EXCLUSIVE TEST：华为交换机：良好的第一次努力

在这种明智选择测试 - 华为在北美的设定首次公开拍拖 - 世界上最大的电信供应商采取了谦卑的方式，提供一个非常基本的管理第2层交换机是一个关键组成部分在每一个企业布线室中。

s5700 - 52x - pwrr - li - ac(朗朗上口的命名不是华为的强项)有48个千兆以太网端口和4个10G以太网上行链路。它支持您在第2层交换机中所期望的标准协议，它在功耗方面非常出色，而且性能也很好。重要的是，我们没有发现明显的安全漏洞。根据测试，这款开关的标价是9000美元，我们假定它的零售价要低得多。

但考虑到市场上已经充斥着配线柜开关，我们想知道两个额外的上行链路和低功耗是否足以成为一个区别。在这种担忧和我们在测试中遇到的一些困难之间，S5700代表着进入北美市场的一个适当入口。华为在这里打出了一个单垒，而不是全垒打。

可用性和管理

华为的命令行界面（CLI）是从经常复制思科格式不同。有备忘单可用的,映射思科和华为的命令和配置文件的某些部位做类似思科的格式（例如，在接口的命名和分组语法）。不过，这将是熟悉思科语法网络工程师不同的环境。

该CLI会看起来很熟悉惠普的高端交换机的用户。华为以前是与3Com H3C的合资企业，其收购了华为的份额，这反过来后来被惠普收购。

在CLI的配置模式的有用特征是在任何情况下，以查看配置细节与“显示此”命令的能力。还有一些方式与思科和Juniper设备要做到这一点，但这些命令涉及的不仅仅是“d次”更多的输入。

在其他方面，设备管理不作为抛光一些竞争。交换机缺少对带外管理的专用以太网端口，而几乎所有竞争企业交换机有一个。CLI支持管道等其他企业交换机命令输出的，但不是对所有的命令。

总体而言，虽然，交换机提供了一个体面的一套设备管理工具。它支持所有主要的管理方法（在仅支持IPv4），并具有多种速率控制机制，以拒绝服务攻击的坐板上。它可以阻止反流氓DHCP服务器，ARP欺骗攻击。另一个好处：华为提供了交换机软件终身免费更新（请参阅下面的功能的电子表格。）

点击这里查看华为s5700 - 52x - pwri - li - ac功能图表。

能量消耗

简单地说，这是一个严重的功率效率的开关。我们跑了我们通常的功耗测试套件，测量瓦时消耗的开关被闲置和满载，与Spirent TestCenter的流量生成线速的所有端口爆破64字节帧后一种情况。

在空闲测试用例中，开关仅消耗59瓦。这是我们所见过的最省电的千兆顶置开关。满载后，耗电量小幅上升至61瓦。

华为明明已经工作在低功耗技术，它显示了。存在其中的功耗可能是更高的情况下 - 例如，使用可选的冗余电源或使用开关的该S5700S-28P-HI版本时当供应到功率1440瓦特通过以太网连接的设备。就其本身而言，虽然，S5700-52X-PWR-LI-AC是非常有效的。

至于开关产生的热量，像大多数企业园区开关一样，它是在侧面排放的。如果气流是个问题，网络管理人员将不得不升级到数据中心级开关，实现真正的前后(和可逆)冷却。雷竞技电脑网站

我们还测量了开关的声级。它在启动时运行在70 dB左右，在启动时运行在80 dB左右。在数据中心雷竞技电脑网站或配线间，这一点都不重要。在办公室环境中，它很显眼，但不会让人受不了。

关于安全性

大约有华为安全许多神话，与所谓的后门和魔法杀包的指控，但没有具体的证据支持这些指控。本文不添加到神话：我们的安全检测和监控没有发现漏洞。中国安全担忧的乔尔·斯奈德的分析仍然是对真实的和想象的问题的权威探索。)

