Avalanche3100应用层网络仿真测试仪器技术

Avalanche 3100 应用层网络仿真测试仪器技术调研报告
一．需求分析（申购原因）
目前，安全设备（如防火墙、IDS、IPS、SSL VPN、IPSec VPN等设备）已经成为电信运营商、军队专网、政府网和企业网部署很重要的组成部分，它主要部署在网络的末端，来防止恶意流量（如黑客攻击、病毒感染）和网络中不当的操作（如垃圾邮件、软件漏洞）对服务器等某些重要部件所造成的致命危险。

而这些安全设备的部署在达到安全目的的同时，也可能成为了网络性能的瓶颈，造成网络整体性能的下降。

因此目前对于安全设备性能的测试成为目前网络测试很重要的一部分。

对于安全设备的性能测试主要分为两部分：L2-L3的数据转发测试和L4-L7的应用层流量测试。

其中L2-L3的数据转发测试主要是为了考察安全设备的下层数据处理能力，这主要靠硬件能力（如CPU、缓存等）和软件决定。

此类测试一般在安全设备关闭安全功能的情况下进行RFC2544/1242测试，被称为基线测试，需要仪表能在L2-L3层构造各种类型的流量以及能够对这两层的参数进行调节，并且能够产生大量的能够体现现实环境的流量（用Spirent TestCenter可以很好的来做到）。

L4-L7层的测试则直接反映了网络用户在使用应用层业务时获得的性能及质量，一般在打开了安全功能时进行，主要衡量安全设备在处理四到七层流量时的能力。

L2-L3层性能的优良并不能说明L4-L7层的能力优良，因为在传输层到应用层有更为复杂的协议栈和传输机制，必须要单独地衡量设备在上层流量处理的能力。

L4-L7层测试一般包括TCP并发连接数、TCP每秒钟新建连接数、最大的处理带宽等指标，这些参数直接关系到网络设备支持用户上线的数量、速度以及质量。

这需要仪表能够产生大量带真实协议栈的应用层流量，因为目前的
高端安全设备的TCP并发连接数可以达到百万级，如果仪表的性能太低或者不是真实的协议栈，根本不能达到测试设备性能的目的。

同时，怎样把网络的真实性引入到实验室进行测试对于安全设备和各种应用服务器提供商是一个非常重要的问题。

因为在实验室经过基线测试的设备，在真实网络环境中有可能因为一个很小的细节而出现大的问题。

因此需要仪表在能够产生大量流量的同时，能够具备对于真实网络的模拟能力，如用户思考时间、服务器器延迟、cookie、DDOS攻击、接入带宽、丢包、延迟等，并且必须能够产生各种网络中存在的真实的协议，否则不能够仿真真正的网络情况。

思博伦通信的Avalanche 3100是业界防火墙及安全设备性能测试的标准仪器。

其中Avalanche 3100是性能最高的一种，它能够满足测试人员对设备性能验证的所有要求。

真实的协议栈、丰富的应用层协议支持、能产生大量的用户流量、强大的结果分析能力、真实的网络仿真以及统一的平台都为测试人员进行性能验证提供了方便。

它能够缩短产品的验证周期、节省设备测试投资并且确保设备在网络部署时能够有在实验室一样好的性能。

二．Avalanche 3100设备特点及技术优势
思博伦通信的Avalanche 3100系列L4-L7应用层性能仿真测试仪，是业界公认的安全设备及L4-L7层测试的标准。

思博伦通信创造了防火墙基线性能测试的标准RFC3511，并根据标准研发了相应的Avalanche测试仪。

其中Avalanche 3100不同端口分别作为网络应用层客户端仿真及网络应用层服务器端仿真，并进行性能测试。

通过使用该系列产品，网络设备提供商、系统集成商、网络运营商和内容服务提供商可以对其它网络设备和业务网络进行综合的服
务质量评估和故障诊断。

其中，单独用Avalanche模拟客户端可以测试Web服务器、安全服务器、电子邮件服务器、FTP服务器、流媒体服务器和数据库服务器、内容分发网络（CDN）、服务提供商和网络运营商的业务网络；用Avalanche同时模拟客户端和服务器可以测试防火墙、入侵检测系统、IPSec VPN设备、SSL VPN设备、负载均衡设备、网络缓存、4-7层交换机、垃圾邮件过滤系统、代理服务器及其它应用网络。

