思博伦网络测试培训11-应用层及安全测试方案

思博伦应用层及安全解决方案

为什么测试4-7层？
基于内容的设备加速了www 迅速增长 对于内容网络（4-7层）而言，增加产品数量并不是很好 的途径，不如加强对这些设备的测试
网络的边缘部分已经成为瓶颈 需要进行4-7层测试的设备包括：
防火墙 入侵检测系统（IDS） VPN网关 SSL加速器 负载均衡器和Web交换机 Web cache ……
Page 2
提供安全的、无 漏洞的网络
快速地传送内容 给用户

为什么测试4-7层？
即使设备不是基于4-7层的，当处理7层数据流时，负载 特征的改变也会造成明显的功能和性能问题 传统的2-3层数据流压力测试是好的，但总是不够充分的 需要将“真实性”引入实验室测试中
- 协议（HTTP、FTP、SMTP、POP、SSL、…） - 环境（数据包丢失、延迟、连接速度、…）
Page 3

安全及应用层测试 — 4-7层测试技术
测试技术发展情况
业界没有形成系统的测试方法学 测试内容包括功能测试、性能测试、协 议分析、网络监控等内容 又分为设备测试、服务器、网络服务测 试 有许多厂商都在研究新的测试方法 RFC 2647/RFC 3511 Light Reading SSL VPN测试
技术发展趋势
所有的网络都需要进行高层业务测试 网络/设备/服务器 网络安全测试的在多个方面发展 DoS/病毒/垃圾邮件/系统监控/… 应用层QoS测试 Trip Play测试技术
目前可行的解决方案
应用层性能测试工具 协议分析软件 应用层仿真工具 2-7层集成测试技术
面临的挑战
测试方法学的统一和标准化 网络安全测试与实际网络安全 如何准确评估具有复合业务的网络系统 可靠性测试与系统故障分离 大量新兴应用的出现为测试增加了难度
Page 4

问题：应用和网络结构非常复杂
评估系统的容量 非常困难
防火墙
负载均衡器
路由器
SSL 设备 Web 服务器 应用 服务器 数据库 服务器
Page 5

应用性能评估需要仿真用户和Internet
现实中用户应用的交互 现实中用户应用的交互 不同的浏览器类型 不同的浏览器类型 用户思考时间 用户思考时间 用户放弃（HTTP abort） 用户放弃（HTTP abort） DDoS攻击 DDoS攻击 病毒附件/垃圾邮件 病毒附件/垃圾邮件
每个用户都有IP地址 每个用户都有IP地址 线路速率 线路速率 延迟 延迟 丢包 丢包
Page 6

传统的实验室评估
实验室环境 实验室环境
? ?
有限的数量： 有限的数量：
? ? ? ? ? ? 用户/客户端 用户/客户端 协议（ftp, http） 协议（ftp, http） 服务器/应用 服务器/应用
??
有限的网络影响 有限的网络影响 延迟、丢包 ?? 延迟、丢包 分片，等 ?? 分片，等 网络设计影响 网络设计影响 单个DUT 单个DUT 单个厂商仿真 单个厂商仿真
Device
?? ?? ??
Page 7

思博伦解决方案 — Avalanche/ThreatEx
Page 8

系统测试
Spirent Avalanche
? 安全：检验对于病毒和攻击的防护 ? 可用性：在低于峰值负载和超过峰值负载情况下测试 ? 降低成本：精确测量得出系统所需规模
Page 9

网络基础架构测试
Spirent Avalanche
Spirent Reflector
? 安全：检验在极端负载情况下的防护 ? 可用性：测试设备软件的新版本 ? 降低成本：评估来自多个厂商的设备
Page 10

测试方案的拓朴结构
“真实环境”测试
测试仪表 模拟所有客户端功能
真实流量: HTTP1.0/1.1, FTP,SMTP/PoP 3, 视频, 攻击, SOAP, 等.) 模拟用户接 入速率 (56K, 512K, 等.) 模拟核心网络 丢包
测试仪表:模拟服务器群
Firewall
Load Balancer
Database Server
Internet
模拟众多子网 地址流量
Router
SSL Scaler
L4-L7网络连接 设备
用户的个人行为: (思考时间, 超时放弃浏览,等)
Web Server
Application Server
File Server
Page 11

