Spirent*墻測試方法 2

時(shí)間：2024-10-16作者：深圳市龍崗區(qū)平湖泰利信電子經(jīng)營部瀏覽：304

配置*墻：

以下是一個(gè)典型*墻所需要配置的樣例文件。它包含了網(wǎng)絡(luò)IP地址和策略，也只是簡單地完成了“允許http”和“允許ftp”規(guī)則設(shè)置（每個(gè)廠商的語法要求都是有些變化的）。注意到這只是一個(gè)例子來演示測試方法；每一家*墻廠商都會(huì)有不同的配置腳本和工具。

ipaddressoutside192.168.0.1255.255.0.0

ipaddressinside10.10.10.1255.255.255.0

static(inside,outside)10.10.10.1010.10.10.10

static(inside,outside)10.10.10.1110.10.10.11

conduit(inside,outside)10.10.10.1080tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.1121tcp0.0.0.00.0.0.0

routeoutside192.168.0.128255.255.255.128192.168.0.129

routeoutside192.168.0.0255.255.255.128192.168.0.2

timeoutxlate24:00:00conn12:00:00udp0:02:00

timeoutrpc0:10:00h3230:05:00uauth0:05:00

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

3.選擇并且復(fù)制“FirewallBasic”到“FirewallStressCPS”中

4.修改負(fù)載來校準(zhǔn)CPS：

使用70%的宣稱基準(zhǔn)值以確保你有一個(gè)成功的結(jié)果

圖4：決定*墻的大CPS值

逐步修改測試伊始的Avalanche的CPS值，使用穩(wěn)定階段和拆卸階段的值來確定總共的CPS值——反應(yīng)了每個(gè)測試步驟地總共值（不同的測試階段）——后測試值應(yīng)過基準(zhǔn)測試值的30-50%。

5.運(yùn)行“FirewallStressCPS”

6.在Avalanche上的用戶配置文件中加入U(xiǎn)RL，以混合進(jìn)FTP協(xié)議測試，此外還要在Reflector上配置FTP服務(wù)器。

和生存周期比較短的HTTP連接相比，F(xiàn)TP交易的生存周期則比較長并且會(huì)消耗*墻內(nèi)存資源（連接表）。新的連接會(huì)消耗*墻CPU和內(nèi)存資源。和FTP相關(guān)的連接表消耗了*墻內(nèi)存資源，你應(yīng)該關(guān)注圖4中斷點(diǎn)（breakpoint）左側(cè)的CPS數(shù)值。圖5則展示了CPS動(dòng)態(tài)變化值。

注意：所有的參數(shù)值都會(huì)保持不變，僅僅是FTP會(huì)導(dǎo)致CPS值75%的跌落。你的*墻會(huì)有不同的斷點(diǎn)。

*墻廠商沒有必要提供以上這些數(shù)據(jù)，加入多的協(xié)議（例如RTSP/RTP）則會(huì)要求*墻內(nèi)多的內(nèi)在資源，從而導(dǎo)致*墻性能的動(dòng)態(tài)下降。

注意：在圖5中：一個(gè)URL的HTTP1.0和FTP其連接數(shù)和每秒交易數(shù)量（TPS）是1：1的關(guān)系，因此TPS和CPS的標(biāo)簽是相同的。

圖5：CPS受到了多協(xié)議測試的影響

7.衡量由于FTP負(fù)載所引起的響應(yīng)時(shí)間上升

當(dāng)逐步提高*墻的CPS值時(shí)，數(shù)據(jù)*墻的過程和響應(yīng)延遲也會(huì)逐步提升。既然*墻是Web服務(wù)器訪問的看門人，所以提高延遲等同于減緩了用戶訪問Web服務(wù)器的時(shí)間，在一些情況下，訪問時(shí)間會(huì)變得不可接受。

