防火墙测试-思博伦Avalanche 3100_双极未来

1. 测试内容与目的

 本次测试旨在了解 A、B 两款防火墙实际参数与标称参数的差异，主要测试吞吐量、并发、每秒新建连接数等防火墙的基础性能。

 2. 测试拓扑与数据流

 

使用思博伦 Avalanche 3100 测试仪，模拟客户端和服务器。

客户端（1 台 Avalanche3100 模拟）发起 HTTP 事务请求，经过防火墙后，数据包被发给服务器（1台 Avalanche 3100 模拟），服务器收到请求后，发响应、经由防火墙处理后，转发给客户端。由此完成一次请求——响应交互。Avalanche 3100 客户端和服务器的网关，均由防火墙充任。

 

3 测试仪表配置与步骤

 3.1 TCP 报文吞吐率测试

 3.1.1测试要求

 

64B 小包：512B 中包：1518B 打包 = 4：1：1

 

需求分析：这与正常的 HTTP 会话包比较接近，正常 HTTP 会话，TCP 建立需要 3 次握手，数据包均为 64B 小包，客户端发送 GET 或 POST 请求为 300B 左右的中等包，服务器响应为中包或打包，如果只有一次 HTTP 应答，客户端或服务器发起 3 次或 4 次握手关闭 TCP 连接。

 

本次测试 Avalanche 使用 RST 关闭连接，一次交互，4 个小包；请求使用 POST 命令，将包长扩展为 512B；响应报文总长度设置为 1518B（扣除各级包头，HTTP 内容长度约 1280B）。

 

3.1.2仪表配置——客户端

（1）Load 配置

 

依据上述需求，一次 HTTP 事务约 20Kbits，按 10Gbps 配置流量，每秒需要新建用户10G/20K=0.5KK，即 500K 个请求，现每个用户配置的请求数为 20（Action 条数），那么需要每秒新建 25K 个用户。另外也可以设置并发数作为 Load 单位，本次测试借用 CPS 脚本，即 Load 设置为 200K Simusers。

 

（2）Action 配置

 

每个 Action 配置 20 条 Post 请求，每条请求对应一个服务器 IP 地址，即每个 Simuser 会向 20 个 IP 发起请求，设置报文长度为 512 字节。

 

（3）Subnets 配置

 

Avalanche 3100 每个端口配置一个网段，指定 250 个 IP 地址，每个地址可用端口号约 6 万个，网关为对接的防火墙接口 IP。

 

端口 8 的网段为：10.1.1.2～10.1.1.251，网关 IP 10.1.1.1

 

端口 9 的网段为：10.3.3.2～10.3.3.251，网关 IP 10.3.3.1

（4）Profile 配置

 

Think 时间为 0

 Http 协议：Http/1.1 Peristence

 

（5）Ports 配置

 指定 Avalanche 3100 的 8、9 号端口为客户端测试端口。

 

（6）Associations 配置

 将以上几项配置关联起来。

 

3.1.3仪表配置——服务器端

（1）Profiles 配置

 选择协议 HTTP

指定 Transaction Profile 为“Transaction1280B”

 

（2）Transactions 配置

 Size:1280 bytes

 

（3）Subnets 配置

端口 8 网段 10.2.2.0，端口 9 网段 10.4.4.0

 

 

（4）Associations 配置

 

将以上几项配置关联起来，并指定服务器地址为 10.2.2.3～10.2.2.22、10.4.4.3～10.4.4.22

 

 

 

3.1.4测试结果

（1）Model A 测试结果

 

 

 

总流量：1.4G+0.65G=2.05Gbps

每秒包数 85 万，HTTP 请求数 121K，计算的流量为 121K*18Kbits=2.18Gbps，与实测流量接近。

 

（2）Model B 测试结果

 

总流量：1.35G+0.6G=1.95Gbps

每秒包数 70 万，HTTP 请求数 100K，计算的流量为 1.8Gbps，与实测接近。