首页 > 学院 > 网络通信 > 正文

关注交换机的细节问题

2019-11-05 01:59:09
字体:
来源:转载
供稿:网友
我们又开始了交换机的公开比较测试。此次测试的重点在安全领域,比如交换机能够支持的认证方式,支持端口控制能力,厂商开发的一些标准或者非标准的安全功能。

性能测试不是此次测试的重点,但是我们还是做了两部分的测试,一个是简单的性能转发,一个是acl的性能转发。

简单性能转发测试里,我们进行了网状拓扑的转发测试,两个千兆分别和两组每组10个百兆端口进行双向的通信,余下的4个百兆端口进行全网状的通信,即一个对另外三个。

而后是延迟测试,测试交换机百兆端口和千兆端口的延迟。

这一测试完成之后是加ACL的测试。我们要求被测设备每个端口添加10条acl,要求交换机丢弃进入到交换机的udp目的端口号从1001到1010的数据包。这样的想法是来自于冲击波的病毒防范。一些工程师会采用这样的方法丢弃病毒数据包,保证网络的安全。这是一个比较初级的手段。重复进行吞吐量和延迟测试。

总体看增加了ACL之后的吞吐量测试和延迟测试结果,与前者差距不大,甚至有的产品的延迟还要低一些。究竟延迟测试需要多次取样,取平均值,我们测试的3次取平均值,还是可能会导致有一些结果的偏移,总体看应该是增加acl后延迟区别不大。

我们收到的交换机都支持2/3/4层的ACL,但是区别还是蛮大的。比如有的交换机或者版本上,只能支持总共不足100条ACL,这样提交给所有的端口,统一的10条acl就会不足。有的产品配置的时候看到acl的序列号有很多比如1-255,但是当提交到第10条的时候就会失败。

很多用户可能从来不在交换机上部署acl。但是假如网络出现异常,acl是一个应急的好方法(我不觉得会是长久之策)。但是,仅仅看厂商支持不支持可是不行,应该看看支持多少,其实也不难,添加几次就可以。区别还真挺大。

我们的测试还在继续,性能测试除了几家版本不对的产品,已经告一段落。我们接下来要测试acl的易用性、认证功能、以及其他的安全特性。这部分测试很多是有很大差异性的,厂家的理解不一样,做法也不同。



发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表