圖6：由于FTP加入了HTTP交易所已導(dǎo)致響應(yīng)時(shí)間的上升

除了CPS測試（步驟5和步驟6），并發(fā)連接也是*墻基準(zhǔn)測試中的關(guān)鍵參數(shù)。以下步驟顯示了如何進(jìn)行并發(fā)連接數(shù)測試：

打開“FirewallStress”測試并將其復(fù)制到“FWOpen”。

變化負(fù)載配置文件來反映SimUser，將此作為負(fù)載而不是CPS。在開始的并發(fā)用戶數(shù)設(shè)置為40個(gè)。逐步提高并發(fā)用戶數(shù)，直到測試失敗。

在運(yùn)行的樣例文件中，SimUser數(shù)量的中度提高（45以上）已經(jīng)導(dǎo)致了事務(wù)時(shí)。沒有完成的事務(wù)減少了服務(wù)器的可用性并且降低了性能以致后到達(dá)了不可接受的地步。

除了CPS和連接數(shù)測試，我們也應(yīng)該利用多協(xié)議進(jìn)行一些諸如PPS（packerspersecond）和吞吐量測試，而這也被稱為*墻壓力測試。

4.4“FirewallLoad”-*墻負(fù)載測試

4.4.1目標(biāo)

定義在多個(gè)以IP協(xié)議為基礎(chǔ)的流量下和DoS攻擊下*墻的操作：*墻會(huì)在負(fù)載和攻擊下仍然保持可用性嗎？

4.4.2額外要求

所有協(xié)議軟件應(yīng)被捆綁入DDoS包內(nèi)。

4.4.3運(yùn)行“FirewallLoad”

1.選擇并且復(fù)制“FirewallStress”到“FirewallLoad”中

新建一個(gè)流量負(fù)載，流量負(fù)載代表你的網(wǎng)絡(luò)流量包含了多個(gè)協(xié)議。

例如，你可以新建用戶配置文件，這個(gè)文件代表一個(gè)流量包括了多個(gè)權(quán)重的應(yīng)用流量，如HTTP（20%）、FTP（20%）、SMPT（40%）、RTSP（20%）和HTTPS（20%）。指明的權(quán)重是任意的——選擇權(quán)重來反映現(xiàn)實(shí)通過*墻的流量。

再次運(yùn)行修改過的“FirewallLoad”

修改的負(fù)載，假如需要。

確定沒有失敗測試。

以下是修改*墻配置的例子

static(inside,outside)10.10.10.1010.10.10.10

static(inside,outside)10.10.10.1110.10.10.11

static(inside,outside)10.10.10.1210.10.10.12

static(inside,outside)10.10.10.1310.10.10.13

mailhost(inside,outside)10.10.10.1410.10.10.141011

conduit(inside,outside)10.10.10.1080tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.1121tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.12554tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.13443tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.1425tcp0.0.0.00.0.0.0

routeoutside192.168.0.0255.255.255.128192.168.0.21

routeoutside192.168.0.128255.255.255.128192.168.0.1291

timeoutxlate24:00:00conn12:00:00udp0:02:00

timeoutrpc0:10:00h3230:05:00uauth0:05:00

3.運(yùn)行“FirewallLoad”并且監(jiān)視Avalanche上的實(shí)時(shí)結(jié)果。

例如，單擊HTTP（見圖7）和RSTP標(biāo)簽（見圖8）。Avalanche展示了測試過程中每個(gè)協(xié)議的實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù)，并且測試后也有電子表格統(tǒng)計(jì)數(shù)據(jù)。

圖7：“FirewallLoad”中HTTP實(shí)時(shí)測試結(jié)果

圖8：“FirewallLoad”中RTSP實(shí)時(shí)測試結(jié)果

不斷提高虛擬用戶的數(shù)量（Simusers），可以定義受保護(hù)Web服務(wù)器（用Reflector來模擬）的頁面響應(yīng)時(shí)間或者是媒體服務(wù)器的流響應(yīng)時(shí)間下降閥值點(diǎn)。

