Spirent*墻測(cè)試方法 2

時(shí)間：2024-12-21作者：深圳市龍崗區(qū)平湖泰利信電子經(jīng)營(yíng)部瀏覽：352

配置*墻：

以下是一個(gè)典型*墻所需要配置的樣例文件。它包含了網(wǎng)絡(luò)IP地址和策略，也只是簡(jiǎn)單地完成了“允許http”和“允許ftp”規(guī)則設(shè)置（每個(gè)廠商的語(yǔ)法要求都是有些變化的）。注意到這只是一個(gè)例子來(lái)演示測(cè)試方法；每一家*墻廠商都會(huì)有不同的配置腳本和工具。

ipaddressoutside192.168.0.1255.255.0.0

ipaddressinside10.10.10.1255.255.255.0

static(inside,outside)10.10.10.1010.10.10.10

static(inside,outside)10.10.10.1110.10.10.11

conduit(inside,outside)10.10.10.1080tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.1121tcp0.0.0.00.0.0.0

routeoutside192.168.0.128255.255.255.128192.168.0.129

routeoutside192.168.0.0255.255.255.128192.168.0.2

timeoutxlate24:00:00conn12:00:00udp0:02:00

timeoutrpc0:10:00h3230:05:00uauth0:05:00

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

3.選擇并且復(fù)制“FirewallBasic”到“FirewallStressCPS”中

4.修改負(fù)載來(lái)校準(zhǔn)CPS：

使用70%的宣稱基準(zhǔn)值以確保你有一個(gè)成功的結(jié)果

圖4：決定*墻的大CPS值

逐步修改測(cè)試伊始的Avalanche的CPS值，使用穩(wěn)定階段和拆卸階段的值來(lái)確定總共的CPS值——反應(yīng)了每個(gè)測(cè)試步驟地總共值（不同的測(cè)試階段）——后測(cè)試值應(yīng)過(guò)基準(zhǔn)測(cè)試值的30-50%。

5.運(yùn)行“FirewallStressCPS”

6.在Avalanche上的用戶配置文件中加入U(xiǎn)RL，以混合進(jìn)FTP協(xié)議測(cè)試，此外還要在Reflector上配置FTP服務(wù)器。

和生存周期比較短的HTTP連接相比，F(xiàn)TP交易的生存周期則比較長(zhǎng)并且會(huì)消耗*墻內(nèi)存資源（連接表）。新的連接會(huì)消耗*墻CPU和內(nèi)存資源。和FTP相關(guān)的連接表消耗了*墻內(nèi)存資源，你應(yīng)該關(guān)注圖4中斷點(diǎn)（breakpoint）左側(cè)的CPS數(shù)值。圖5則展示了CPS動(dòng)態(tài)變化值。

注意：所有的參數(shù)值都會(huì)保持不變，僅僅是FTP會(huì)導(dǎo)致CPS值75%的跌落。你的*墻會(huì)有不同的斷點(diǎn)。

*墻廠商沒(méi)有必要提供以上這些數(shù)據(jù)，加入多的協(xié)議（例如RTSP/RTP）則會(huì)要求*墻內(nèi)多的內(nèi)在資源，從而導(dǎo)致*墻性能的動(dòng)態(tài)下降。

注意：在圖5中：一個(gè)URL的HTTP1.0和FTP其連接數(shù)和每秒交易數(shù)量（TPS）是1：1的關(guān)系，因此TPS和CPS的標(biāo)簽是相同的。

圖5：CPS受到了多協(xié)議測(cè)試的影響

7.衡量由于FTP負(fù)載所引起的響應(yīng)時(shí)間上升

當(dāng)逐步提高*墻的CPS值時(shí)，數(shù)據(jù)*墻的過(guò)程和響應(yīng)延遲也會(huì)逐步提升。既然*墻是Web服務(wù)器訪問(wèn)的看門人，所以提高延遲等同于減緩了用戶訪問(wèn)Web服務(wù)器的時(shí)間，在一些情況下，訪問(wèn)時(shí)間會(huì)變得不可接受。

圖6：由于FTP加入了HTTP交易所已導(dǎo)致響應(yīng)時(shí)間的上升

除了CPS測(cè)試（步驟5和步驟6），并發(fā)連接也是*墻基準(zhǔn)測(cè)試中的關(guān)鍵參數(shù)。以下步驟顯示了如何進(jìn)行并發(fā)連接數(shù)測(cè)試：

