网络层适用评估基于网络层数据包的转发管理控制测试 , 可以说是最基础的网络测试项目 。RFC 2544的相关测试项至今依然适用 , 只不过测试项目已精减到了目前的吞吐量和时延这两项而已 。网络层适用评估适用于下一代防火墙产品中的传统防火墙功能、路由转发功能、NAT以及透明模式下网络接口数据包转发性能评估 。评估指标项目前暂定为吞吐量和时延 。
吞吐量有关吞吐量的适用评估 , 我在思科的ASA 5500X防火墙测试中进行了一次分析 , 这里就不再赘述了 , 有兴趣请参阅评测文章“演进中的下一代”中“稳健可靠的网络传输”http://test.cnw.com.cn/test-report/htm2013/20131112_286063_2.shtml中的相关描述 。
在那里 , 我依据思科反馈的在不同应用场景下数据包平均大小统计 , 将吞吐量指标的合格线定在了512Byte时吞吐量达到或接近100%即可满足用户应用需求 。下一步将依据此项评估指标再与其它下一代防火墙厂商和用户进行沟通 , 收集更多应用需求后再次进行确定 。时延从我个人应用体验来看 , 数据链接建立的最大时延只要不超过1000毫秒(1秒) , 基本上可以忍受 , 但在数据传输时的平均时延就不同了 , 最好在1毫秒以下否则数据传输速率会受到较大影响 。
现在进行测试时 , 时延所采用的数值通常时整个数据传输过程中所有数据包传输的一个平均值 , 这里时延指标的高下就有一些参差不齐了 。个人感觉 , 平均时延如果能在50毫秒以下 , 应用时应该不会有太多传输问题出现 。当然 , 时延的指标还是越小越好 , 具体指标同样还需要继续与厂商进行沟通 。传输层适用评估在实际网络应用中 , 一个传输层连接内有多个应用连接 , 或一个应用会发起多个传输层连接的情况均十分常见 , 因此以往的应用性能测试中 , 传输层应用性能测试项目常常被忽略 , 或与应用层处理性能相混淆 。
而随着下一代防火墙连接管理控制功能逐步受到重视 , 以及未来SDN交换设备的大规模应用 , 此项测试的重要性也将得以突显 。以往对传输层性能测试的方法也与应用层测试差别不大 , 都是采用应用层的网络测试仪表 , 通过建立TCP协议传输通道的方式来考查被测设备的传输层连接建立能力和连接保持能力(TCP新建连接和TCP并发连接) 。
这里就会出现一个问题 , 当前网络及网络安全产品传输层的处理能力在显著提升 , 而测试仪表的测试性能开始出现瓶颈 。前些时间接到一个测试 , 一个1U网络产品 , 传输层的处理性能(数百万的新建性能!)预计需要4-5台高性能应用层测试仪表才可能满足测试需求 。这种情况的出现 , 不但为测试机构 , 同样也为厂商对产品的性能验证提出了更大的挑战 。
可以预计 , 当未来SDN交换机产大规模出现后 , 如果传输层测试方法没有很好改善 , 将会有更多的相关测试问题出现 。为改善这种被动情况 , 必需对测试方法进行改进 。在这里我准备与测试仪表厂商(思博伦和IXIA)进行进一步沟通 , 试着采用网络层测试仪表在数据包中加入UDP头信息的方式对传输层处理性能进行验证 。然而这里会牵扯到连接协议建立是否完整的问题 , 还需要再进一步与厂商就测试方法进行沟通验证 。
下面就传输层适用评估指标进行一下分析:TCP(或UDP)新建连接有关传输层适用性的评估指标 , 根据我个人总结的情况来看 , 在传输层连接建立能力(TCP或UDP新建连接)指标评估时 , 单用户(每IP)最低可忍受1Mbps带宽、每秒钟建立10个传输层连接的新建连接处理性能 。因此 , 就暂将单用户(每IP)1Mpbs带宽、每秒10TCP(或UDP)新建连接做为传输层新建连接的适用层评估指标TCP(或UDP)并发连接同样还是当前我个总结情况 , 每个用户(每IP)最少保持100个TCP(或UDP)连接既可保单个用户的最小网络应用需求 。