僅僅單提高虛擬用戶的數(shù)量是不充足的?！皩?shí)時(shí)測試”不僅要求很大數(shù)量的用戶同時(shí)要求多個(gè)不同的IP協(xié)議以體現(xiàn)一**的應(yīng)用訪問。Avalanche可以觀察到通過*墻的每個(gè)用戶所使用的每個(gè)協(xié)議的延遲是否能滿足你的響應(yīng)時(shí)間要求。這是有可能的，利用Avalanche的“實(shí)時(shí)”測試可以揭示出40個(gè)并發(fā)用戶通過*墻訪問的雙向延遲是否是可接受的。無論如何，如以下圖9所展示的，對于混合多種應(yīng)用環(huán)境來說（HTTP，HTTPS和FTP），45個(gè)或者多的并發(fā)用戶可能導(dǎo)致非常高和不規(guī)則的響應(yīng)時(shí)間。

假如同一個(gè)應(yīng)用條件又包括進(jìn)RTP/RTSP、Telnet、DNS、SMPT和另外的IP協(xié)議（Avalanche支持所有應(yīng)用類型），通過*墻的延遲將會(huì)變得很糟糕。

圖9：提高并發(fā)用戶數(shù)導(dǎo)致“FirewallLoad”性能的下降

5.將模擬DDoS攻擊加入測試中。

今日大部分*墻常常遭到黑客的攻擊，這些黑客試圖闖入你的網(wǎng)絡(luò)。DDoS攻擊使用假IP地址進(jìn)行攻擊并且持續(xù)不斷的換形式。Avalanche可以將DDoS攻擊作為流量的一部分通過*墻，從而加地模擬了現(xiàn)實(shí)網(wǎng)絡(luò)。

現(xiàn)在你可以測試不好的DDoS流量對于正常流量的影響，這可通過變化混合的流量比例來實(shí)現(xiàn)

◆保持DDoS流量不變（例如是5%），而這時(shí)改變多協(xié)議正常流量的比例（例如是SMTP:FTP:HTTP:HTTPS以45:15:30:10的比例混合）

◆變化DDoS流量（例如從3、5到8%），正常流量的比例同上。

◆兩者都變化——在修改DDoS流量的同時(shí)也修改正常流量的比例。

以上3種立測試可以驗(yàn)證你的*墻在攻擊下是否可以繼續(xù)保持可用性，并且通過*墻的傳輸延遲是否也可以保持在一個(gè)可接受的水平。

以下展示了關(guān)于以上描述的測試案例

為了將DDoS攻擊作為現(xiàn)實(shí)流量的一部分，在Avalanche上打開“FirewallLoad”并打開“InlineDDoS”選項(xiàng)。（見圖10）

你將會(huì)看到一個(gè)測試列表，例如PingofDeath、Smurf、SYNfloods和其他一些攻擊。

單擊你所需要的攻擊類型并編輯每個(gè)攻擊相關(guān)的變量。關(guān)于每個(gè)攻擊變量編輯的詳細(xì)內(nèi)容，您可以使用Avalanche用戶手冊進(jìn)行詳細(xì)查閱。

除此之外，你也可以使用腳本功能來操縱以太網(wǎng)幀每個(gè)數(shù)據(jù)包中比的詳細(xì)內(nèi)容來定義攻擊，假如你需要的話。

圖10：使用InlineDDoS選項(xiàng)配置一個(gè)DDoS攻擊

圖11顯示了中等數(shù)量的DDoS攻擊如何使你的*墻可用性下降的。注意在一個(gè)4~5秒期間（在此例中，大約是從02：50至02：56），在攻擊下沒有建立新的TCP連接。