Avalanche产品概述
Avalanche产品系列是目前业内先进的4-7层（应用层）仿真及性能 测试工具。其中Avalanche为网络应用层客户端仿真及性能测试仪， Reflector为网络应用层服务器端仿真及性能测试仪。通过使用该系列产 品，网络设备提供商、系统集成商、网络运营商和内容服务提供商可以 对其它网络设备和业务网络进行综合的服务质量评估和故障诊断。 Avalanche和Reflector支持常用的应用层协议。支持捕获回放（ Capture & Replay）功能，通过此功能，Avalanche和Reflector可以模拟非 标准协议应用而进行的测试。Avalanche和Reflector支持同时运行多种协 议混合测试。 Avalanche还支持模拟多种DDoS攻击测试。Avalanche和 Reflector软件可以运行在SmartBits TeraMetrics体系结构上，提供统一标 准的2-7层性能分析测试平台。
Page 12

Avalanche支持的协议（7.5）
HTTP 1.0/1.1 FTP (passive) Telnet Protocol DNS Protocol Secure HTTP (SSLv2, v3, TLSv2) RTSP/RTP
Real Networks的Real System Apple的Quick Time
POP3 Mail Protocol SMTP Mail Protocol Capture/Replay (TCP, UDP)
BT、eDonkey、Kazaa、MSN…
In-line DDoS PPP/PPPoE Radius GRE SIP over TCP and UDP IPv6 MM4
Page 13
Microsoft Media Server (MMS) VoD Multicasting IPSec

Avalanche integrated DDoS library
15 pre-defined stateless attacks per interface
DDoS support ARPFlood Attack PingSweep Attack ResetFlood Attack Smurf Attack SynFlood Attack TCPPortScan Attack UDPFlood Attack UDPPortScan Attack XMasTree Attack Evasive UDP Attack Land Attack Ping of Death Attack Random Unreachable Host Attack Teardrop Attack Unreachable Host Attack
Page 14

Avalanche产品定位
产品
Avalanche 2700 Reflector 2700 Model B & C Avalanche SMB SmartBits 6000 SmartBits 600
应用
网络和Internet基础设施能力评 估 Model C拥有最高性能 完整的2-7层测试，在 TeraMetrics 硬件上运行 Avalanche软件 多用途 – 可以运行其它 SmartBits应用
Avalanche 220 Reflector 220
便携式的网络和Internet分析工
具 适用于小型企业的较低性能要求
Page 15

Spirent Test Platform
Spirent Software “Commander” control Spirent Avalanche and Spirent Reflector and also able to monitor device under test by SMNP.
Page 16

Other Test Possibilities
Page 17

Other Test Possibilities
Page 18

Other Test Possibilities
Page 19

Other Test Possibilities
Page 20

思博伦ax4000网络性能监测操作手册

AX4000网络监测测试的操作手册 1.安装AX 4000GUI软件到PC上。安装UDP Server软件到远端服务器上。运行远端UDP Server软件。 2.启动AX4000机箱电源，连接AX4000控制卡的以太网接口和控制PC机的网口。AX4000 的确省IP地址是192.168.0.66。 注意：新到的机箱可能没有IP地址，需要通过串口对控制板上的以太网口的IP地址进行设置，串口速率为115200，用户名为root，密码spirent或ax4000。 3.启动AX4000 GUI软件，从Program—Spirent communications—AX controller software 4.81—Network Access GUI。在Global system assignment中输入AX4000的IP地址。 4.双击IP地址的机框图标，进行机框初始化过程。此过程需要2分钟左右，时间长短取 决于板卡的数量。

5.初始化结束后，显示当前机框所拥有的板卡，双击你测试所需要的板卡，取得控制权。 6.点击AX/4000图标，进入到AX/4000 4.81的图形化界面中。

7.选择相应的测试板卡，如ip over Ethernet 10/100Mb板卡，双击板卡图标，进入板卡设 置界面，选择setup，设置板卡为自协商还是强制10M,100M，全双工，半双工等特性。 确省板卡为自协商。测试时要选择强制100M，全双工。 注意：测试时，同AX 4000相连的交换机或路由器的端口属性要同AX 4000的端口属性设

