文档介绍：徐涵 works 关于防火墙性能测试(RFC2544) 2 修订记录日期版本修订摘要 07-06-2009 徐涵创建文档 09-10-2009 V 3 防火墙性能测试标准 RFC1242 介绍了 RFC2544 测试所用到的术语。/ RFC2544 介绍了路由设备(防火墙)性能测试方法,主要是 3层的测试。/ 4 RFC2544 测试吞吐量吞吐量是衡量一款设备转发数据包能力的测试。这个数据是衡量一款防火墙或者路由交换设备的最重要的指标。测试吞吐量首先根据标称性能确定被测试设备的可能吞吐量大小,这样来决定我们测试一款设备所需要的测试仪端口数量。如果一块设备标称性能达到 8Gbps ,那么通常我们需要 8个 1000Mbps 的测试仪端口来测试。吞吐量的测试通常会选用测试仪所对应的 RFC 测试套件进行测试。测试的数据包长包括 64Bytes , 128Bytes , 256Bytes , 512Bytes , 1024Bytes , 1240Bytes , 1518Bytes 。或者使用特定包长或者混合包长( IMIX ) 进行测试。 IMIX 流量通常是指用几种数据包混合流量来测试防火墙的吞吐量。我们测试用的比例为 64Bytes*58%+570Bytes*34%+1518Bytes*8% , 也就是 7:4:1 。如果需要测试 VP N 的吞吐量,不能使用 1518Bytes ,因为会分片,一般改用 1400 字节测试。吞吐量一般采用 UDP 数据包进行测试。测试通常采用双向各一条流或者多条流的方式测试。测试流量通常是 A<->B , C<->D 双向对打的流量。也存在使用单向流量测试的情况。比如使用 3 个端口测试,那么流量就是 A->B->C-> A 这样的环形流量。测试仪会采用二分迭代法进行测试。比如测试仪会首先使用 100% 的流量发包(1 st trial ), 如果发现丢包,则会采用 50%((100%+0)/2) 的流量进行测试(2 nd trial ) ,如果发现没有丢包,会采用 75%((50%+100%)/2) 的流量进行测试( 3 rd trial ) 。通过这种二分迭代的测试最终测试出设备的最大吞吐量数据。测试每一个 trial 的标准时间为 2分钟, 每个包长通常会进行 10-30 个 trial 的测试(取决于测试仪设置的精确度)。由于测试仪会严格判断是否有丢包,即使有一个包没有收到,都会用二分法往下降。但是这个丢包可能不是设备(网线质量,中间的交换机或者其他原因)造成。因此对于这种情况,测试仪都会有一个 loss tolerance 的设定,通过设定一个恰当的数值来避免其它原因造成丢包对测试结果的影响。在进行对一款设备的吞吐性能测试时,通常会纪录一组从 64Bytes 到 1518Bytes 的测试数据,每一个测试结果均有相对应的 pps 数。 64Bytes 的 pp s 数最大,基本上可以反映出设备处理数据包的最大能力。仅仅从 64Bytes 的这个数我们基本上可以推算出系统最大能处理的吞吐量是多少。因为通常衡量一款网络设备的 CPU/NP/ASIC 的最大处理能力的极限就是 64Bytes 的 pps 数。很多路由设备的性能指标有一点就是宣称 xxMpps ,所指的就是设备处理 64Bytes 的 pps 数。比如 64Bytes 的 pps 为 100000pps ,吞吐量为 5 100000*(64+20)*8/1000000= ,拿这个结果计算 1518Bytes 的数据为 100000*(1518+20)*8/100000= 。其中的 20Bytes 是指 12Byte s 的帧间距( IPG )以及 8Bytes 的前导码( 7Bytes 同步+1Bytes 起始),测试每一个字节的吞吐量都需要将这 20 字节计算在内。通过前面的算式可以看出,我们即使不测试 1518Bytes 的吞吐量也能够大致推算出设备最大的吞吐量是多少。而最终的结果只能<= 这个结果。测试中涉及的配置情况包括: 透明模式, 路由模式, 配置 NAT , 配置 policy , 配置 AV 扫描,配置 QoS 等。我们的设备在配置大量 policy 的情况下的吞吐量不会有太大变化。在配置双向或者单向 NAT 后吞吐量大约是路由模式的 98% 左右。透明模式的吞吐量大约是路由模式吞吐量的 80% 左右。 6 时延时延所测试的是系统处理数据包所需要的时间。防火墙的时延测试的是其存储转发( Store and Forward )的性能(另一种是 Cut and Through )。时延的测试通常会选用测试