圖11：在遭受到DDoS攻擊下，TCP性能下降。

假如在很長的一段時(shí)間內(nèi)，*墻都不能建立一個(gè)新的連接，那么在這段時(shí)間內(nèi)，它就會(huì)變得不可用，甚至是在攻擊后的恢復(fù)階段。這是一個(gè)非常重要的發(fā)現(xiàn)，它會(huì)幫助你認(rèn)識到*墻在攻擊下的可用性，在這時(shí)*墻會(huì)成為整個(gè)IT應(yīng)用的瓶頸。

圖12：在遭受到DDoS攻擊下，響應(yīng)時(shí)間也變大

通過我們完成包含進(jìn)DDoS攻擊的“FirewallLoad”測試后，注意到以下幾點(diǎn)：

◆在DDoS攻擊階段，HTTP和FTP服務(wù)會(huì)停止！

◆一些RTSP流還保持了活動(dòng)狀態(tài)而TCP連接開始被重置。

某些特別的*墻在受到攻擊后，會(huì)處理SMPT/E-mail。因此，即使是HTTP和FTP的處理被中斷了，*墻會(huì)繼續(xù)處理郵件。

有些*墻也許會(huì)用shutdown來代替恢復(fù)。我們建議運(yùn)行DDoS注入測試的時(shí)間應(yīng)該保持很長的一段時(shí)間，因?yàn)槟壳暗?墻經(jīng)常會(huì)受到來自于公共Internet的攻擊。

即使是攻擊過后，*墻的恢復(fù)時(shí)間仍然很長。例如，如圖12顯示，甚至是在恢復(fù)后，HTTP的響應(yīng)時(shí)間達(dá)到了一分鐘——這對于電子商務(wù)類型的應(yīng)用來說，這是不可接受的。

到此為止我們已經(jīng)討論完新建*墻基本測試、壓力和負(fù)載測試的過程。在利用Avalanche/Reflector測試百兆*墻的過程中，我們有如下發(fā)現(xiàn)：

◆HTTP應(yīng)用的CPS測試值過了2400，但是混合其他應(yīng)用（如FTP）以后CPS值則下降了大約75%。

◆大的CPS會(huì)導(dǎo)致流量速度減慢，很可能會(huì)導(dǎo)致不可接受。

◆當(dāng)開發(fā)連接到達(dá)120000時(shí)——一些事務(wù)可能不能完成

◆當(dāng)有40個(gè)并發(fā)用戶數(shù)時(shí)，混合流量可以滿足服務(wù)等級協(xié)定（ServiceLevelAgreements，SLA），如果要想支持多的用戶要求，則需要對*墻進(jìn)行高等級的性能升級。

◆在DDoS攻擊期間，*墻不允許HTTP或者FTP流量的訪問。郵件流量是安全的，如果某些*墻保證SMPT吞吐量有級的話。

這篇應(yīng)用文章提示了我們?nèi)绾斡贸５霓k法來評估*墻，此測試方法可以的描述出*墻在一定負(fù)載的情況下可用性。這些測試中的重要發(fā)現(xiàn)可以幫助我們發(fā)現(xiàn)*墻是否符合安全型和可用性：

◆確認(rèn)你的網(wǎng)絡(luò)的可用性能

◆數(shù)據(jù)吞吐量（Mbps/Gbps）

◆數(shù)據(jù)轉(zhuǎn)發(fā)率（PPS）

◆并發(fā)TCP連接能力（連接表中的大實(shí)體）

◆DDoS攻擊下的可用性

我們需要認(rèn)識到，僅僅利用這些實(shí)驗(yàn)室測試結(jié)果就來評估*墻的可用性是不夠的。因?yàn)楝F(xiàn)實(shí)網(wǎng)絡(luò)中的應(yīng)用情況是千變?nèi)f化的，比實(shí)驗(yàn)室環(huán)境為復(fù)雜。

實(shí)驗(yàn)室環(huán)境真實(shí)世界環(huán)境面臨風(fēng)險(xiǎn)