打開“FirewallStress”測(cè)試并將其復(fù)制到“FWOpen”。

變化負(fù)載配置文件來(lái)反映SimUser，將此作為負(fù)載而不是CPS。在開始的并發(fā)用戶數(shù)設(shè)置為40個(gè)。逐步提高并發(fā)用戶數(shù)，直到測(cè)試失敗。

在運(yùn)行的樣例文件中，SimUser數(shù)量的中度提高（45以上）已經(jīng)導(dǎo)致了事務(wù)時(shí)。沒(méi)有完成的事務(wù)減少了服務(wù)器的可用性并且降低了性能以致后到達(dá)了不可接受的地步。

除了CPS和連接數(shù)測(cè)試，我們也應(yīng)該利用多協(xié)議進(jìn)行一些諸如PPS（packerspersecond）和吞吐量測(cè)試，而這也被稱為*墻壓力測(cè)試。

4.4“FirewallLoad”-*墻負(fù)載測(cè)試

4.4.1目標(biāo)

定義在多個(gè)以IP協(xié)議為基礎(chǔ)的流量下和DoS攻擊下*墻的操作：*墻會(huì)在負(fù)載和攻擊下仍然保持可用性嗎？

4.4.2額外要求

所有協(xié)議軟件應(yīng)被捆綁入DDoS包內(nèi)。

4.4.3運(yùn)行“FirewallLoad”

1.選擇并且復(fù)制“FirewallStress”到“FirewallLoad”中

新建一個(gè)流量負(fù)載，流量負(fù)載代表你的網(wǎng)絡(luò)流量包含了多個(gè)協(xié)議。

例如，你可以新建用戶配置文件，這個(gè)文件代表一個(gè)流量包括了多個(gè)權(quán)重的應(yīng)用流量，如HTTP（20%）、FTP（20%）、SMPT（40%）、RTSP（20%）和HTTPS（20%）。指明的權(quán)重是任意的——選擇權(quán)重來(lái)反映現(xiàn)實(shí)通過(guò)*墻的流量。

再次運(yùn)行修改過(guò)的“FirewallLoad”

修改的負(fù)載，假如需要。

確定沒(méi)有失敗測(cè)試。

以下是修改*墻配置的例子

static(inside,outside)10.10.10.1010.10.10.10

static(inside,outside)10.10.10.1110.10.10.11

static(inside,outside)10.10.10.1210.10.10.12

static(inside,outside)10.10.10.1310.10.10.13

mailhost(inside,outside)10.10.10.1410.10.10.141011

conduit(inside,outside)10.10.10.1080tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.1121tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.12554tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.13443tcp0.0.0.00.0.0.0

conduit(inside,outside)10.10.10.1425tcp0.0.0.00.0.0.0

routeoutside192.168.0.0255.255.255.128192.168.0.21

routeoutside192.168.0.128255.255.255.128192.168.0.1291

timeoutxlate24:00:00conn12:00:00udp0:02:00

timeoutrpc0:10:00h3230:05:00uauth0:05:00

3.運(yùn)行“FirewallLoad”并且監(jiān)視Avalanche上的實(shí)時(shí)結(jié)果。

例如，單擊HTTP（見圖7）和RSTP標(biāo)簽（見圖8）。Avalanche展示了測(cè)試過(guò)程中每個(gè)協(xié)議的實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù)，并且測(cè)試后也有電子表格統(tǒng)計(jì)數(shù)據(jù)。

圖7：“FirewallLoad”中HTTP實(shí)時(shí)測(cè)試結(jié)果

圖8：“FirewallLoad”中RTSP實(shí)時(shí)測(cè)試結(jié)果

不斷提高虛擬用戶的數(shù)量（Simusers），可以定義受保護(hù)Web服務(wù)器（用Reflector來(lái)模擬）的頁(yè)面響應(yīng)時(shí)間或者是媒體服務(wù)器的流響應(yīng)時(shí)間下降閥值點(diǎn)。

