随着网络带宽的迅猛提升,万兆网络大规模普及的今天,万兆网络成为网络新应用的主力军,不仅是万兆网络基础设备(交换机、路由器),包括万兆网络安全设备(防火墙、IPS等)也迎来产品和技术的全面提升。
由于防火墙恰好处于网络的末端,因此防火墙的网络性能将对最终网络用户得到的实际带宽有决定性的影响,特别是骨干网上使用的万兆防火墙,性能的高低直接影响着网络的正常应用。所以,目前防火墙的网络性能指标日益为人们所重视,地位也越来越重要。
作为网络互联设备,参考RFC1242/2544对其在二、三层的数据包转发性能进行测试评估,是大部分网络设备性能测试的基本方法,二、三层的转发性能也可以帮助评估设备下层的交换转发机制是否高效。但作为防火墙来说,最大的特点就是可以对4~7层的高层流量进行一定的控制。随着下一代防火墙概念的逐渐清晰,防火墙肯定需要基于用户应用以及行为进行控制管理。这就必然对性能造成一定的影响,而这种影响有多大,会不会成为整个网络的瓶颈,就成为人们所关心的问题。据此,我们认为完整的防火墙性能评估应该由网络层性能、传输层性能和应用层性能三部分组成。
当前市场万兆防火墙鱼龙混杂,性能宣传值动辄从10Gbps到几百Gbps,几乎绝大多数宣称的最大性能指标都是网络层性能,即是根据RFC2544中吞吐率定义得出,但更重要的实际环境中的应用性能到底怎样呢?面对作为用户,如何分辨真伪,选择最为合适的产品呢?下面我们就通过一系列测试数据给您一个答案。
笔者近期在实验室选取当前比较流行的X86架构INTEL Sandy Bridge平台进行测试。硬件平台为英特尔SNB+Cougar Point C200芯片组中最高端的型号C206,配置Core I7 2600 CPU+4G DDR3内存。I7 2600处理器具有256KB L2缓存(每核)和8MB共享L3缓存,主频为3.4GHz。搭配82599网卡芯片,提供4个万兆多模SFP Plus接口。被测设备配置为交换模式,使用设备缺省安全策略进行测试。
网络层测试
在网络层性能部分我们选用了最重要的指标吞吐量。IETF RFC1242中对吞吐量做了标准的定义:“The Maximum Rate at Which None of the Offered Frames are Dropped by the Device.”,明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。在RFC2544中给出了该项测试的步骤过程及测试方法。
在吞吐量测试中我们选用了IXIA公司的IxAutomate软件,IxAutomate是对RFC1242/2544指标测试的自动化测试软件。在对防火墙吞吐量的测试中,我们遵照RFC建议,采用64,128,256,512,1024,1280和1518字节等7种不同长度的数据帧来进行。
测试结果见下表:
在这7种数据帧中的性能结果最高的一般都是1518字节,目前市场上大多万兆防火墙宣称的转发吞吐量基本都是选取1518字节吞吐量测试结果。从上表可看出此款防火墙1518字节的吞吐高达26.9G。