网络-CISCONAV-10分析报告

1、1 测试目的本文主要对CISCO NAV-10WF就功能和转发性能两方面进行分析测试，找出CISCO设备不足的方面，同时对比ICG2000实现方式，给出优化建议。功能方面主要关注安全、QoS、NAT、VPN等常用特性；性能测试主要关注转发性能、多业务环境下的转发性能和多Session转发性能测试。2 测试详细信息2.1 测试总结总体来说，CISCO的NAV10的性能不如ICG2000。但WEB界面做的比较友好，思路清晰结构合理，有 比较多的提示和帮助。功能上二者基本类似，少量特性和细节上有些差异。但NAV10在通过WEB操作时，感觉响应速度明显慢于 ICG2000。尤其是LAN相关的设置，需要

2、较长时 间，并且要重启端口。在打流量时进行设置，出现过长时间无响应最后手动重启。2.1.1 功能测试总结总的来说CISCO NAV10-WF在功能方面做的比较全面，与 ICG2000实现的功能大致相同，但在易用性 和一些细节方面实现的比较好，下面总结 CISCO NAV10-WF 实现不足的地方：CISCO NAV10-WF 实现不足的方面：1 、 QoS： NAV10 限速功能只支持对上行速率进行限制，无法对下行速率进行限制；2、QoS：不支持基于802.1P进行队列管理；3、NAT : NAT不支持基于地址池的 PAT和NO-PAT地址转换方式；4、静态路由：只支持300条静态路由，ICG

3、2000可以支持5000条；5、不支持 IPSec VPN；6、不支持网桥功能；2.1.2 性能测试总结从纯IP转发和NAT转发性能来看，CISCO NAV10-WF转发性能很低。端口虽然支持协商千兆，但实际 性能与协商为百兆时没什么区别，小包双向不足6Kpps，大包不足5Kpps。对比ICG2000小包双向为180Kpps，大包基本达到线速16Kpps，转发性能大约是NAV10的30倍。因转发性能相差悬殊，未再进行其它方面的性 能测试。CISCO NAV10-WF最大NAT session数在14万，而ICG2000只有5万。ICG2000的动态性能明显高于 NAV10，每秒最大新建连接数是

4、 NAV10的3倍多。从而产生一个疑问：在性能更强的情况下，产品定制的 规格反而偏小。另外测试中还发现，ICG在处理大量NAT并发连接时，是时断时续的。也就是说，CPU占用率达到100% 后，完全不进行转发。空闲 20秒左右后，又继续进行转发，如此循环。而CISCO设备在CPU过载情况下，NAT连接依然很平稳。这是 MSR设备比较明显的缺陷之一，产品的整体设计还有待提高。（在其它测试中 也发现类似情况，比如同样处理极占CPU的的压缩时，CISCO能承受的流量远大于 MSR设备）。2.2 功能测试记录2.2.1接入功能CISCO NAV10-WF 支持五种 WAN 连接方式，分另U是 DHCP、

5、静态 IP、PPPoE、PPTP、L2TP。以 PPPoE 为例，实现模型与我司类似，首先 LAN启动DHCP功能，将网关和DNS服务器地址都指向LAN接口地址， 本地启用DNS代理功能，从 WAN PPPoE拨号获取DNS服务器地址后代理解析 PC的DNS请求；WAN连接自 动配置静态默认路由和动态 NAT，可以只通过1个页面就实现用户上网的需求。下表是详细测试结果:测试功能项CISCONAV10-WF 测试结果ICG2000WAN接入方式DHCP、静态 IP、PPPoE、L2TP、PPTPDHCP、静态 IP、PPPoEVLAN615DNS功能支持动态和静态DNS支持多DNS服务器备份功能