僅僅單提高虛擬用戶的數(shù)量是不充足的?！皩?shí)時(shí)測(cè)試”不僅要求很大數(shù)量的用戶同時(shí)要求多個(gè)不同的IP協(xié)議以體現(xiàn)一**的應(yīng)用訪問(wèn)。Avalanche可以觀察到通過(guò)*墻的每個(gè)用戶所使用的每個(gè)協(xié)議的延遲是否能滿足你的響應(yīng)時(shí)間要求。這是有可能的，利用Avalanche的“實(shí)時(shí)”測(cè)試可以揭示出40個(gè)并發(fā)用戶通過(guò)*墻訪問(wèn)的雙向延遲是否是可接受的。無(wú)論如何，如以下圖9所展示的，對(duì)于混合多種應(yīng)用環(huán)境來(lái)說(shuō)（HTTP，HTTPS和FTP），45個(gè)或者多的并發(fā)用戶可能導(dǎo)致非常高和不規(guī)則的響應(yīng)時(shí)間。

假如同一個(gè)應(yīng)用條件又包括進(jìn)RTP/RTSP、Telnet、DNS、SMPT和另外的IP協(xié)議（Avalanche支持所有應(yīng)用類型），通過(guò)*墻的延遲將會(huì)變得很糟糕。

圖9：提高并發(fā)用戶數(shù)導(dǎo)致“FirewallLoad”性能的下降

5.將模擬DDoS攻擊加入測(cè)試中。

今日大部分*墻常常遭到黑客的攻擊，這些黑客試圖闖入你的網(wǎng)絡(luò)。DDoS攻擊使用假IP地址進(jìn)行攻擊并且持續(xù)不斷的換形式。Avalanche可以將DDoS攻擊作為流量的一部分通過(guò)*墻，從而加地模擬了現(xiàn)實(shí)網(wǎng)絡(luò)。

現(xiàn)在你可以測(cè)試不好的DDoS流量對(duì)于正常流量的影響，這可通過(guò)變化混合的流量比例來(lái)實(shí)現(xiàn)

◆保持DDoS流量不變（例如是5%），而這時(shí)改變多協(xié)議正常流量的比例（例如是SMTP:FTP:HTTP:HTTPS以45:15:30:10的比例混合）

◆變化DDoS流量（例如從3、5到8%），正常流量的比例同上。

◆兩者都變化——在修改DDoS流量的同時(shí)也修改正常流量的比例。

以上3種立測(cè)試可以驗(yàn)證你的*墻在攻擊下是否可以繼續(xù)保持可用性，并且通過(guò)*墻的傳輸延遲是否也可以保持在一個(gè)可接受的水平。

以下展示了關(guān)于以上描述的測(cè)試案例

為了將DDoS攻擊作為現(xiàn)實(shí)流量的一部分，在Avalanche上打開“FirewallLoad”并打開“InlineDDoS”選項(xiàng)。（見圖10）

你將會(huì)看到一個(gè)測(cè)試列表，例如PingofDeath、Smurf、SYNfloods和其他一些攻擊。

單擊你所需要的攻擊類型并編輯每個(gè)攻擊相關(guān)的變量。關(guān)于每個(gè)攻擊變量編輯的詳細(xì)內(nèi)容，您可以使用Avalanche用戶手冊(cè)進(jìn)行詳細(xì)查閱。

除此之外，你也可以使用腳本功能來(lái)操縱以太網(wǎng)幀每個(gè)數(shù)據(jù)包中比的詳細(xì)內(nèi)容來(lái)定義攻擊，假如你需要的話。

圖10：使用InlineDDoS選項(xiàng)配置一個(gè)DDoS攻擊

圖11顯示了中等數(shù)量的DDoS攻擊如何使你的*墻可用性下降的。注意在一個(gè)4~5秒期間（在此例中，大約是從02：50至02：56），在攻擊下沒(méi)有建立新的TCP連接。

圖11：在遭受到DDoS攻擊下，TCP性能下降。

假如在很長(zhǎng)的一段時(shí)間內(nèi)，*墻都不能建立一個(gè)新的連接，那么在這段時(shí)間內(nèi)，它就會(huì)變得不可用，甚至是在攻擊后的恢復(fù)階段。這是一個(gè)非常重要的發(fā)現(xiàn)，它會(huì)幫助你認(rèn)識(shí)到*墻在攻擊下的可用性，在這時(shí)*墻會(huì)成為整個(gè)IT應(yīng)用的瓶頸。