Avalanche 3100具备了L4-L7层测试所需要的仿真功能和性能，它为测试人员提供了尽可能的方便来对安全设备性能进行评估。

2.1 设备功能特点介绍
1．A valanche支持丰富的应用层协议
Avalanche支持HTTP 1.0/1.1、HTTPS（SSL v2、SSL v3、TLS v1）、FTP、DNS、Telnet、电子邮件（SMTP/POP3/IMAP4）、流媒体RTSP/RTP、流媒体Real Networks、流媒体MMS（Microsoft Windows Media Streaming）、VoD组播、SIP、PPP/PPPoE、Radius、DHCP、GRE、MM4（彩信）、IPSec、802.1x/NAC、CIFS、NFS、RTMP、Capture/Replay （over TCP、UDP或Ethernet）和SAPEE模拟私有协议，此外，Avalanche 支持IPv4和IPv6双协议栈环境。

对协议的丰富支持主要是为了验证IDS、IPS和应用网关设备在不同协议流量情况下的性能，设备处理不同业务流量的能力以及在混合协议流量情况下网络的性能。

丰富的协议可以近似仿真网络中协议分布状况，以求更接
近真实网络。

Avalanche支持SSL，且支持完善的加密模式，可以测试SSL VPN的设备性能。

2．A valanche 3100具有业界独一无二的流量模型
Avalanche具有流量模型的设置，可以仿真网络用户上线的真实过程。

一般网络用户在不同的时间综合表现出的上线过程是不一样的，可以分为突发、平稳等具体表现，而这些具体的表现对于网络设备的冲击是不一样的，因而需要测试在各种上线过程下的网络设备性能。

通过对流量模型的调节，可以仿真真实环境中大量用户的上线行为和状态，以求测出设备的极限性能。

而且在测试的过程中，Avalanche会根据TCP建立成功和失败的具体情况自动调节负载，使得极限性能的测试更加方便快速，减少了测试人员的测试时间。

3．A valanche 3100的协议栈都是真实的
Avalanche 3100在进行任何测试时，都不会因为保证性能而改变协议栈的真实性。

Avalanche支持TCP的端口随机选择、TCP 最大分段设置、TCP窗口机制、延迟机制、超时机制、重传机制、拥塞控制机制等等；支持HTTP浏览器仿真、cookie、用户思考、重定向、认证、加密等等。

L4-L7层的测试不同于L2-L3层测试主要在于上层协议的参数会直接影响到应用层协议的性能，因此如果不保证协议栈的真实，测试结果是没有任何意义的。

Avalanche在保证协议栈的情况下也提供了业界最高的性能，确保仪表在测试中成为参考标准。

4．A valanche 3100提供了强大的模拟真实网络环境的能力
Avalanche 3100为了将真实网络环境引入实验室，提供了大量可调节的网络参数，如：用户思考时间、网络层分片、网络接入带宽、丢包、时延等等。

加入这些参数的目的是为了进一步模拟出真实环境，由于这些参数的改变都是可能对网络性能产生一定的影响的，因此对这些参数的模拟正是反映了设备在真实网络中的性能。

5．A valanche 3100支持7000种以上攻击测试
Avalanche 3100支持以下攻击类型：模拟DDOS/DOS攻击；模拟口令破解等解码攻击行为；模拟恶意代码和后门程序的攻击行为；模拟操作系统漏洞渗透攻击行为；模拟缓冲区溢出类攻击行为；模拟蠕虫攻击；模拟各种类型病毒；模拟VOIP攻击；能够支持有状态和无状态的攻击发起；能够模拟电子邮件攻击，包括发送带病毒附件的电子邮件等；能够支持对各种攻击的混合发送，可以设置发送比例，以模拟网络上真实的攻击状况；将各种攻击流量和正常背景流量混合后通过一个端口发送，模拟真实的网络攻击行为。

所提供的攻击手法要提供相应的标准组织编号（如CVEID或BugTraqID等），以便于参考。

6．A valanche 3100可以进行Triple Play测试
Triple Play已经成为当前网络的发展趋势，网络是否能同时承载数据、语音、视频且保证其质量也是安全设备以及应用层网关必须验证的。