單個(gè)設(shè)備多個(gè)設(shè)備互操作性端到端的安全性和可用性

受控的流量復(fù)雜不受控的流量混合多協(xié)議、性能不穩(wěn)定、安全性和可用性

較少的安全策略分層的安全策略多個(gè)安全策略下的行為

單個(gè)網(wǎng)絡(luò)復(fù)雜的Internet行為延遲，包丟失（還有其他）

受控的負(fù)載測試變化的負(fù)載負(fù)載范圍變化很廣情況下的性能

表1:實(shí)驗(yàn)室測試VS真實(shí)世界條件所需要面臨的風(fēng)險(xiǎn)


深圳市龍崗區(qū)平湖泰利信電子經(jīng)營部專注于SPT-N12U,網(wǎng)絡(luò)測試儀,Xgig1000協(xié)議分析儀,BigTao打流測試儀,BIGTAO打流儀,12G/24G,SAS/SATA,分析儀,SPT-2U網(wǎng)絡(luò)性能分析儀,Nustreams-2000i,SPT,N4U,Abacus100語音質(zhì)量分析儀等, 歡迎致電 13691665188

• 詞條

  詞條說明

• Anue CLK-2U Attero

  Anue CLK-2U? ?Attero網(wǎng)絡(luò)損傷測試儀Anue CLK-2U? ?AtteroSpirent思博倫 Attero 網(wǎng)絡(luò)仿真器使用行業(yè)標(biāo)準(zhǔn)的Attero模仿“云”，Attero-X和Attero-Lite網(wǎng)絡(luò)仿真測試解決方案。Attero，Attero-X和Attero-Lite允許您模擬網(wǎng)絡(luò)或以準(zhǔn)確且可重復(fù)的方式對網(wǎng)絡(luò)元素進(jìn)行全面的壓力測試通

• PCM-4 信道分析儀

  廠家: Wandel & Goltermann尺寸重量: 477*244*425mm 25kg形成自動(dòng)測試序列的設(shè)置鏈接A-A，A-D，D-A，D-D測量（“半信道”和“全信道”測量）進(jìn)行數(shù)字信號處理，以提高速度和精度針對特定應(yīng)用的容差摸板的圖形顯示可達(dá)128kHz的帶外測量Acts as a system controller for MU-30 test point scanner,

• 思博倫 spirent C1，為通信安全保駕

  思博倫 spirent C1，為通信安全保駕眾所周知，現(xiàn)在是信息高速發(fā)展的時(shí)代。我們的世界不僅需要，也需要強(qiáng)大的安全**，我們需要高質(zhì)量情報(bào)。以便在研發(fā)產(chǎn)品以及在項(xiàng)目投資方面作出明確的決定并在保證程序的可靠性和可訪問性的同時(shí)，提高用戶們的信息的安全性。為此，思博倫通信公司提供了一系列的技術(shù)，以滿足其客戶與日俱增的龐大的市場需求。思博倫通信為模擬真實(shí)的信息流量和各種威脅場景，幫助你評估您網(wǎng)絡(luò)的安全環(huán)

• CALNEX,網(wǎng)絡(luò)同步和網(wǎng)絡(luò)損傷儀

  CALNEX,網(wǎng)絡(luò)同步和網(wǎng)絡(luò)損傷的**者，世界良好產(chǎn)品卡奈斯Calnex Paragon-X 時(shí)頻和同步以太網(wǎng)測試系統(tǒng)，同步網(wǎng)絡(luò)分析儀和時(shí)頻綜合測量儀，通信網(wǎng)絡(luò)的同步包括時(shí)鐘（頻率）同步和時(shí)間同步。IEEE 1588V2.測試PTP（時(shí)間協(xié)議），SyncE（同步以太網(wǎng)）、NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）、CES（電路仿真業(yè)務(wù)）和OAM（操作、管理及維護(hù)），速率高至10b/s。PTP時(shí)間協(xié)議（1588）及CE