性能测试不是此次测试的重点,但是我们还是做了两部分的测试,一个是简单的性能转发,一个是acl的性能转发。
简单性能转发测试里,我们进行了网状拓扑的转发测试,两个千兆分别和两组每组10个百兆端口进行双向的通信,余下的4个百兆端口进行全网状的通信,即一个对另外三个。
而后是延迟测试,测试交换机百兆端口和千兆端口的延迟。
这一测试完成之后是加ACL的测试。我们要求被测设备每个端口添加10条acl,要求交换机丢弃进入到交换机的udp目的端口号从1001到1010的数据包。这样的想法是来自于冲击波的病毒防范。一些工程师会采用这样的方法丢弃病毒数据包,保证网络的安全。这是一个比较初级的手段。重复进行吞吐量和延迟测试。
总体看增加了ACL之后的吞吐量测试和延迟测试结果,与前者差距不大,甚至有的产品的延迟还要低一些。究竟延迟测试需要多次取样,取平均值,我们测试的3次取平均值,还是可能会导致有一些结果的偏移,总体看应该是增加acl后延迟区别不大。
我们收到的交换机都支持2/3/4层的ACL,但是区别还是蛮大的。比如有的交换机或者版本上,只能支持总共不足100条ACL,这样提交给所有的端口,统一的10条acl就会不足。有的产品配置的时候看到acl的序列号有很多比如1-255,但是当提交到第10条的时候就会失败。
很多用户可能从来不在交换机上部署acl。但是假如网络出现异常,acl是一个应急的好方法(我不觉得会是长久之策)。但是,仅仅看厂商支持不支持可是不行,应该看看支持多少,其实也不难,添加几次就可以。区别还真挺大。
我们的测试还在继续,性能测试除了几家版本不对的产品,已经告一段落。我们接下来要测试acl的易用性、认证功能、以及其他的安全特性。这部分测试很多是有很大差异性的,厂家的理解不一样,做法也不同。