思科注意到:瞻博网络EX全新4200交换机不仅填补了领先竞争对手的产品线孔,但也代表了企业接入交换的可靠办法。
在网络有个足球雷竞技app世界独有的明智选择测试中,我们经受的EX 4200-48T交换机,我们用于评估其他7家厂商的10G以太网接入今年早些时候切换基准的同样严格的电池。(参见比较10G以太网交换机测试。)
判决:这是一个快速的盒子。在EX 4200提供线速吞吐量在任何情况下,唯一的开关,我们测试过今年这样做。更重要的是,10G以太网的延迟是我们有史以来测量的最低。我们还进行了由EX 4200的功能集和强大的JUNOS命令行界面(CLI)留下了深刻印象。
这并不意味着思科和其他应折叠起来他们的帐篷,虽然。这是Juniper的企业交换的第一次努力,而缺乏经验显示在几个地方。组播支持还是有点粗糙,和我们的测试中还发现了几个安全问题。不过,这是一个了不起的设备,尤其是第一次尝试。(比较产品)。
我们测试了US $ 16,800 EX 4200-48T,它提供了48个10/100 / 1000Mbps的千兆端口,2个10G以太网端口,8个端口的PoE功能,以及多达10个交换机堆叠功能。瞻博网络还提供EX 4200-48P与从$ 18,400单电源供电的能力48个端口。这两款器件提供可选的冗余电源和支持几乎所有的交换和路由协议。
还要更快
在今年早些时候的访问交换测试中,我们发现吞吐量不再像以前那样是区别的因素,大多数机箱发送的数据包要么接近线路速率,要么不到线路速率的1%。
随着Juniper的EX 4200,没有必要说“差不多”。甚至我们的Spirent TestCenter流量发生器扔在它最重的负载下,该开关在每一个单播和多播测试递送线速吞吐量,无论是在第2层和第3层构造。没有其他的交换机做。
延迟——通常是比吞吐量更重要的度量,特别是对于对时间敏感的语音和视频流量——在所有测试中都很低且一致。以线路速率测量,Juniper交换机在10G以太网链路上延迟64字节帧的平均时间为1.96微秒,最大值为2.01微秒。
这些都是我们曾经记录在以太网交换机中最低的延迟。事实上,即使是EX 4200的最大延迟小于我们在上一轮的测试中测得的最低平均结果。
对于较大的1,518字节帧,在10G以太网端口上的延迟在2到3微秒范围内,在千兆以太网端口上的延迟在20到30微秒范围内。千兆比特数可以与我们测试过的大多数其他交换机相比,或者更好;10G以太网延迟再次创下新低。
组播延迟也徘徊在低微秒,与数字,在某些情况下是数十倍于以前的测试更高的比较。瞻博交换机不会阻碍交通足够长的时间,以任何企业应用程序的性能产生不利影响。
多播成长的烦恼
虽然EX 4200在吞吐量和延迟基准挂上星号,测试还明确表示,其组播代码更新,比系统的其他部分不太可靠。
首先是好消息。所述开关的多播组容量的试验表现良好 - IGMP组的最大数量的设备可以同时支持。在EX 4200感动流量到1001个IGMPv2的群体 - 大约500小于之前的测试中,惠普的ProCurve 3500yl交换机,但仍不够好排名瞻博网络接入之间切换第二多播组容量的交换机的领导者,我们已经在今年进行测试。
但多播测试也暴露出一些问题。首先,也是最重要的一点,交换机在第三层组播测试期间自动重新启动一次。当然,这些都是压力测试,而Juniper的系统肯定不是我们在运行多播基准时导致重新启动的第一个系统。但是其他的已经超过了他们的组播组数限制,而在这个测试中使用的500组对于Juniper交换机来说应该没有问题。在任何情况下,开关都不应该自动重新启动,不管负载有多沉重。
第二,我们测试使用的IGMPv3,该协议的当前版本其他交换机。瞻博网络软件版本我们测试支持IGMPv2的,虽然厂商表示它的工作于今年晚些时候加IGMPv3的支持。正如在RFC 3376中描述,附录B,v3版本提供了超过IGMPv2的许多改进。其中最主要的是源过滤和基于源加组地址的能力,以监控组的状态。这后一特性在不同组发射器或接收器共享公共交换机端口的情况下有帮助。
第三,在最初的测试中,交换机创建了一些组播流量的副本,渲染结果无效。Juniper很快发布了一个新的软件版本(在发稿时已经提供给客户了),纠正了交换机在独立运行而不是可堆叠模式下运行时的一个问题。我们证实新软件消除了重复。
随着人们对多播的兴趣日益增长,特别是在某些垂直行业,如金融服务,这些灾难可能会引起人们的关注。尽管如此,考虑到Juniper在复制问题上的快速反应和正在进行的多播开发,我们并不认为这些错误会成为阻碍。
亮绿色
在设备测试中,我们还测量了EX 4200在闲置和耗尽时的耗电量,这已经成为设备测试的一个常规部分。
使用Fluke 335钳表,瞻博网络交换机消耗185瓦特时,当它的控制和数据平面进行满载空闲199瓦。相比较而言,在七个其他10G以太网接入交换机的平均消费量分别为空闲和满载150和174瓦特,分别。
这使瞻博网络交换机上的平均耗电大户的一面。它远不及316瓦最大平局(从满载铸造FastIron边缘X448),而且还远微不足道79瓦特一个空闲阿尔卡特朗讯OmniSwitch 6850消耗。
认证支持
考虑到瞻博长期以来对网络访问控制(NAC)的支持,EX 4200在我们的身份验证测试中表现出色也就不足为奇了。开关通过了所有六种方案,其中五种使用了802.1X。这些测试检查静态定义的虚拟LAN的身份验证;每个端口的多个客户端认证;认证到一个动态分配的VLAN;动态应用访问控制列表(ACL)的身份验证;并在身份验证失败时放置到受限制的VLAN中。
