Chinaunix首页 | 论坛 | 博客
  • 博客访问: 400217
  • 博文数量: 77
  • 博客积分: 2031
  • 博客等级: 大尉
  • 技术积分: 855
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-15 19:54
文章分类

全部博文(77)

文章存档

2011年(1)

2009年(52)

2008年(24)

我的朋友

分类: 网络与安全

2009-07-13 22:12:05

防火墙的性能测试包括以下内容
· 吞吐量(Throughput)(RFC 2544)
· 丢包率(Frame Loss Rate)(RFC 2544)
· 延迟(Latency)(RFC 2544)
· 最大并发连接数(Concurrent Sessions)(RFC 2647)
· 每秒新连接的建立能力(New Sessions)(RFC 2647)
1 吞吐量测试
防火墙在各种帧长的满负载(100M或1000M)双向(Bidirectional Traffic)UDP数据包情况下的稳定性表现。这项测试用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工 作时的数据传输处理能力,是其它指标的基础。它反映的是防火墙的数据包转发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟,所以 知道防火墙实际的最大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。这项测试与防火墙本身的CPU速 率、DRAM内存的大小等基本配置有着直接的关系。
测试单位:fps(frame per second),每秒钟传输的帧个数。
【测试条件】
测试仪配置
100M速率,单工(100 Mbit/s half-duplex);
1000M速率,单工(1000 Mbit/s half-duplex);
单向(Unidirectional Traffic)/双向(Bidirectional Traffic)、IXIA 或Smatbit生成的数据流,UDP数据包;
测试Trial数:2;
测试时长:120秒;
允许的丢包率(Loss Tolerance):0(Zero-loss);
测试帧长(Frame Size):64、128、256、512、1518 bytes。
【测试项目】
1. 防火墙在1条规则情况下关闭NAT时的各种帧长的数据包转发能力(双向)。
2. 防火墙在1条规则情况下打开NAT时的各种帧长的数据包转发能力(单向)。
3. 防火墙在100条规则情况下各种帧长的数据包转发能力(双向)。

2.丢包率
这项测试用来确定防火墙在不同传输速率下丢失数据包的百分数,目的在于测试防火墙在超负载情况下的性能。
以特定速率发送特定数量的数据包通过防火墙,然后计算被防火墙转发的数据包数量。丢包率用以下公式计算:
( ( input_count - output_count ) *100 % ) / input_count
测试单位:被丢弃的帧占所有应转发的帧的百分比
【测试条件】
100M速率,单工(100 Mbit/s Half-duplex);
1000M速率,单工(1000 Mbit/s Half-duplex);
双向(Bidirectional Traffic)、IXIA 或Smatbit生成的数据流,UDP数据包;
测试Trial数:2;
测试时长:120秒;
测试帧长(Frame Size):64、128、256、512、1518 bytes
【测试项目】
防火墙在1条规则情况下各种帧长的数据包转发能力下的丢包率

3.延迟
这项测试通常是指测试从测试数据帧的最后一个比特进入被测设备端口开始至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。它的表现也同样取决于防火墙的基本配置。
首先确定在各种帧大小(同上)下防火墙的吞吐量,然后以指定帧大小发送数据流穿过防火墙到指定的目标地址。
测试单位:ns(10-9秒)。
【测试条件】
测试仪配置
£100M速率,全双工(100 Mbit/s Full-duplex);
£1000M速率,全双工(1000 Mbit/s Full-duplex);单向(Unidirectional Traffic)/双向(Bidirectional Traffic);适用于NAT测试、IXIA 或Smatbit生成的数据流,UDP数据包;
测试Trial数:2;
测试时长:120秒;
允许的丢包率(Loss Tolerance):0(Zero-loss);
测试帧长(Frame Size):64、128、256、512、1518 bytes。
【测试项目】
1. 防火墙在1条规则情况下关闭NAT时的数据包转发(通过)能力情况下的各种帧长的延迟(双向)
2.  防火墙在1条规则情况下打开NAT时的数据包转发(通过)能力情况下的各种帧长的延迟(单向)
3.  防火墙在100条规则情况下吞吐量为极限吞吐量双向工作情况下各种帧长的相应延迟
4.  防火墙在吞吐量为20M全双工情况下各个帧长情况下的延迟

4. 防火墙在有一定背景流量下支持的连接数测试
【测试目的】
测试目的在于得出一定流量下防火墙所能顺利建立和保持的并发连接数及一定数量的连接情况下防火墙的吞吐量变化。
【测试条件】
测试仪配置
£100M速率,全双工(100 Mbit/s Full-duplex);
£1000M速率,全双工(1000 Mbit/s Full-duplex);
双向(Bidirectional Traffic)、IXIA 或Smatbit生成的数据流,UDP数据包;
连接数的生成可以使用IXIA 或Smatbit
测试Trial数:2;
允许的丢包率(Loss Tolerance):0(Zero-loss);
测试帧长(Frame Size):64、512、1518 bytes。
流量分别设置为    一对100M bps以太网接口全双工线速转发;
              两对100M bps以太网接口全双工线速转发;
连接数设置为      每秒建立2000个连接  保持200000个会话连接
【测试项目】
防火墙在1条规则情况下,保持一定数量的会话连接时的数据包转发(通过)能力

5. 防火墙支持的连接数测试
【测试目的】
在此项测试中,分别测试防火墙的每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数。测试在1条安全规则下打开和关闭NAT(静态)对TCP连接的新建能力和保持能力。
【测试条件】
测试仪配置
£100M速率,全双工(100 Mbit/s Full-duplex);
£1000M速率,全双工(1000 Mbit/s Full-duplex);
双向(Bidirectional Traffic)、IXIA 或Smatbit生成的HTTP 数据流;每个端口设置发送10000个,使用交换机连接1-2个端口为一组。
连接数的生成可以使用IXIA 或Smatbit。
测试Trial数:2;
【测试项目】
1. 防火墙在一条规则情况下每秒TCP新连接的建立能力。
2.  防火墙在一条规则情况下对TCP连接的保持能力。

6. 背靠背缓存能力
【测试目的】
背靠背是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。该指标用于测试防火墙的数据缓存能力,描述了网络设备承受突发数据的能力,即对突发数据的缓冲能力。
【测试条件】
测试仪配置
£100M速率,全双工(100 Mbit/s Full-duplex);
£1000M速率,全双工(1000 Mbit/s Full-duplex);
双向(Bidirectional Traffic)、IXIA 或Smatbit生成的数据流,UDP数据包;
连接数的生成可以使用IXIA 或Smatbit
【测试项目】
以最小帧间隔发送一定数量(测试时间尽可能长,一般选择120s,40M)的突发帧至被测设备的输入口,记录被测设备正确转发的帧数,如果全部正确转发,增加发送帧数再测试,否则减少发送帧数再测试,直到找到极限值。
此项性能与帧长度可能有关,所以需对不同帧长度的数据流分别测试。

7.  有效通过率
根据RFC2647对防火墙测试的规范中定义的一个重要的指标:goodput(防火墙的真实有效通过率)
因为防火墙在测试过程中,总会有数据包的丢失和重发,所以简单的测试防火墙的通过率是片面的,goodput从应用层测试防火墙的真实有效的传输数据包速率。
简单的说,就是防火墙端口的总转发数据量(bps)减去丢失的和重发的数据量(bps)。
测试方法:用smartbit模拟300个http的请求,看单位时间内最大传输的速率(bps)。
阅读(2477) | 评论(0) | 转发(0) |
0

上一篇:Show ip arp 和 Show mac-address-table

下一篇:DMZ

给主人留下些什么吧!~~