NAC设备性能试验
对于consensus和Nevis盒子,这是速度和安全之间的权衡。
在2/3层交换机中,线路速率性能可能是给定的,但是在它们旁边的NAC设备呢?为了找到答案,我们在consensus和Nevis设备上加载了Windows应用程序流量,它们很可能在企业中看到这种流量。
当配置为第2层交换机时,consensus和Nevis盒子都以或接近行速率运行,但这不是所有人使用它们的方式。当使用这些设备时,性能会更慢防火墙流量和被检查的包有效载荷。性能和安全这不是什么新鲜事,但在这种情况下,差异从轻微到巨大。
我们使用通用互联网文件系统(CIFS),微软Windows使用的协议。当客户机在服务器上映射网络驱动器、上传和下载1-MB文本文件并断开网络驱动器连接时,我们捕获了实时通信。这种传输模式确保涉及到多种类型的CIFS事务,而且(因为每个方向上的传输都是1 mb)管道在两个方向上都是满的。这些设备被设计成位于网络的核心,而不是传统的面向internet的防火墙。这意味着在压力测试中混合使用windows流量比使用HTTP流量更有意义。
为了扩大跨每个NAC设备上的8对端口的流量,我们使用Spirent雪崩和Reflector测试仪器来重放从1500个并发用户捕获的流量。
在试验台无设备的基线测量中,雪崩与Reflector测试仪器之间的聚合转发率约为8.67 Gbit/s,各方向约为4.3 Gbit/s。这与这些设备的10 gbit /s容量有些差距,但结果是,除了第2层配置之外,测试的两种设备都比这个级别运行得慢。
我们以三种模式评估了NAC设备的性能:作为一个允许所有流量转发的简单2层交换机,作为启用通用企业规则的防火墙,以及作为启用7层内容检查的防火墙。
在第2层测试中,一致性设备转发流量的速率与我们的基线测试基本相同,而Nevis大约慢了100 Mbit/s。这些都是微小的差异;作为开关,这些设备运行在或接近线路速率。然而,你买这些盒子不是用来做开关的,所以虽然这些数字令人钦佩,但它们不是很有用。
作为防火墙,consensus和Nevis设备都将转发率降低了约1 Gbit/s,在consensus情况下为7.55 Gbit/s,在Nevis情况下为7.68 Gbit/s。这些数字分别代表了这些设备的第二层转发率的86%和90%。
一旦我们启用了第7层检查,在共识的情况下就有了一个大得多的权衡。两合意设备的比率暴跌至2.05 Gbit/s,低于其二层性能的24%。
这种放缓似乎是CIFS检查特有的。我们还尝试使用Web流量而不是CIFS测试两厢情愿设备,结果与线路率接近。在我们的测试中,consensus try发现它的检查软件中存在一个问题,即与Web流量相比,CIFS的性能“成本”增加。截至发稿时,该公司已经在测试补丁,但还没有发布日期。
Nevis不支持7层检查,但是有一个复杂的入侵预防系统,这是一个典型的性能杀手。为了将Nevis推到极限,我们启用了它的“威胁控制”阻塞,并发现Nevis设备转发流量的速度与防火墙测试中的基本相同,为7.67 Gbit/s。
尼维斯公司表示,在内部测试中,该系统已经达到了10 gbit /s的额定容量,但使用的是混合UDP和TCP流量。在本次测试中,我们没有采用位爆IP或UDP数据包的方法,因为这些设备在企业设置中更有可能处理有状态CIFS(或其他TCP流)。
感谢为这个项目提供测试基础设施的供应商。Spirent Communications提供了其雪崩和反射器流量发生器/分析器,并帮助调试测试配置。Apcon提供了它的IntellaPatch物理层开关。Extreme Networks提供了Summit S7i交换机。APC提供了NetShelter VX机架来装载测试装备。
大卫·纽曼(David Newman)是加利福尼亚州韦斯特莱克村(Westlake Village)一家独立测试实验室Network Test的总裁。斯奈德是亚利桑那州图森市(Tucson)一家咨询公司Opus One的高级合伙人。可以联系到dnewman@networktest.com和Joel.Snyder@opus1.com,分别。
了解有关此主题的更多信息
两厢情愿升级其NAC软件,提高容量11/06/06
NAC将在Interop中引起轰动05/01/06
幻影更新网络访问控制设备01/30/06
版权©2006Raybet2