在ACL测试开关施加先前的交换机上定义的规则;这比一些其他交换机,其中的ACL必须进入RADIUS服务器认证,然后在返回给请求者所采取的做法远不如繁琐。
该交换机还通过了涉及媒体访问控制(MAC)地址认证的第六次测试;这一场景表示终端站(如打印机)缺少802.1X哀求软件的情况。这里的一个问题是,交换机的CLI没有显示当前通过MAC地址认证的客户端,就像它显示802.1 x认证的客户端一样。Juniper表示,预计将在8月份发布软件来弥补这一问题。
瞻博交换机通过与所需的每个场景次要的配置更改所有接入控制测试。相比之下,思科的Catalyst 3750E需要我们的任何场景任何配置更改,除了多权威性。再说,Cisco交换机失败多AUTH测试,认证仅在第一用户和从第二个和后续的用户未认证的转发流量。我们测试过一些其他的交换机(Extreme的峰会X450和Foundry的FastIron边缘X448除外),通过了所有这些测试用例,有或没有配置更改。
风暴控制
像其他部署在企业网络边缘的企业交换机一样,EX 4200提供了“风暴控制”功能,以限制潜在的恶意流量率。我们使用两次拒绝服务(DoS)攻击、一次广播风暴(broadcast storm)和一次SYN泛滥(SYN flood)测试了该特性,发现交换机阻止了广播,但转发了SYN。
对于这两种测试中,我们以每秒100000帧构成的动态沐沐-4000安全分析器生成DoS攻击,然后配置具有Juniper开关来限制这样的流量线速度,或大约每秒1500帧的1%。使用Spirent TestCenter的实时速率计数器,我们验证了瞻博网络交换机做了速率限制广播流量。
然而,交换机没有控制穆的SYN Flood攻击的速度。瞻博网络称仅在广播和未知单播流量当前JUNOS版本强加率控制(即,在交换机的MAC地址表中没有现有条目流量)。这使得风暴控制挫败对随机的未知目的地“僵尸”的攻击是有用的。这不是在阻止攻击者针对特定的服务器非常有用。
可管理性和可用性
评估开关可管理性是一个两部分的事,与客观和主观的组件。客观部分很简单,因为它是基于经验观察:我们通过SNMP,远程登录,安全Shell,网站,SSL和系统日志验证在IPv4网络的EX 4200支持管理。值得称赞的是,这些方法都没有被默认启用,每个(与FTP服务器)可以打开和关闭单独切换。
在易用性方面,JUNOS CLI非常容易操作,即使我们与JUNOS的经验是有限的,日期为进入本次测试。
Unix的爱好者一定会欣赏JUNOS的FreeBSD的遗产;的确,系统的CLI是运行顶上C shell中,用户可以拖放到一个过程。CLI还支持对正则表达式输出的匹配,许多配置参数类似于很多Unix的配置文件的语法。任何人谁是花了显著的时间在Unix或Linux外壳可能会觉得在家里与JUNOS CLI。
IPv6的尚未完全在EX系列的支持。交换机还不支持IPv6流量的路由(这是定于在今年年底释放),但当然L2交换成为可能。交换机管理通过IPv6网络是可能的,但不支持Web和SSL访问方法。
不重置
我们的设备管理的最终检查涉及恢复出厂设置,这被普遍认为是最佳实践退役设备(这也是在某些行业监管要求)时。
Juniper提供了四种重置方法:一个前置面板LED选项,一个CLI命令和一个USB和TFTP文件传输的新映像。不幸的是,最简单的方法——使用前置面板LED菜单——并不能完全恢复开关的出厂设置。在重置之后,我们找到了之前存储的SSH密钥和配置文件。USB和TFTP下载实际上覆盖了现有的文件系统。在任何情况下,用户最好验证任何重置设备是否真的已被清除。
即使考虑我们找到了几个缺点,EX 4200变成固体搜索的新产品 - 更结实,事实上,比其他一些厂商的第三或第四的努力。而Juniper显然还是有工作要做,特别是在其多播代码中,EX 4200代表为企业获取切换到思科真正的挑战。
我们的测试Juniper的交换机
我们对Juniper的新企业交换机进行了评估,所用的方法与我们之前测试其他供应商的访问交换机所用的方法相同。下面提到的一个例外是,这次我们使用的是IGMPv2而不是IGMPv3。
这种方法包括10组测试覆盖L2和L3的单播性能;IGMP组的组播能力;L2和L3组播性能;网络访问控制(NAC)/802.1X;风暴控制;能量消耗;切换管理性,安全性,和可用性;和开关功能。详细的,完整的方法可用这里。
在L2单播性能测试中,我们配置有一个虚拟LAN(VLAN)包括所有端口,每个开关。只有所有端口,千兆端口,只有10万兆端口:我们附有的Spirent TestCenter发生器/分析仪到交换机上的所有48个千兆以太网和两个万兆端口和奔三组测试。我们提供流量的千兆端口的全网状图案,并在网格状的万兆端口。对于每个测试,我们进行了独立的60秒的运行与64,256和1518字节的帧,以及测量的吞吐量,平均等待时间和最大等待时间针对每个帧的长度。
L3单播性能测试与L2单播测试类似,只是在本例中,我们将每个交换机端口配置为使用不同的VLAN和IP子网。
在IGMP组容量测试中,我们恢复到L2配置,启用了IGMP窥探,并将开关设置为作为IGMP查询器。在这个测试中,48个TestCenter千兆以太网端口中的47个加入了一些IGMPv2组;第48测试中心的港口起到了监测洪水的作用。