網絡分流器
1 . 與流量相關的L2-3層高級測試技術探討
戎騰網絡分流器: 對於一個L2-3層網絡設備,最基本、最重要的測試是流量轉發性能測試。作爲一個網絡轉發設備,首先要保證可以高速、低時延、穩定地轉發流量。
相關的性能測試通常是通過流量生成器(一般是硬件測試儀表,可以發出線速的流量)來生成相應的流量讓被測試設備承受不同的負載,檢驗其表現。通常會測試被測設備的容量(比如吞吐量),以及處理業務的特徵如何(比如時延)。以交換機爲例,不同的交換機由於採用了不同的硬件架構,性能表現會有所不同;同一個交換機在不同負載時會有不同的表現(例如重載時延和輕載時延的差異);交換機配置的不同也會引起不同的表現。
爲了儘量獨立、公正(不受廠家的技術指標影響),IETF測試標準化工作組(BMWG)針對交換機的測試公佈了下面這些主要的RFC(如RFC1242、RFC2544、RFC2285、RFC2889、RFC2432、RFC3918、RFC5180等)。這些RFC定義了測試標準的術語和方法,其中最重要的兩個測試規範是RFC2544和RFC2889。
我們不去討論RFC2544和RFC2889的內容,只是來探討一下這兩個規範中的測試方法是否足夠,在測試過程中是否考慮瞭如下內容:
(1)包長的選擇是否過於簡單?
(2)可以隨機變換髮包間隔(發包速率)嗎?
(3)發包序列是否靈活多變?
(4)數據包的地址數可以增加嗎?
(5)流量類型是否足夠多?流量是否可以混合?
(6)是否可以詳細地統計成千上萬條數據流,並從中快速找出你所需要的數據流?
(7)是否可以跟蹤數據流裏的多個字段?
(8)除了時延和抖動,是否可以清晰地知道數據包的時延分佈?
下面我們來逐條探討上述提到的內容:
(1)在流量包長的選擇上,我們的測試應該支持更加豐富的包長類型。包長的選擇應該支持遞增、遞減、定製、IMIX、高斯分佈等,豐富的包長類型更加貼近網絡上的真實情況。
(2)在發包速率的選擇上,數據包與數據包間隔(IPG)的變化,Burst與Burst之間間隔(IBG)的變化,Stream和Stream之間間隔(ISG)的變化都應該是可以配置的。流量數據包間隔的變化導致速率的不均勻性,直接可以考驗被測試設備的速率計量以及限速準確性;而且這種變化的速率能模擬突發效果,反映真實數據流特性。
(3)選擇不同的發包序列。例如構造了2條流量,第1條是ICMP流,IP地址變化了100次,第2條是TCP流,端口號變化了100次,那麼我就有了發包序列的選擇。第一種發包序列是ICMP流和TCP流按照設定的速率同時發送。第二種發包序列是順序發送:先把第一條流裏的100個ICMP包都發送出去後,再發送第二條流裏的100個TCP包,周而復始。通過調整發包順序,使被測試設備經受更多情況的測試。
(4)儘可能多地選擇目的地址(IP、MAC等),在每一個方向上構造大量的DMAC、DIP,考驗被測試設備在存在大量MAC或者ARP表項時的轉發性能。
(5)在測試過程中,我們應該選擇儘可能多的流量類型(MAC、VLAN、IPv4、IPv6、TCP/UDP、MPLS等),甚至一些錯誤報文(如IP/TCP/UDP Checksum錯誤、IP TTL爲0、FCS錯誤)、真實的應用層流量。豐富的流量類型可以更全面地檢驗被測試設備在應對不同業務流時的表現。
(6)測試應該能夠快速找出所需的測試數據流。目前測試儀表都可以發送數以百萬的測試數據流,並且可以對這些數據流進行跟蹤統計。但是由於測試流量條目衆多,如何從這百萬的測試流量中找出需要的測試流量,對於問題定位至關重要。例如:需要能快速地從這100萬條流量中找出哪100條轉發平均時延最大,或者哪100條流量丟包最嚴重。只有能夠快速地找到所需要的流量,才能提高測試效率,減少問題定位的時間。
(7)測試方法以及測試工具應該能夠跟蹤數據流裏的多個字段。例如我們首先可以根據數據流的源IP地址進行跟蹤,然後又想看到這條流的TOS是多少。能夠同時跟蹤數據流裏多個字段的測試工具可以極大地提高測試效率。
(8)不僅僅要測試時延和抖動,而且要能夠清晰地得到時延分佈。知道精確的時延分佈,可以幫助研發人員更好地優化被測設備的轉發性能。 
2 與路由相關的L2-3層高級測試技術探討
對於路由設備,其最基本最重要的測試包括:路由容量測試(路由條目、路由鄰居數等)、大路由表情況下轉發性能測試、路由收斂測試、路由震盪測試。那麼,我們在做這些測試時,是否考慮了下面的情況:
(1)仿真的路由條目掩碼是否過於單一?
