防火牆主動/主動模式的實作方法是藉助多上下文模式將兩台實體防火牆虛擬化成四台防火牆，每兩台虛擬化防火牆構成一個上下文群組，它們之間運行主動/備用模式，最終兩台實體防火牆分別作為兩個上下文群組中的主動設備。因此從宏觀上看主動/主動模式下兩台實體ASA防火牆都處於Active狀態，都在處理網路流量，但是從微觀上看每個上下文群組都是主動/備用模式，其中一台虛擬防火牆為Active狀態，另一台為Standby狀態。

十、ASA防火牆內建了哪些故障偵測指令和工具？
排除ASA防火牆故障時，常用的指令有ping/traceroute/show/debug等。而且ASA防火牆也提供了兩個非常實用的故障偵測工具packet-tracer和capture。 packet-tracer可以模擬一個封包在防火牆內部的完整處理過程，能夠清楚的看到封包是否被允許通過、在哪個階段被丟棄。 capture能夠抓取指定介面上的特定條件的資料包，是一個類似tcpdump的抓包工具，透過分析資料包來定位網路故障。

來源：公眾號【網路科技乾貨圈】
作者：圈圈
ID：wljsghq
身為網路工程師，我常常被問到這樣一個問題：在高壓環境下，一個工程師到底能同時配置多少台設備？這個話題聽起來簡單，卻牽扯到科技、工具、經驗和實際場景的層層糾葛。
想像一下，你面對著一個資料中心，裡面堆滿了路由器、交換器、防火牆，還有雲端的虛擬設備。如果手動逐一敲擊指令，那可能一天下來就搞定幾台；但如果用上自動化腳本，一口氣處理上百台也不是夢。
為什麼會有這麼大的差距？
今天，我就來深挖這個話題，從基礎原理到實戰案例，幫你理清思緒。別擔心，我不會扔一堆枯燥的術語，而是像聊天一樣，結合我這些年的親身經歷和行業見聞，帶你一步步走進去。
先說說為什麼這個問題值得聊。網路工程是高強度職業，尤其在企業級環境中，設備動輒成百上千。
設定工作包括設定IP位址、VLAN劃分、路由協定、ACL存取控制、安全性原則等。如果一個工程師只能同時處理少量設備，那公司就得僱用一大堆人，成本直線上升。
反之，如果能高效多任務，不僅是節省時間，還能減少出錯率，提升網路穩定性。數據顯示，在大型企業中，網路故障的80%源自於人為配置錯誤。
所以，搞清楚“最多同時配置多少台”，其實是在探討如何讓網路更可靠、更有效率。不是簡單的數字遊戲要回答“最多多少台”，不能一刀切，得看具體情況。就像開車，高速上你能開到120碼，但市區裡20碼都很費勁。
網路配置的「速度」取決於幾個關鍵因素。
首先是工程師的經驗水平。新手可能只會用CLI（命令列介面）手動配置，一台設備從登入到驗證，得花10-20分鐘。如果同時開多個窗口，腦子容易亂，容易敲錯指令。記得我剛入行時，設定一台Cisco路由器就手忙腳亂，同時管兩台已經是極限了。
資深工程師呢？他們熟悉腳本，能用大量工具，一人頂三人用。
根據產業調研，一個中級工程師手動配置的極限通常在5-10台左右，而專家級能到20台以上。
這不是吹牛，而是因為他們對協議爛熟於心，能快速切換思維。
其次是設備類型和複雜度。設定一台家用路由器簡單，設定WiFi密碼、連接埠轉發，幾分鐘搞定。但企業級設備如華為NE系列路由器或Juniper防火牆，涉及OSPF、BGP、多層安全策略，複雜度指數級上升。
同時配置多台時，還得考慮設備間的連動，例如主備冗餘或負載平衡。如果設備是異質的（不同廠商），相容性問題會讓效率打折。
舉例來說，在一個混合網路中，同時配置Cisco和華為設備，需要切換不同指令語法，腦力消耗翻倍。
反之，如果全是統一廠商的設備，用廠商專有工具如Cisco DNA Center，就能批量推送配置，一次管幾十台。再者是網路規模和環境。中小型網路（100台設備以內），一個工程師手動就能應付。
但在資料中心或雲端環境，設備數輕鬆破千。這時，手動配置簡直是個惡夢。想想看，阿里雲或AWS上的虛擬實例，能動態擴展到上萬台，你怎麼手動？必須用自動化。產業數據顯示，在大型網路中，手動配置佔比不到20%，其餘則靠腳本和工具。
最後是工具的支援。沒有工具，純手作時代，一個工程師最多同時開4-5個SSH視窗配置，超過就容易遺漏。用了工具，就能指數級提升。
常見工具有Putty、SecureCRT，能多標籤管理會話，但還是手動輸入。高階點，用Python腳本或Ansible，能並行執行指令，一次配置上百台。記得一次項目，我用Netmiko庫寫了個腳本，同時給50台交換器推VLAN配置，只花了5分鐘。
綜合這些因素，產業沒有固定上限，但有個粗略估計：
手動模式下，5-20台；半自動化下，50-200台；全自動化下，理論上無限，但實際受計算資源限制，通常在500-1000台以內。
這數據來自Gartner報告和SolarWinds的 scalability guide，他們提到一個工程師用NCM（Network Configuration Manager）能管理30000台，但那是監控，不是純配置。
手動配置的極限咱們先聊聊最原始的方式－手動配置。
這是最考驗工程師基本功的場景，沒有花俏的工具，就靠雙手和大腦。
手動設定的流程通常是：SSH/Telnet登入設備，輸入指令，驗證生效，再跳到下一台。問題在於，人腦不是多核心CPU，同時處理多台時，容易混淆。
例如，你在A設備上設路由，在B設備上改ACL，一不小心就把A的設定複製到B上，釀成大禍。極限是多少？從我的經驗來看，入門工程師同時管2-3台就夠嗆。
為什麼？因為每台設備配置時間不均等。簡單任務如改IP，1分鐘；複雜如調試BGP peering，10分鐘以​​上。同時開多個會話，切換視窗就得幾秒，累積起來效率低。
資深工程師能到10-15台，因為他們用鍵盤巨集或複製貼上加速。有個真實案例：我參與過一個銀行分行網路升級，涉及20台路由器。
團隊三人，我負責10台。手動模式下，我開了8個SecureCRT標籤，同時敲指令：一台設OSPF，一台調QoS。
結果呢？花了2小時，但中間出了兩次小錯──一次是埠號敲反，一次是子網路遮罩算錯。驗證環節又花了1小時。
如果超過15台，我估計出錯率會飆到30%。產業觀點類似。在Reddit的網路工程師社區，有人分享：支援500台PC的區域網，手動配置IP時，一人最多管50台，但那是分批，不是同時。
另一個貼文說，在資料中心替換舊交換器時，一人管60台伺服器外加網路設備，但配置是逐步的，不是並行。
手動極限的瓶頸是人類注意力。心理學研究顯示，人腦同時處理的任務上限是7±2（米勒定律）。
超過這個，短期記憶就跟不上了。所以，手動配置的「最多」不是設備數，而是你能承受的腦力負荷。
建議：從小批量練起，用日誌記錄每個步驟，避免遺忘。半自動化手動太原始？那就上工具。
半自動化是指用腳本輔助，但仍需手動介入。這能把極限推到50-200台。最簡單的是批量腳本。例如用Python的Paramiko函式庫，寫個循環腳本，同時登入多台裝置執行指令。程式碼大致這樣：