Avalanche 3100同时提供了数据、语音、视频三种类型协议，并且提供了丰富的调节参数及性能，为验证安全设备、应用层网关及各种应用服务器的Triple Play性能提供了非常好的工具。

7．业界独有的SAPEE和Capture/Replay功能
目前网络中的流量充斥着大量的非标准流量，如BT、EDONKEY、MSN 等等，这些流量占非常大的比例且对网络性能的影响非常严重。

为了能够验证安全设备和应用层网关在非标准流量情况下的性能，Avalanche 3100提供了Capture/Replay的功能，可以将网络中的非标准流量抓获下来进行回放，为验证广泛的非标准协议对网络的影响提供了很好的工具。

新增加的SAPEE功能是增强的Capture/Replay，界面提供PCAP文件导入向导，可以方便地导入PCAP文件；可以在界面中直接修改源、目标IP地址，端口号等信息；可以在界面中直接修改报文的数据（Payload）部分；可以在界面中改变数据包的发送顺序，修改TCP关闭方式；支持在同一个PCAP 文件中同时包含TCP和UDP数据包，并能够进行回放；可以改变数据包之间的延迟；可以在界面中通过手工方式创建任意基于TCP或UDP的协议。

以上这些特性都是便于将私有协议模拟的更加真实。

8．直观详细的报告
Avalanche提供了直观详细的报告分析工具Avalanche Analyzer，它提供了大量流量和具体参数的统计，提供了表格、图形等统计模式，并且可以转存为PDF、HTML等文件格式。

2.2设备性能介绍
Avalanche 3100是业界性能最高的L4-L7层测试仪表，其性能指标可以比别的仪表高出一到两个数量级，为验证安全设备和应用层网关以及服务器性能提供了参考标准。

一台Avalanche 3100机箱支持最多12个千兆测试端口（10/100/1000 Mbps铜口、千兆多模光口、或者二者的组合）以及4个可以选择配置的10 Gbps测试端口。

Avalanche 3100拥有业内最高应用层测试性能，可建立并保持高达1500万并发连接，每个连接都源自不同子网上不同的IP地址和/或不同的MAC地址。

超过500,000个每秒钟新建连接数。

使用10 Gbps端口进行测试，可以达到20 Gbps带宽，也是业内最高的。

用户可以将多台Avalanche级联构成集群测试系统Avalanche Cluster，以获得更高的性能。

Avalanche产品系列在国际上先后获得过Internet World的“Best of Show”、Network+Interop的“Best of Show”
等大奖。

2.3调研情况
根据分院需求，我们调研了市场上的网络应用层测试仪表，一共有三款仪表可以提供。

美国思博伦公司的Avalanche 3100，美国思博伦的SmartBits，美国Mu公司的Mu 4000。

这三款仪表的具体指标比较如下表所示。

目前国内没有同类安全设备性能测试仪表，无法满足安全设备测试要求，因此只能购买国外进口产品。

而通过比较，进口产品中Avalanche 3100功能、性能远远高于同类产品。

三．Avalanche 市场份额
Avalanche在网络安全及应用层测试领域，占据主导地位，市场份额高达80%以上。

在国内，有许多研究所、军队、安全设备厂商、运营商以及大学购买了Avalanche，用于各种网络安全及应用层测试。

研究所：传输所、数据所、计量中心、公安部一所、公安部三所、国家保密局、国家信息安全测评认证中心、北京测评中心、上海测评中心、深圳测评中心、信息产业部电子第5研究所、信息产业部电子第30研究所、广东省电力设计研究院、总参61所、总参57所、无锡56所，等。

设备厂商：华为、H3C、Huawei-Symantec、中兴、Juniper、Cisco、Array、Fortinet、安氏、启明星辰、绿盟、联想、网康、深信服，等。

运营商：中国电信研究院（广州、上海、北京）、中国移动研究院、中国联通。

国内高校：北京大学、清华大学、北京工业大学、北京航空航天大学、北京交通大学、郑州大学、南京大学、南京师范大学、中国电子科大、成都电子科大、国防科大、上海交大、复旦大学、广州大学、华南师范大学、哈尔滨工业大学，等。