(2)仿真的路由拓撲是否過於簡單?
(3)是否考慮了應用層數據流在轉發和路由收斂時的情況?
(4)是否考慮了多種協議共同工作時的情況?
(5)路由收斂時間測試的精度是否可以更高?
(6)是否考慮了路由震盪的多種情況?
下面我們來逐條分析上述提到的問題:
(1)仿真的路由條目是否過於單一?現網上的路由設備中的路由條目掩碼非常複雜,因此我們在對路由設備進行測試時,模擬的路由條目也要儘可能地模擬現網的情況,通告的路由條目的掩碼要具有多樣性,甚至把現網的路由條目灌入路由設備。
(2)仿真的路由拓撲是否過於簡單?以OSPF爲例:我們是否只仿真了3類LSA或5類LSA?我們需要仿真出更復雜的網絡拓撲,具有更多類型LSA的拓撲。
(3)是否考慮了應用層數據流在轉發和路由收斂時的情況?
首先來看看轉發的情況:傳統的路由轉發測試只是使用測試儀給被測試設備通告了路由後,打入無狀態的L2/3流量,來檢驗路由設備在大路由表下的轉發性能。由於這種測試方法並不能檢驗路由設備是否能在現網環境下高效地運行,因此我們不僅僅應該完成無狀態數據流的轉發測試,更要測試L4/7應用層流量跑在通告的路由拓撲上的情況。
我們再來看看應用層流量和無狀態流量在路由震盪時的收斂情況,可以很清楚地看出,無狀態流量可以很快地收斂,但是真實業務的流量收斂起來就慢了許多。
(4)是否考慮了多種協議共同工作時的情況?在測試中,路由設備應該同時啓動多種路由協議,應該考慮組播路由協議和單播路由協議的協同工作,BFD和路由協議的協同工作,IPv4/v6路由協議的協同工作,甚至協議over協議的情況。
(5)路由收斂時間測試的精度是否可以更高?傳統的路由收斂測試方法是:(Frames Delta)/(TX Frame Rate)=Tconvergence,精度不高,並且隨traffic的包長不同而造成測試精度不同。更先進的測試方法是:Tport3,first timestamp–Tport2,last timestamp=Tconvergence,精度高(20ns),測試精度只和測試儀背板時鐘晶振有關,精度穩定。
(6)是否考慮了路由震盪的多種情況?
通告/撤銷路由條目造成的震盪(鄰居關係仍在,路由條目可能部分震盪,或者全部震盪;鄰居關係震盪(鄰居關係建立/斷開),路由條目全部震盪)。
鄰居關係震盪又有很多種情況,例如:有Graceful Restart和沒有Graceful Restart,相關路由協議Start/Stop,主備控制板倒換,相關鏈路UP/Down,路由設備出現重啓現象等。
除了上述情況,我們在做L2-3層測試時,還有哪些地方需要注意呢?
(1)QoS(部署QoS時和沒有部署QoS時,流量轉發結果的比較)。
(2)訪控列表(部署ACL時和沒有部署ACL時,流量轉發結果的比較)。
(3)系統測試(非單臺被測試設備-DUT、多臺設備組成的被測試系統-SUT、多協議、多種應用)。
(4)穩定性測試(多端口、滿負載、長時間、大流量、正常/異常情況)。
(5)DUT狀態(測試過程中,DUT的CPU利用率,內存佔用狀態等重要指標)等。
3 結束語
在越來越複雜的網絡環境下,測試內容日趨複雜,高性能、功能強大且穩定的測試工具能夠給測試工作者的工作帶來極大的便利.
網絡分流器作爲網絡安全領域網絡監控前端重要基礎裝備,對於整個網絡安全起到了關鍵作用!戎騰網絡分流器!
核心網採集,骨幹網採集,移動互聯網採集,大數據採集設備!
基於NPS400多核業務板戎騰CDP4000