（有个足球雷竞技app网络世界测试仪

我们评估华为交换机的安全性三个方面。首先，我们进行了开关的SSH的“模糊”测试守护程序使用思博伦沐-8010安全分析仪。与SSH起毛，经在SSH协议报头的每个字段的测试工具迭代中，在每个场产生假值（外 - 的起毛套件还企图创建缓冲区溢出注入过量的数据）。

我们跑了额外的检查，以确定SSH攻击模糊测试是否会中断其它的控制和数据平面操作。并发与起毛测试，我们产生大约每秒30的SNMP查询，并同时提供的业务量以线速的10％到50个端口（两个10千兆以太网和48个千兆以太网）。

虽然最初的试运行似乎找到数百个问题，这些都不代表实际的攻击（见“什么是漏洞？“）。通过分析发现，每一个故障只是意味着SSH服务是处理新的请求也忙于处理现有任务。在任何情况下，做了一个装置妥协任何模糊攻击成功。

我们其他的检查证实了这一现象：交换机继续转发数据平面流量，而不会损失，并回答了所有的SNMP查询。监测显示交换机CPU在90％的利用率或更高测试期间挂。在我们看来，一个SSH服务器在做的时候没有回答新的请求，因为它是忙于现有的正确的事情。

在第二次安全测试，我们运行了来自Metasploit工具，通过Rapid7保持一个众所周知的漏洞评估和渗透测试工具SSH模块。我们装的Metasploit到上运行的Linux虚拟机ix - 2212存储服务器由iXsystems提供。

这里，SSH测试也没有发现任何漏洞。该工具报告有一个密码被破解，但这只是因为这个密码是华为测试工程师当场编造的一个容易猜测的术语。在生产网络中使用易于猜测的密码的IT专业人士是自讨苦吃;我们不认为Metasploit的密码发现是一个问题。

我们的设备安全性的第三检查涉及监测所有流量发送到从交换机，其中居住在隔离的网络，在整个测试项目。在一个多月的测试更多，我们的记录显示，没有证据表明该交换机发送或接收流量超出我们会允许的。此外，数据包嗅探器用于开关端口上运行24小时表现出发射根本没有帧与跨越禁止树和发现协议的切换。

我们永远不会声称任何设备是安全的。标准的模棱两可的话在这里也适用:我们所能说的是，这个开关，运行这个特定版本的软件，并不容易受到我们发起的特定攻击。实际上，我们可以再说一件事:我们的研究结果并不支持这样一种观点，即设备的安全性会因为其原产国而自动降低。这仍然只是一个神话。

性能测试

在这一点上，任何顶级机架千兆交换机的性能测试应该是很切割和干燥。毕竟，开关通常围绕建成商用芯片的ASIC - 以及超过十年这些芯片都以线速低延迟运行。结束的故事吧？

在华为的情况，这主要是真实的，但不完全是。从有利的一面，交换机在所有的单播和组播测试推出相对低且稳定的等待时间，并在测试情况下，我们结束了使用提供线速吞吐量（见下图）。

但是到达那里有一点困难，一些控制飞机的测试也是如此。好消息是，我们在基准测试中看到的次优结果不太可能对生产校园企业网络产生任何影响。

开关没有在我们的第一套涉及64字节帧的测试以线速度运行。这是与4个10G以太网上行链路端口在一个全网状图案，而在另一个全网状48个千兆位以太网下行链路端口。我们重新运行两个10G以太网测试上行链路，类似于我们与其他千兆顶级机架交换机，并再次用64字节帧锯丢帧使用的拓扑结构。

当华为的工程师改变了交换机的配置IP地址，而不是MAC地址散列，一切都很好：开关感动了所有的交通，在任何速度和任意帧尺寸，零个损失。我们建议你配置交换机IP地址散列;华为告诉我们，他们正在考虑这个改变为默认值。