6、动态和静态DNS共支持8个，但是本地解析 的时候只使用前三个DNS服务器解析支持DNS代理功能支持DNS代理功能支持多DNS代理服务器备份功能支持向所有的DNS服务器发送代理请求只支持向第一个 DNS服务器发送代理请求PPPoE拨号功能（tcp mss值，DNS服务器获取）WAN 口 PPPoE拨号支持DNS服务器地址获 取功能；PPPoE拨号口只支持配置 MTU，不 支持TCP MSS的配置，TCP MSS的值是根 据MTU值减40得出，默认和最大 MTU值为 1488 ;另CISCO的TCP MSS会对接口进出 TCP SYN报文进行处理只对接口发出的TCPSYN报文修改TCP MSS 值

7、，这样可能会岀现上传TCP大报文不通的问题。 建议在主线上合入RTD24073的修改NAT功能支持动态NAT，静态NAT和内部服务器映 射；除动态NAT外，其它功能不需要指定接 口，是全局配置。不支持PAT和NO-PAT多公网地址转换方 式。WEB不支持静态NAT2.2.2 WLAN 功能WLAN支持的功能与ICG2000相一致，但是易用性方面比较好，如：无线与三层关联是通过配置SSID的方式，而ICG2000是通过配置 wlan-bss接口方式。下表是详细测试结果：测试功能项CISCONAV10-WF 测试结果ICG2000无线模式B-Only、G-Only、混合B或者G （混合）SSID支

8、持数量48WLAN安全WEP、WPA、RADIUS 认证WEP、WPAWLAN隔离支持（SSID内）不支持MAC地址过虑支持（可以选择黑白名单模式）支持WLAN QoS支持支持223网络安全功能网络安全方面NAV10-WF只支持包过虑防火墙功能，默认的规则为允许LAN到WAN的通信，拒绝所以WAN到LAN的通信，可以增加过虑条件，限制部分LAN到WAN的访问或者允许部分 WAN到LAN的访问。下表是详细测试结果:测试功能项CISCONAV10-WF 测试结果ICG2000访问控制功能（IP、MAC过虑）支持基于MAC地址过虑； WEB过虑支持根 据URL过虑或者关键字过虑，支持指定代理 服务器

9、端口；支持连接数限制；支持 JAVA，ActiveX， Cookies 过虑不支持基于MAC地址过 虑；URL过虑只支持基于 80端口，无法指定其它端 口；内容过虑功能（A、限炒股：大智慧、同花顺、指南针、证卷之星、钱龙、大策略等B、限网络娱乐：pplive、qq 直播、ppstream、BBsee 等C、限P2P： BT、电驴、电骡、迅雷、kugoo等支 持D、限通信：QQ、MSN、UC 等）不支持部分支持防攻击功能不支持部分支持应用控制（QQ、MSN、BT、eDonkey、Skype ）不支持部分支持2.2.4 QoS 功能NAV10-WF可以根据报文进入的端口， 源地址和服务端口对报文进

10、行服务等级标记，服务等级分为低、中、高和最高的四种，然后在岀接口根据报文服务等级进行调度和带宽保证。当使用源地址和服务端口进 行业务流量区分时，可以同时对业务流进行限速。下表是详细测试结果:测试功能项CISCONAV10-WF 测试结果ICG2000CAR支持（只限制上行速率，不支持限制下行速 率）支持限制上行和下行速率基于IP地址限速支持（只能单个地址一一配置）支持基于802.1P进行QoS不支持支持带宽保证功能支持（实际测试中效果不好）支持225双WAN功能NAV10-WF提供三种双WAN连接方式，分别是链路备份、负载分担、路由选路，链路备份方式下可以 指定1个WAN 口做为主接口，另外1