圖12：在遭受到DDoS攻擊下，響應(yīng)時(shí)間也變大

通過(guò)我們完成包含進(jìn)DDoS攻擊的“FirewallLoad”測(cè)試后，注意到以下幾點(diǎn)：

◆在DDoS攻擊階段，HTTP和FTP服務(wù)會(huì)停止！

◆一些RTSP流還保持了活動(dòng)狀態(tài)而TCP連接開始被重置。

某些特別的*墻在受到攻擊后，會(huì)處理SMPT/E-mail。因此，即使是HTTP和FTP的處理被中斷了，*墻會(huì)繼續(xù)處理郵件。

有些*墻也許會(huì)用shutdown來(lái)代替恢復(fù)。我們建議運(yùn)行DDoS注入測(cè)試的時(shí)間應(yīng)該保持很長(zhǎng)的一段時(shí)間，因?yàn)槟壳暗?墻經(jīng)常會(huì)受到來(lái)自于公共Internet的攻擊。

即使是攻擊過(guò)后，*墻的恢復(fù)時(shí)間仍然很長(zhǎng)。例如，如圖12顯示，甚至是在恢復(fù)后，HTTP的響應(yīng)時(shí)間達(dá)到了一分鐘——這對(duì)于電子商務(wù)類型的應(yīng)用來(lái)說(shuō)，這是不可接受的。

到此為止我們已經(jīng)討論完新建*墻基本測(cè)試、壓力和負(fù)載測(cè)試的過(guò)程。在利用Avalanche/Reflector測(cè)試百兆*墻的過(guò)程中，我們有如下發(fā)現(xiàn)：

◆HTTP應(yīng)用的CPS測(cè)試值過(guò)了2400，但是混合其他應(yīng)用（如FTP）以后CPS值則下降了大約75%。

◆大的CPS會(huì)導(dǎo)致流量速度減慢，很可能會(huì)導(dǎo)致不可接受。

◆當(dāng)開發(fā)連接到達(dá)120000時(shí)——一些事務(wù)可能不能完成

◆當(dāng)有40個(gè)并發(fā)用戶數(shù)時(shí)，混合流量可以滿足服務(wù)等級(jí)協(xié)定（ServiceLevelAgreements，SLA），如果要想支持多的用戶要求，則需要對(duì)*墻進(jìn)行高等級(jí)的性能升級(jí)。

◆在DDoS攻擊期間，*墻不允許HTTP或者FTP流量的訪問(wèn)。郵件流量是安全的，如果某些*墻保證SMPT吞吐量有級(jí)的話。

這篇應(yīng)用文章提示了我們?nèi)绾斡贸５霓k法來(lái)評(píng)估*墻，此測(cè)試方法可以的描述出*墻在一定負(fù)載的情況下可用性。這些測(cè)試中的重要發(fā)現(xiàn)可以幫助我們發(fā)現(xiàn)*墻是否符合安全型和可用性：

◆確認(rèn)你的網(wǎng)絡(luò)的可用性能

◆數(shù)據(jù)吞吐量（Mbps/Gbps）

◆數(shù)據(jù)轉(zhuǎn)發(fā)率（PPS）

◆并發(fā)TCP連接能力（連接表中的大實(shí)體）

◆DDoS攻擊下的可用性

我們需要認(rèn)識(shí)到，僅僅利用這些實(shí)驗(yàn)室測(cè)試結(jié)果就來(lái)評(píng)估*墻的可用性是不夠的。因?yàn)楝F(xiàn)實(shí)網(wǎng)絡(luò)中的應(yīng)用情況是千變?nèi)f化的，比實(shí)驗(yàn)室環(huán)境為復(fù)雜。

實(shí)驗(yàn)室環(huán)境真實(shí)世界環(huán)境面臨風(fēng)險(xiǎn)

單個(gè)設(shè)備多個(gè)設(shè)備互操作性端到端的安全性和可用性

受控的流量復(fù)雜不受控的流量混合多協(xié)議、性能不穩(wěn)定、安全性和可用性

較少的安全策略分層的安全策略多個(gè)安全策略下的行為

單個(gè)網(wǎng)絡(luò)復(fù)雜的Internet行為延遲，包丟失（還有其他）

受控的負(fù)載測(cè)試變化的負(fù)載負(fù)載范圍變化很廣情況下的性能

表1:實(shí)驗(yàn)室測(cè)試VS真實(shí)世界條件所需要面臨的風(fēng)險(xiǎn)