为一致。 8.选择GEN图标，进入到IP发送流量设置界面中，选择ARP SETUP，选择arp request 和arp reply。

思博伦家庭网关语音测试解决方案

思博伦技术专栏 １ 家庭网络部署存在挑战 随着电信增值业务的发展以及固网与移动网络 的融合，目前国内外各大电信运营商先后推出了以家庭网关为核心的电信综合业务。除英国电信、法国电信、意大利电信等推出了成熟的家庭网络业务品牌以及相关服务外，正式启动重组进程的中国电信运营商也在加紧推进面向家庭用户的电信综合业务。例如，中国电信正在通过“我的ｅ家”品牌，向家庭用户推出家庭网络的概念，并将以此作为大规模家庭网络增值服务的基础。 据统计，２００５年全球家庭网关的销量达到１５００多万台。２００６年，由于中国宽带用户的急速增长使得国内家庭网关的市场需求也增长迅速，预计到２００８年我国将超过美国成为全球最大的家庭网关消费国。 但是，在家庭网关的应用过程中，电信运营商的确遇到了一些麻烦。家庭网络是电信运营商网络的延伸，是ＩＰ网络，无线Ｗｉ－Ｆｉ网络，以及传统电信网络的融合结果。而家庭网关需要连接传统电信网络和Ｉｎｔｅｒｎｅｔ网络，帮助用户在家里实现网上漫游、语音通话和ＩＰＴＶ等多种业务，实现语音流、数据流、视频流的Ｔｒｉｐｌｅ－Ｐｌａｙ，并提供有线和无线多种接口，为将来实现家庭全面智能化打下坚实的基础。家庭网关的出现，既给电信运营商找到了新的业务增长点，又给传统电信用户提供了更加便宜、更加方便的服务。一切似乎都是美好的，但现实总是残酷的。ＶｏＩＰ中的语音流本身就存在语音质量不稳定的问题，再加上数据流和视频流的干扰，家庭网关能够长时间提供稳定的让用户满意的服务吗？这样的担心是很有道理的。最简单的一个问题———如何保证用户的语音通话质量不 思博伦家庭网关／ＩＡＤ语音测试解决方案 思博伦通信 编者按：随着电信增值业务的发展以及固网与移动网络的融合，目前国内外各大电信运营商先后推出了以家庭网关为核心的电信综合业务。除英国电信、法国电信、意大利电信等推出了成熟的家庭网络业务品牌以及相关服务外，正式启动重组进程的中国电信运营商也在加紧推进面向家庭用户的电信综合业务。思博伦通信的《思博伦家庭网关／ＩＡＤ语音测试解决方案》一文详细介绍了思博伦公司的家庭网关／ＩＡＤ的语音测试解决方案。 思博伦公司的家庭网关／ＩＡＤ的语音测试解决方案，主要使用Ａｂａｃｕｓ５０测试系统，帮助设备制造商和运营商降低测试成本，减少因为语音质量不稳定而造成的系统风险。本文对目前正在加紧推进面向家庭用户电信综合业务的电信运营商具有很好的参考意义。 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!" !!!!!!!!!!!!!!!!"

思博伦网络测试培训06-SmartBits_SmartApp

SmartApplications

Topics Overview Introduction User Interface Card Configuration Traffic Configuration Test Setup Running a Test Interpreting Results

What is SmartApplications? SmartApplications is based on Internet Engineering Task Force (IETF) Benchmarking Methodologies Working Group RFCs. RFC 1242 “Benchmarking Terminology for Network Interconnection Devices” RFC 2544 “Benchmarking Methodology for Network Interconnect Devices” SmartApplications provides you with industry-standard Benchmark testing of interconnect devices. SmartApplications supports 10/100/1000 Ethernet, Token Ring, ATM and Frame Relay mixed-topology testing. SmartApplications provides support for most currently released cards. SmartApps supports remote one-way latency testing using GPS. SmartApplications provides Layer 2 and Layer 3 tests. SmartApplications provides “Next Hop”Router tests. SmartApplications supports 1 to 1, 1 to Many, and Many to 1tests. SmartApplications provides Uni. and Bi-directional tests. SmartApplications was designed to test a device/system, not a live Network.