這腳本能並行處理，但實際用線程池（如concurrent.futures）來真正同時執行。一次跑50台，只需幾分鐘。高級工具如Ansible或Puppet，更強大。 Ansible是無代理的，用YAML playbook定義配置，一鍵推送給成組設備。舉例：一個playbook能同時給100台交換器加VLAN：

用Ansible，我在一次雲端遷移專案中，同時設定了80台虛擬路由器。

時間從幾天縮到半天。

極限呢？取決於主機效能。 Ansible預設並行度是5，但調到50沒問題。

產業案例：SolarWinds NCM能管30,000台，但配置時一次批量100-500台。

另一個神器是廠商工具。 Cisco DNA Center用意圖-based networking，一人定義策略，就能自動推到全網設備。

華為的iMaster NCE類似，能管上千台。但這些工具的極限受 license 限制，通常1000台封頂。

半自動化的風險是腳本 bug。如果指令錯，全批設備掛掉。所以，測試環節至關重要。

先在模擬環境（如GNS3）跑一遍。理論無限，實戰500-1000台進入雲端時代，手動配置已是過去式。

全自動化用DevOps管道，配置即程式碼（IaC）。工具如Terraform、Chef，能動態產生配置，一人管上千台。在AWS或Azure，網路設備是虛擬的。工程師用API調用，同時配置EC2實例的VPC、子網路。

極限？受API rate limit，但一個腳本能並行上百呼叫。

案例：Amazon EC2 G4實例，支援機器學習部署，一人用CloudFormation模板，同時配置數百台GPU伺服器的網路。產業極限從工具看：H3C的連接限制是每主機100條，但那是用戶連接，不是設備配置。

真實數據：Gartner說，一個工程師用自動化，能管理100-300台複雜設備；簡單網絡，數千台。但有瓶頸：計算資源。腳本跑太多台，CPU/記憶體吃不消。

網路頻寬也限：同時推配置到1000台，流量洪峰可能崩網路。最佳實務：分批執行，用監控工具如Zabbix即時回饋。

我見過最牛的案例：在一家電商公司，雙11前，工程師用Kubernetes orchestration，同時配置500台負載平衡器。

結果？零故障上線。

別只追數量，品質更重要追極限容易忽略風險。設定出錯，輕則網路中斷，重則資料外洩。

記得2017年Equifax駭客事件，就是配置失誤導致。

最佳實務：分層配置：先核心設備，再邊緣。

備份與回滾：每配置前備份，用version control。團隊協作：一人極限有限，多人分工。

持續學習：掌握SDN（軟體定義網路），未來極限更高。

工具堆疊：結合Git、Jenkins自動化管道。另外，身體極限別忽略。連續配置幾小時，眼睛酸腦子脹。

建議每小時休息5分鐘。

極限因人而異，但效率永無止境回到問題：一個網路工程師最多同時配置多少台？沒有標準答案，手動5-20，自動化百千。但核心是提升效率，而非炫技。未來，隨著AI和零信任架構，配置會更智能，一人管萬台不是夢。身為從業者，我建議從基礎練起，逐步擁抱工具。希望這篇文章給你啟發，如果你有類似經歷，歡迎留言分享！