深圳市龍崗區(qū)平湖泰利信電子經(jīng)營(yíng)部專注于SPT-N12U,網(wǎng)絡(luò)測(cè)試儀,Xgig1000協(xié)議分析儀,BigTao打流測(cè)試儀,BIGTAO打流儀,12G/24G,SAS/SATA,分析儀,SPT-2U網(wǎng)絡(luò)性能分析儀,Nustreams-2000i,SPT,N4U,Abacus100語(yǔ)音質(zhì)量分析儀等, 歡迎致電 13691665188

• 詞條

  詞條說(shuō)明

• Anue CLK-2U Attero

  Anue CLK-2U? ?Attero網(wǎng)絡(luò)損傷測(cè)試儀Anue CLK-2U? ?AtteroSpirent思博倫 Attero 網(wǎng)絡(luò)仿真器使用行業(yè)標(biāo)準(zhǔn)的Attero模仿“云”，Attero-X和Attero-Lite網(wǎng)絡(luò)仿真測(cè)試解決方案。Attero，Attero-X和Attero-Lite允許您模擬網(wǎng)絡(luò)或以準(zhǔn)確且可重復(fù)的方式對(duì)網(wǎng)絡(luò)元素進(jìn)行全面的壓力測(cè)試通

• VOIP方面的測(cè)試方法和經(jīng)驗(yàn)

  VOIP方面的測(cè)試方法和經(jīng)驗(yàn)一，VOIP測(cè)試方法學(xué)。二，VOIP測(cè)試結(jié)果分析。三，VOIP測(cè)試中常見的錯(cuò)誤。四，IP-PBX和IP呼叫中心的測(cè)試應(yīng)用。思博倫在IP測(cè)試方面積累了多年的經(jīng)驗(yàn)，總結(jié)來(lái)說(shuō)在測(cè)試方法這方面有三部分，這三部分是環(huán)環(huán)相扣的，不能從一步直接跳到三步，這都是不可以的。在VOIP方面我們要進(jìn)行孤立節(jié)點(diǎn)的測(cè)試。我們知道我們VOIP在網(wǎng)絡(luò)當(dāng)中節(jié)點(diǎn)很多從終端到網(wǎng)絡(luò)節(jié)點(diǎn)到網(wǎng)的軟交換等等都有很

• 多用戶流量發(fā)生器/性能分析儀IXIA WaveTest

  多用戶流量發(fā)生器/性能分析儀IXIA WaveTestIXIA WaveTest 是一款功能強(qiáng)大的流量發(fā)生器/ 分析儀，能夠模擬立的成千上萬(wàn)個(gè)無(wú)線用戶終端?？梢蕴峁㊣EEE 802.11 a/b/g/n 接口以及10/100/1000 Mbps 以太網(wǎng)接口?？梢詼?zhǔn)確、重復(fù)、地產(chǎn)生網(wǎng)絡(luò)流量，從而對(duì)被測(cè)網(wǎng)絡(luò)或者被測(cè)網(wǎng)元的功能、質(zhì)量和性能提供特的考量。產(chǎn)品特點(diǎn)：w?? WaveTes

• 思博倫 spirent C1，為通信安全保駕

  思博倫 spirent C1，為通信安全保駕眾所周知，現(xiàn)在是信息高速發(fā)展的時(shí)代。我們的世界不僅需要，也需要強(qiáng)大的安全**，我們需要高質(zhì)量情報(bào)。以便在研發(fā)產(chǎn)品以及在項(xiàng)目投資方面作出明確的決定并在保證程序的可靠性和可訪問(wèn)性的同時(shí)，提高用戶們的信息的安全性。為此，思博倫通信公司提供了一系列的技術(shù)，以滿足其客戶與日俱增的龐大的市場(chǎng)需求。思博倫通信為模擬真實(shí)的信息流量和各種威脅場(chǎng)景，幫助你評(píng)估您網(wǎng)絡(luò)的安全環(huán)