思博伦通信Avalanche网络应用测试方案

思博伦通信Avalanche网络应用测试方案 那么如何用SAPEE来实现P2P和Messenger呢？本文将以MSN为例对此进行介绍和说明。使用SAPEE对MSN进行仿真，需要抓取MSN报文，MSN报文里面可以包含任意你需要的会话内容或者会话数。SAPEE会提供一个向导完成对MSN报文的导入，导入的过程可以提供一系列过滤条件来完成对报文的过滤。导入后，Avalanche会提供对这个报文的解析，具体参见图2。图2 导入后Avalanche提供对这个报文的解析此例中的报文中包含4个MSN会话，生成的SAPEEMSN为播放列表（Playlist），其中4个MSN会话叫做流（Stream），点击任何一个Stream都可以看到这个Stream中包含的报文交互过程，以及各报文的详细内容。SAPEE与一般意义的回放不同在于，你可以对报文内容进行任意编辑和扩展，比如你添加你想要，也可以删除你不喜欢的，你可以对报文的任意字段变量化，比如MSNID或者MSN交互的内容。这样就可以对会话进行扩展，确保对MSN的仿真不是单用户行为的重复，而是千变万化。对于仿真 P2P或者Messenger测试DPI/DFI来说，DUT可能会对特定字段更敏感，SAPEE 可以提供LOOP和TIMER对特定流或者特定报文段进行LOOP或者处理延时评估，为测试提供更准确完备的结果。4 网络流量模型测试网络中的应用是复杂多样的，但是网络流量其实也是有一定规律的，这些规律可以通过一定时间的观察和分析得出一个模型来描述，这就是流量模型。把流量模型搬到实验室用仪表进行实施就是流量模型的测试，流量模型对于测试网络基础架构非常重要，这类测试不仅仅是对网络设备的功能性或者指标的测试，更重要的是稳定性的测试，对网络后期运营有很多的指导意义。图3是网络流量模型中各类应用的分布情况，各类分布以带宽为基准。图3 网络流量模型中各类应用的分布情况模型显示，网络中基于Web的应用占有较大比例，同时非标准应用比如BitTorrent，MSN，GTalk等也占有40%左右的比例。Avalanche 3100可以根据各应用的分布情况来进行灵活配置，实现各类应用之间的比例关系，对于非标准应用通过SAPEE来进行仿真。图4是各标准协议的选择和配置。图4 各标准协议的选择和配置SAPEE完成各类P2P，Messenger等的仿真，具体参见图5。图5 SAPEE完成各类P2P，Messenger等的仿真通过Avalanche灵活的Load分配机制，完成各应用流量的混合，具体参见图6。图6 通过Avalanche灵活的Load分配机制，完成各应用流量的混合5 结束语网络应用服务器测试，比如Portal服务器，需要支持动态交互过程，比如Session ID，Dynamic Link和Cookie是必须的，通过Avalanche 3100可以在高性能的情况下实现Portal服务器的测试。对于非标准协议支持，需要的是可扩展的解决方案，以便随时跟踪各类P2P和Messenger应用的发展变化，Avalanche SAPEE提供了一种灵活可扩展的方案。非标准协议因不同场景会有不同的流程，其中交互过程也有动态的内容，SAPEE的动态变量可以实现内容的动态化，而不是简单的回放单个用户行为。流量模型（Traffic Model）是对现网一段时间流量的抽象，测试需要关注各类流量的分布和业务特征。Avalanche支持各种流量分布模型的构建和非标准协议的可扩展性仿真。本篇文章共3页，此页为第二页上一页后页

思博伦网络测试培训16-IPSec测试解决方案

IPSec VPN测试解决方案 Avalanche

Avalanche提供的IPSec测试 给IP安全测试带来真实性 完全基于状态的应用支持 HTTP、FTP、Telnet、Capture-Replay、Triple-play、SMTP以及其它 对IPSec网关进行全面的性能评估 最大并发隧道数、隧道建立速率、隧道吞吐量、密钥重用（ReKey） 支持IPv4和IPv6 使用Avalanche做全面的IPSec VPN测试 分支部门到总部的IPSec VPN网关性能 大规模远程访问到总部的IPSec VPN性能 多厂商远程访问客户端支持 IPSec隧道上的Virtual Router支持 多种测试场景、真实的VPN流量仿真

Avalanche Security Protocols Encapsulating Security Payload (ESP) Tunnel mode Encryption DES, 3DES, AES (128,192 & 256) Null (Phase 2 only) Other Perfect forward secrecy (PFS) Diffie-Hellman groups 1,2 & 5 HMAC –MD5 & SHA-1 Dead Peer Detection (responder) IKE Phase 1 Support Main Mode & Aggressive Mode Pre-shared Key (PSK) X.509 Certificates Phase 2 Support Quick Mode Xauth with Mode-config Username & Password FormsDB 支持 Generic Nortel Cisco Easy VP Checkpoint Hybrid

思博伦网络测试培训11-应用层及安全测试方案

思博伦应用层及安全解决方案

为什么测试4-7层？
基于内容的设备加速了www 迅速增长 对于内容网络（4-7层）而言，增加产品数量并不是很好 的途径，不如加强对这些设备的测试
网络的边缘部分已经成为瓶颈 需要进行4-7层测试的设备包括：
防火墙 入侵检测系统（IDS） VPN网关 SSL加速器 负载均衡器和Web交换机 Web cache ……
Page 2
提供安全的、无 漏洞的网络
快速地传送内容 给用户

为什么测试4-7层？
即使设备不是基于4-7层的，当处理7层数据流时，负载 特征的改变也会造成明显的功能和性能问题 传统的2-3层数据流压力测试是好的，但总是不够充分的 需要将“真实性”引入实验室测试中
- 协议（HTTP、FTP、SMTP、POP、SSL、…） - 环境（数据包丢失、延迟、连接速度、…）
Page 3