11、个WAN 口做为备份接口，当主链路出现问题时会切换到备份链路；负 载分担方式可以指定两个 WAN 口的负载分担比例，然后同时转发报文，负载分担比例目前只支持20%、50%、80%三种；路由选路方式就是配置 1条默认路由指向其中1个WAN 口，然后配置多条具体路由指向另 外1个WAN 口。支持网络服务检测功能，原理是利用Ping报文对网关或者远端地址进行 Ping检测，如果Ping通则任务链路正常，反之，链路存在问题，根据检测结果可以相应的进行链路或路由切换。下表是详细测试结果：测试功能项CISCONAV10-WF 测试结果ICG2000链路备份支持链路备份，支持使用ping报文检测链路情况负载

12、分担支持基于源地址的负载分担，但是只支持20%，50%，80 %分担模式。路由选路利用静态路由进行分担，最多支持300条静态路由。WAN和LAN切换第二个WAN 口可以切换为LAN模式WEB不支持2.2.6路由和其它功能测试功能项CISCONAV10-WF 测试结果ICG2000静态路由支持（最多支持300条）支持5000RIP支持WEB不支持OSPF支持WEB不支持IGMP支持WEB不支持IGMP Snooping支持WEB不支持其它功能时钟支持手工配置时钟；支持 NTP，只能配置1 个NTP服务器；不支持CPU时钟，系统重启 后从重启前配置的时间开始计时支持日志支持E-mail发送日志，远

13、程日志和日志缓冲 区，日志缓冲区最大支持 8192000字节，可 以导岀。支持SNMPWEB支持配置SNMP，支持CPU和内存超阈值告警WEB不支持访问控制支持单独过虑无线WEB访问不支持VRRP支持VRRPWEB不支持DDNS支持花生壳、、支持花生壳和3322.orgUPnP支持不支持2.3性能测试记录2.3.1 WAN 口双向IP转发性能(Mbps)NAV10-WF :150025.917971500100.00Name/Framesize64512Total1.9062511.06445ICG2000:Name/Framesize64512Total56.41

14、100.002.3.2 NAT_1 flow (Mbps)测试条件：NAT , 1条流，由内向外单向NAV10-WF :Name/Framesize645121500Total3.30371120.7060549.5166ICG2000:Name/Framesize645121518Total52.3437598.7599.3752.3.3 NAT最大连接数设备Nat session 最大支持数备注NAV10-WF140000近似值ICG200050000近似值NAV10-WFTCP ConnecUicms (p&r seccridjEJa psc-d Tms tsec *nil5-iICG2

15、000:TCP Ccnneicli口口事 wcptici)Fh Tiim- |5Wrt H)Oujidi-tsd - Stad$h| WT = Obhri EE-Sblchia-d y F JU ladE pMFCl Tlji* |专其喲TCPCEMMiedlcM m (Tulahi)2.3.4 NAT每秒最大新建连接数设备NAT最大每秒新建连接数备注NAV10-WF220近似值ICG2000700近似值NAV10-WFTCP Conruections (per secondElztp&ed Time (sc-tonds lICG2000:CriiilwM,lKjn Knri-ini Mbnn

16、dL)2.4测试版本241 CISCO NAV10-WF 测试版本242 ICG2000测试版本：_dis verH3C Comware Platform SoftwareComware Software, Versio n 5.20, Beta 1707Comware Platform Software Versio n COMWAREV500R002B56D001H3C MSR20-12 Software Versio n V300R003B01D002Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reser

17、ved.Compiled Jun 23 2008 17:58:52, RELEASE SOFTWAREH3C MSR20-12 uptime is 1 week, 2 days, 3 hours, 39 minutesLast reboot 2007/01/01 00:00:11System returned to ROM By Command.CPU type: FREESCALE MPC8323E 333MHz256M bytes DDR SDRAM Memory16M bytes Flash MemoryPcbVersion: 3.0LogicVersion: 1.0BasicBootROMVersion: 2.00Extended BootROMVersion: 2.00SLOT0AUX(Hardware)3.0,(Driver)1.0,(Cpld)1.0SLOT0ETH0/0(Hardware)3.0,(Driver)1.0,(Cpld)1.0SLOT