瞻博交换机证明是可靠的选择
回顾表明EX 4200速度快、功能丰富且易于管理
思科注意:瞻博网络的新的EX 4200交换机不仅填补了领先竞争对手的产品线中的一个空白,而且代表了企业接入交换机的可靠选择。
我们是如何测试Juniper的EX 4200的
在有个足球雷竞技app网络世界我们对EX 4200-48T交换机进行了严格的电池基准测试,与今年早些时候我们对其他7家供应商的10G以太网接入交换机进行的测试相同。(请参阅比较10G以太网交换机测试.)
结论:这是一个快速的盒子。EX 4200在每个情况下都能交付线率吞吐量,这是我们今年测试的唯一一款开关。更重要的是,10G以太网延迟是我们测量过的最低的。EX 4200的特性集和强大的JUNOS命令行界面(CLI)也给我们留下了深刻的印象。
不过,这并不是说思科和其他公司应该收起他们的帐篷。这是Juniper在企业转换领域的第一次尝试,在一些地方可以看出缺乏经验。多播支持仍然有些粗糙,我们的测试也揭示了一些问题安全的担忧。尽管如此,这仍然是一款令人印象深刻的设备,尤其是对于第一次尝试而言。(比较产品.)
我们测试了价格为16,800美元的EX 4200-48T,它提供48个10/100/ 1000mbps千兆端口,两个10G以太网端口,8个端口具有PoE功能,最多可堆叠10个交换机。Juniper还提供EX 4200-48P,单台电源可提供48个PoE端口,价格为18400美元。这两种设备都提供可选的冗余电源,并支持几乎所有的交换和路由协议(看到功能的电子表格).
更快
在今年早些时候的接入交换机测试中,我们发现吞吐量不再像以前那样是区别对待的因素,大多数盒子将数据包推送到接近或在线路速率的1%以内。
有了Juniper的EX 4200,就没必要说“差不多”了。即使在最沉重的负载下,我们的Spirent TestCenter流量生成器也能在每一个单播和组播测试中提供线速率吞吐量,无论是在第二层还是第三层配置中。其他开关没有这样做。
延迟——通常是比吞吐量更重要的指标,特别是对于时间敏感的语音和视频流量——在所有测试中都很低且一致。以线速率测量,Juniper交换机在10G以太网链路上延迟64字节帧的平均时间为1.96微秒,最大延迟时间为2.01微秒。
这是我们在以太网交换机中记录到的最低延迟。事实上,即使是EX 4200的最大延迟也比我们在前一轮测试中测量的最低平均结果要少。
对于大1518字节帧,10G以太网端口的延迟在2到3微秒范围内,千兆以太网端口的延迟在20到30微秒范围内。千兆位数字与我们测试过的大多数其他交换机相当或更好;10G以太网延迟再次创下历史新低。
多播延迟也徘徊在很低的微秒,相比之下,在某些情况下,在以前的测试中要高出几十倍。Juniper交换机不会占用流量太长时间,不会对任何企业应用程序的性能造成不利影响。
多播成长的烦恼
虽然EX 4200在吞吐量和延迟基准测试中表现出色,但测试也清楚地表明,它的多播代码比系统的其他部分更新且不那么健壮。
首先是好消息。交换机在组播组容量测试中表现良好,组播组容量是设备可以同时支持的最大IGMP组数。EX 4200将流量移动到1,001组IGMPv2,比之前测试的领头羊HP ProCurve 3500yl少了约500组,但在我们今年测试的接入交换机中,仍足以使Juniper交换机在组播组容量上排在第二位。
但多播测试也发现了一些问题。首先,也是最严重的,交换机在第3层多播测试期间自动重新启动一次。当然,这些都是压力测试,Juniper的系统肯定不是第一个在运行多播基准测试时导致重新启动的系统。但是其他组当时超过了它们的多播组计数限制,而此测试中使用的500个组对于Juniper交换机来说应该没有问题。在任何情况下,无论负载有多重,交换机都不应该自动重新启动。
其次,我们使用IGMPv3(该协议的当前版本)测试了其他交换机。我们测试的Juniper软件版本支持IGMPv2,不过供应商表示,他们将在今年晚些时候增加对IGMPv3的支持。如RFC 3376附录B所述,IGMPv3对IGMPv2提供了许多改进。其中最主要的是源过滤和基于源加组地址监视组状态的能力。后一个特性在不同组的发射器或接收器共用开关端口的情况下很有帮助。
第三,在初始测试中,交换机创建了一些多播流量的重复副本,渲染结果无效。Juniper很快发布了一个新的软件版本(截至发稿时,用户已经可以使用了),该版本纠正了交换机在独立模式而不是可堆叠模式下运行时的一个问题。我们证实新软件消除了重复。随着人们对多播的兴趣不断增长,特别是在某些垂直行业,如金融服务,这些不幸事件可能会引起人们的担忧。尽管如此,考虑到Juniper对复制问题的快速响应和正在进行的多播开发,我们不认为这些错误会成为问题。
浅绿色
在设备测试的常规部分,我们还测量了EX 4200的功耗,当空闲和最大负荷时。
使用Fluke 335钳位计,Juniper开关在空闲时消耗185瓦,在控制和数据平面满载时消耗199瓦。相比之下,其他7台10G以太网接入交换机在空闲和满载时的平均功耗分别为150瓦和174瓦。
这使得Juniper的开关处于耗电量较低的水平。它的最大功率为316w(完全加载Foundry FastIron Edge X448),但也远不及闲置的阿尔卡特-朗讯OmniSwitch 6850所消耗的微不足道的79瓦。
认证支持