在企业园区环境没有开关将处理在所有端口线速只有64字节帧。尽管如此，RFC 2544/2889十多年来，基准一直是一种针对交换机的婴儿死亡率测试。看到top-of-rack开关以低于行速率的速度运行总是令人惊讶的。

控制平面测试打开了另一个惊喜，但同样它不可能在校园网的影响。华为数据片声称此开关的MAC地址表可以处理高达16000个MAC地址。对于只有两个端口和非随机的MAC地址参与，这是事实。但是，当我们重新运行所有48个千兆以太网端口的测试，开关在10000个左右的MAC地址最有学问的。任何较大的数字导致了硅散列碰撞。

该交换机还了解到更少的地址时，我们用伪随机模式，比如那些描述RFC 4814。我们到了只有使用顺序MAC地址的10,000个地址 - 而那些没有在生产中发现的设置。

在数据中心雷竞技电脑网站，在那里的虚拟化的驱动器需要大，平坦层-2网络中，这将是一个潜在的搅局。在企业园区环境，这是一个不成问题的问题。

园区交换机通常处理几百到几千个MAC地址，此开关做到这一点。唯一担心的是，一个地址不会被学习的概率略高由于使用的哈希算法通过交换机的ASIC，这似乎并不像随机性。（注到ASIC设计者：交换机厂商不要选择哪些MAC地址的客户将使用。）

酝酿多播

在处理多播流量时，交换机在400个IGMPv3组中表现良好。它以行速率将流量转发到所有48千兆以太网端口上的所有组，并且延迟相对较低。

另一多播测试检查组容量，并且结果仅产中等。该开关可以，如果有用户来在所有端口上的所有组的最大的400个多播组地址处理。这是限制在7低于5个类似的开关明智选择测试从五年前。华为说，交换机可支持多达1000个组播组，这是真的 - 我们提供的仅16 48个千兆以太网端口的使用。

在这里，这确实是一个细节问题，不太可能成为大多数校园网络的问题。在一个数据雷竞技电脑网站中心，多播组计数可以上升到数千;在校园网络中，典型的数字是几百个，或者(更有可能)几十个。

网络管理

虽然这是一个开关测试，华为还要求我们评估网管标准版，它的$ 7,000名企业网络管理系统（NMS）。我们跑了网管在Windows 2008 Server虚拟机上，托管在ix - 2212存储服务器由iXsystems提供。

使用SNMP和ICMP，网管监控收集和性能数据来自华为和其他厂商的设备，包括思科和HP / H3C齿轮特定的模板。值得称赞的是，网管包括预定义像跟踪CPU和内存利用率，接口流量，和最高用量者共同的任务模板。

ESight包括用于自动发现、映射和报告的工具。它管理vpn、终端访问、设备配置和许可，并且可以从Excel电子表格导入设备列表。它支持管理用户的层次结构。就功能而言，eSight是一个相当完整的NMS。

在功能上，虽然网管的实现可能会更好。虽然网管是基于网络的，它仅适用于Internet Explorer和Firefox浏览器，而不是Chrome或Safari。该“协议模板”弹出窗口不会关闭与无论是取消或关闭窗口控件。在NMS菜单JavaScript控件挂了Firefox浏览器。

此外，无论是在网管和交换机CLI中，有多个地方，它的清晰的英语是不是开发者的第一语言。例如，在退出时网管，网管询问“您确定要退出？”虽然这看似微不足道的东西，没有功能的影响，外表的作用举足轻重。我们相信中国的客户可能指向从以美国为基地的厂商低劣的翻译的多畏缩值得例子。这里，同样是在相反的方向实现。华为将提高其在英语与英语水平更高的市场其用户界面的前景。

随着S5700，华为使得如果不引人注意进入北美联网固体。在功能，性能，价格，尤其是功耗，它可能是一些买家的吸引力。在安全上，它肯定不是恐怖的黑匣子它有时做出来的人。