安全及应用层测试 — 4-7层测试技术
测试技术发展情况
业界没有形成系统的测试方法学 测试内容包括功能测试、性能测试、协 议分析、网络监控等内容 又分为设备测试、服务器、网络服务测 试 有许多厂商都在研究新的测试方法 RFC 2647/RFC 3511 Light Reading SSL VPN测试
技术发展趋势
所有的网络都需要进行高层业务测试 网络/设备/服务器 网络安全测试的在多个方面发展 DoS/病毒/垃圾邮件/系统监控/… 应用层QoS测试 Trip Play测试技术
目前可行的解决方案
应用层性能测试工具 协议分析软件 应用层仿真工具 2-7层集成测试技术
面临的挑战
测试方法学的统一和标准化 网络安全测试与实际网络安全 如何准确评估具有复合业务的网络系统 可靠性测试与系统故障分离 大量新兴应用的出现为测试增加了难度
Page 4

思博伦网络测试培训14-防火墙测试解决方案

防火墙测试解决方案Avalanche

防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活 动，保证了内部网络的安全 主要分为包过滤防火墙和应用网关防火墙，目前的防火墙是两种主要技术的混合体

基于CPU的实现 典型的单处理器、单线程处理应用 冗长的或恶劣顺序的规则严重影响性能 CPU努力维持连接和数据包处理 基于ASIC的实现 非常快的处理速度，但是很不灵活 一些ASIC不能完成的任务必须由CPU完成 一些协议（例如：FTP）不得不由软件实现 CPU 必须处理这些协议 基于隧道的安全应用（SSL、IPSec）通常需要CPU处理 CPU必须维持总的会话 CPU必须附加地执行加解密处理 不合适的硬件可以抵消厂商软件上的优势 如果硬件不能有所保证，则： 要么系统可能丢包并扼杀应用的性能 要么危险的数据流可能通过

效率低的软件可能抵消硬件上的优势 效率低的规则处理 在软件中实现了太多的协议处理 数据包和会话处理必须有高效率 在有限的时间内完成对每个数据包的处理 防火墙必须在性能没有损耗的前提下保证安全性

规则基大小及顺序 规则基包含所有防火墙过滤规则 越多的过滤器，就会有越长的数据包处理过程，要考虑 厂商如何实现更好的规则匹配？ 在低速率数据流下，过长的延迟 规则顺序是至关重要的 例如：高使用率的规则放在规则表的底部 对大多数数据流来说，规则基总是搜索到最后 问题可能由高速率数据流导致 数据包可能备份到输入队列中等待处理 队列填满，导致数据包丢失 延迟可能导致会话超时

思博伦发布高清语音及LTE语音性能测试系统

思博伦发布高清语音及LTE语音性能测试系统 全球无线网络、服务及设备测试领域的领导者思博伦通信日前宣布，正式发布SpirentNomadHD 呼叫及语音测试系统。随着VoLTE 部署的不断推进，早期设备在支持该技术的过程中会呈现出不同的实施形式和性能表现，而Nomad HD 能够针对任意网络上任意设备的高清语音和VoLTE 服务，提供关键的语音质量分析能力。 作为第一个提供该服务的测试系统，NomadHD 可为高清语音质量测量和呼叫性能测试提供完整的测试包，为语音服务的演进提供全面的支持。该系统融合了POLQA 方法，这是一种已被ITU 确定为标准的下一代语音测试方法。通过在高清语音和VoLTE 语音质量测试中使用POLQA 算法，可以在同一运营商的传统线路交换与分组交换语音之间进行切实可行的对比，并且可以对多种网络和技术进行跨越式对比。NomadHD 为业界提供了一种急需的能力，可以在实验室和现场环境中，在真实条件下以客观的方式，同时对VoLTE 语音质量、延迟和呼叫性能进行测量。 思博伦通信相关业务的副总裁DesOwens 指出：“思博伦充分认识到了业界在部署VoLTE 服务中所做出的努力，并且非常清楚，这一努力的成功取决于连贯、可靠和全面的测试。利用NomadHD，运营商可以确保其VoLTE 能够实现与上一代语音服务相同或更好的语音质量，从而更有信心地投资建设未来。”NomadHD 通过云提供服务端点在全球范围内均可访问。它支持所有的移动设备，无论这些设备采用哪种操作系统或无线电技术，并且可以在实验室和现场测试配置中均可部署。此外，NomadHD 还提供两种运行模式，即利用单台设备即可分别应对窄带和超宽带通信。该解决方案还可与思博伦的其它服务体验质量产品组合部署，其中包括Datum 和Chromatic 等，从而同时实现语音、