考虑到Juniper长期倡导的网络访问控制(南汽), EX 4200在我们的身份验证测试中表现良好也就不足为奇了。该开关通过了所有6个场景,其中5个使用802.1X。这些测试在静态定义的虚拟局域网中检查身份验证;每个端口的多个客户端身份验证;在动态分配的VLAN中进行认证;动态应用访问控制列表(ACL)进行身份验证;并在认证失败时放置到受限制的VLAN中。
在ACL中,测试交换机应用了之前在交换机上定义的规则;这比其他交换机所采用的方法要简单得多,在其他交换机中,acl必须输入到RADIUS服务器,然后在身份验证期间返回给请求者。
该交换机还通过了第六次测试,涉及通过媒体访问控制(MAC)地址进行身份验证;此场景表示终端站(如打印机)缺少802.1X请求软件的情况。这里的一个问题是,交换机的CLI没有显示当前通过MAC地址验证的客户端,这与802.1X-authenticated客户端一样。Juniper表示,预计8月份发布的软件将弥补这一缺陷。
Juniper交换机通过了所有访问控制测试,每个场景都需要进行少量配置更改。相比之下,Cisco的Catalyst 3750E不需要对我们的任何场景进行配置更改,但多身份验证除外。然后,Cisco交换机再次未能通过多重身份验证测试,仅对第一个用户进行身份验证,并转发来自第二个和后续用户的未经身份验证的流量。我们测试过的其他交换机(Extreme公司的Summit X450和Foundry公司的FastIron Edge X448是例外)很少通过所有这些测试用例,无论配置有无变化。
风暴控制
与部署在企业网络边缘的其他企业交换机一样,EX 4200提供了“风暴控制”功能,以限制潜在恶意流量的速率。我们使用两种拒绝服务(DoS)攻击(广播风暴和SYN洪水)测试了此功能,发现交换机阻止了广播,但转发了SYN。
在这两个测试中,我们配置了Mu Dynamics的Mu-4000安全分析仪,以每秒100,000帧的速度生成DoS攻击,然后配置了Juniper交换机,将此类流量限制在1%的线速率,或每秒1,500帧左右。使用Spirent TestCenter的实时速率计数器,我们验证了Juniper交换机对广播流量进行了速率限制。
但是交换机没有控制Mu的SYN flood攻击速率。Juniper表示,目前的JUNOS版本仅对广播和未知单播流量(即交换机MAC地址表中没有现有条目的流量)施加速率控制。这使得风暴控制在挫败针对随机、未知目的地的“机器人”攻击时很有用。它在阻止攻击者针对特定服务器时没有用处。
可管理性和可用性
评估交换机的可管理性分为两部分,包括客观和主观两部分。目标部分很简单,因为它基于经验观察:我们验证了EX 4200支持通过SNMP、telnet、Secure Shell、Web、SSL和syslog管理IPv4网络。值得称赞的是,这些方法在默认情况下都没有启用,并且每个方法(连同FTP服务器)都可以单独进行开关切换。
在可用性方面,JUNOS CLI非常容易操作,尽管我们对JUNOS的经验有限,并且在进行此测试时已经过时了。
Unix极客肯定会欣赏JUNOS的FreeBSD传统;事实上,系统的CLI是一个运行在C shell上的进程,用户可以进入该进程。CLI还支持输出与正则表达式的匹配,许多配置参数的语法类似于许多Unix配置文件的语法。任何在Unix或Linux shell中花费大量时间的人可能都会对JUNOS CLI感到宾至如归。
IPv6还没有完全支持在EX线。交换机还不支持IPv6流量的路由(这是预定在年底发布),尽管L2交换是可能的。通过IPv6网络管理交换机是可能的,但不支持Web和SSL访问方法。
没有完全重置
我们对设备管理的最后检查涉及工厂重置,这通常被认为是设备退役时的最佳实践(这也是一些行业的监管要求)。
Juniper提供了四种重置方法:前面板LED选项、CLI命令以及新映像的USB和TFTP文件传输。不幸的是,最简单的方法——使用前面板LED菜单——无法将开关完全恢复到出厂设置。重置之后,我们找到了以前存储的SSH密钥和配置文件。USB和TFTP下载实际上覆盖了现有的文件系统。在任何情况下,都建议用户验证任何重置设备是否确实已擦除干净。
即使考虑到我们发现的几个缺点,EX 4200在新产品上也取得了不错的成绩——事实上,比其他一些供应商的第三或第四次努力更为扎实。虽然Juniper显然仍有工作要做,特别是在其多播代码方面,但EX 4200在企业访问交换方面对Cisco来说是一个真正的挑战。
纽曼是加州韦斯特莱克村(Westlake Village)一家独立测试实验室Network Test的总裁dnewman@networktest.com.
感谢支持本项目的测试设备供应商。斯博伦特通信公司为其斯博伦特测试中心提供了千兆和万兆发生器/分析仪。Mu Dynamics提供了其Mu-4000安全性和协议一致性分析仪。Juniper提供了用于802.1X测试的钢带半径企业版6.1和Odyssey 802.1X客户端软件。Fluke提供Fluke 322和335钳位测量功耗。
有个足球雷竞技app
纽曼还是网络世界实验室联盟的成员,该联盟由网络行业的资深审稿人有个足球雷竞技app组成,每个审稿人都有多年的实践经验。想了解更多实验室联盟的信息,包括成为成员需要做什么,请访问m.amiribrahem.com/alliance.
了解更多关于这个主题的信息
版权©2008Raybet2