• 总部联系方式    

    总部电话:021-51212121

    总部传真:021-51212480(自动)/021-51212481(人工)

    服务热线:400-628-6280

    邮箱:support@huagai.com

    地址:上海市闸北区江场西路299弄中铁中环时代广场4号楼4层

    邮编:200436

    路线图:

  • 实实在在,不玩虚的——Hillstone 360G数据中心安全产品测试手记 浏览次数:5923 次   浏览时间:2017/9/23 4:35:35
  • 作者本人测试过数十款安全产品,从几十M的SOHO小盒子直到上百G的核心设备,但是,超过300G的安全产品的测试还从未参与过。这次Hillstone发布360G数据中心安全产品,笔者有幸参与其中。这次测试不仅仅是国内第一次对大于300G的安全产品的公开测试,更为我们展示了Hillstone全新软硬件架构的魅力。Hillstone作为国内网络安全领域的领军厂商,采用专利技术的全分布式架构,通过使用全新的硬件平台在推出360Gbps安全产品的同时也发布了网络世界对它权威的测试报告。下面就是这次评测的部分测试手记。

        满怀激动的心情,我们开始了这次奇妙的测试之旅。首先是搭建测试环境,看了下图各位就会有一个大致的了解,是不是有点光纤拉面的感觉。其实,在经历过这么多次测试,作者深深地体会到:最复杂的不是测得过程,而是准备测试的过程。确实,搭建环境花费了我们接近半天的时间,完成36对万兆模块和光纤的接入以及配置好网络地址和5000条安全策略,的确是一件很简单但是却很花费时间的事情。


      
        相对于搭建测试环境,测试相对就是比较简单的一个过程。配置好测试仪配套的软件之后,看着测试仪上面的数字不断接近设备的极限性能,同时我们记录了设备的功耗最高值,如图:


     
    经过了一段时间的等待,测试完成,我们记录了测试的最终结果。结果如下图所示:


     
    我来帮助不太熟悉技术细节的读者来解读一下上面这些数字:

    1. IOM代表了接口模块,SSM代表了安全服务模块。我们可以看到,随着IOM的增加,安全产品的性能可以线性增长,用户可以根据自己业务的需要随意配置板卡。
    2. 安全产品的最大处理性能,小包可以达到131Gbps,大包达到了几乎360Gbps。
    3. 512字节的吞吐性能已经基本可以达到线速。
    4. 360Gbps/5U=72Gbps/U的性能空间比,1142.49W/360Gbps=3.17W/Gbps的功耗性能比。
    吞吐量测试结束,我们立即测试了再130G小包吞吐以及360G大包吞吐下的延时数据,如下表所示:

     配置 单位:微秒 64字节 512字节 1518字节
     时延 1SSM+9IOM 10%吞吐量 6.02 7.11 9.77
     时延 1SSM+9IOM 95%吞吐量 7.55 9.1 11.24


        最大11微秒的响应速度让我们感到很吃惊,这个接近纳秒级的数据几乎是安全产品的极限,只有采用硬件加速的产品才能达到这个性能。

        完成网络层测试或我们调整测试环境,改为应用层测试新建连接速率和并发连接数。我们首先测试到了设备新建连接速率的极限,240万新建连接/s。

    之后,我们采用同样的流量模型,但是在线减少SSM模块的数量。通过下图可以看到,新建连接速率随着SSM模块的减少而呈现了线性下降的趋势。反过来说明了X7180的处理能力不仅可以随着IOM的增长而提高,增加SSM数量同样可以提升系统性能。


     
    1.2亿的并发连接数简直是天文数字,如果用测试仪做完全模拟测试的话还需要4倍于我们目前所拥用的测试仪表来做测试,这几乎是不可能实现的。所以我们只能使用一种变通的方式:首先让测试仪表只模拟2000万的并发连接,然后如图所示:


     
        实线代表光纤连线,虚线代表流量在设备流过。流量从1号接口进入设备,2号接口出设备,这样在设备上就建立了2000万的并发连接,然后让流量从3号接口回到设备中,再从4号接口出,这样就又建立了2000万的并发连接,后面重复前面这样的过程,最后到12号接口出设备流量回到测试仪一共6次,这样就能总计在设备端建立了1.2亿并发连接。

        通过在设备上的统计我们可以看到,总共建立了几乎1.2亿的并发连接(系统保留了部分管理连接)。


     
        最后一个测试项目是VSYS(虚拟安全产品)。我们在X7180上建立了数个VSYS,然后每个VSYS都设定了不同的配额(CPU,并发连接数,Nat数量,策略数量,安全域数量等),然后使用测试仪发送一定量的新建连接到每一个VYSY。统计显示,由于CPU和并发连接设定的不同,每个VSYS统计的流量结果也不同,如图所示:

    测试随想: 

     为了验证Hillstone全新的全分布式架构,我们做了以上这个测试,目的只是证明:我们的产品是实实在在存在的,性能是真实可靠的。
     绿色节能,节省空间已经成为用户在选购设备时的重要要求,更环保,更节约机架空间的设备是未来安全产品的发展方向之一。
     Hillstone已经为未来的更高性能设备的推出已经奠定了坚实的架构基础,相信1Tbps设备的推出也不会用太长的时间。
     设备性能越来越高,单纯再以10GE接口做性能测试已经逐渐不能满足需求,40GE接口,甚至100GE接口的推出已经成为必然趋势。
     随着高性能设备的不断推出,测试仪表的性能逐渐成为瓶颈,这是一个相互促进,共同发展的过程。高性能的测试仪表逐渐会成为各个厂商的标准配置。


        随着安全产品的性能飞速提升,最开始出现的百兆设备已经逐渐淡出市场,千兆设备已经成为了各个厂商的低端产品,万兆设备已经成为了大型企业,高校,IDC的标准配置。不仅如此,网络安全的主流厂商,已经逐渐把安全产品的性能提升到了数百G的水平。超过200G的安全产品市面上不少,但是真正做过评测,并且公开测试报告的国内有哪家?Hillstone 360Gbps数据中心安全产品的测试数据以及测试报告,权威验证,不玩虚的!

上一篇:抵御数字“黑洞”——DLP数据防泄漏浅析 下一篇:浅谈网络安全的大数据解决之道--如何应对