深信服超融合平台-测试方案

1、PAGE 深信服超融合平台测试方案 目 录 TOC o 1-3 h z u HYPERLINK l _Toc485738116 第1章测试概述 PAGEREF _Toc485738116 h 2 HYPERLINK l _Toc485738117 1.1概述 PAGEREF _Toc485738117 h 2 HYPERLINK l _Toc485738118 1.2测试环境准备 PAGEREF _Toc485738118 h 2 HYPERLINK l _Toc485738119 1.3超融合系统安装 PAGEREF _Toc485738119 h 3 HYPERLINK l _Toc485

2、738120 第2章测试内容 PAGEREF _Toc485738120 h 3 HYPERLINK l _Toc485738121 2.1架构环境的快速部署 PAGEREF _Toc485738121 h 3 HYPERLINK l _Toc485738122 2.2业务高可用场景测试 PAGEREF _Toc485738122 h 5 HYPERLINK l _Toc485738123 2.3虚拟网络通信场景测试 PAGEREF _Toc485738123 h 10 HYPERLINK l _Toc485738124 2.4安全防护场景 PAGEREF _Toc485738124 h 14

3、 HYPERLINK l _Toc485738125 2.5运维管理场景测试 PAGEREF _Toc485738125 h 22 HYPERLINK l _Toc485738126 2.6性能测试 PAGEREF _Toc485738126 h 26 HYPERLINK l _Toc485738127 3. 测试方案特点 PAGEREF _Toc485738127 h 28测试概述概述深信服超融合架构将X86服务器通过深信服超融合软件定义的方式，提供虚拟化的计算资源，网络资源，存储资源，安全资源。通过将服务器物理资源转化为一组可统一管理、分配和调度的逻辑资源，并基于这些逻辑资源在单个物理服务

4、器上构建多个同时运行、相互隔离的虚拟机执行环境，同时配合软件定义的网络和网络功能软件化方式，最大限度的提高了资源的利用率，同时满足应用更加灵活的资源动态分配需求，譬如提供热迁移、HA等高可用特性、业务的网络逻辑快速部署，实现更低的运营成本、更高的灵活性和更快速的业务响应速度。测试环境准备硬件设备设备名称详细描述用户提供的服务器至少服务器2台（A机和B机满足超融合推荐配置）千兆交换机千兆二层交换机2台USB key（飞天key）开序列号USB key，需要支持vaf和vad的key应用软件和工具P2v转换工具HD Tune 5.5 虚拟机Web服务器一台（Webgoat），用于安全测试超融合系统

5、安装特点：安装简单、快速，并且过程中采用中文提示操作无需安装管理中心，部署完成虚拟化系统后，即可实现虚拟机的部署和管理测试内容架构环境的快速部署业务系统的迁移-P2V迁移测试测试目标将客户的物理业务系统快速迁移到服务器虚拟化平台，业务不中断注意事项预置条件1.待迁移服务器：现有业务系统的Windows服务器2.Sangfor_aSV_Converte工具已上传到物理系统3.被迁移服务器与一体机管理网络能互通，一体机存储空间大于待迁移物理主机的磁盘数据空间测试步骤1.在物理服务器中运行Sangfor_aSV_Converte工具，阅读并勾选软件许可协议，立即安装【迁移当前主机】2.选择要迁移的目

6、的一体机，输入目的主机的admin账户密码进行认证。 3.配置迁移目的虚拟机的名称、存储位置为目的共享存储，运行位置为目的自动选择，资源消耗为保持和物理服务器一致4.安装成功后，选择【关闭物理机，启动虚拟机，由虚拟机接管业务】，重启设备预期结果1.重启后开始迁移，登录服务器虚拟化一体机主机控制台页面的日志栏，可以看到当前迁移的任务进度；完成迁移后，物理主机自动关机，迁移的目的虚拟机自动开机并正常运行，原业务可用。2.千兆网络迁移速度可达70MB/S测试结果口通过 口 部分通过 口 未通过 口 未测试备 注业务高可用场景测试主要结合客户的业务系统虚拟机进行相应的高可用测试。主机故障迁移测试测试目

7、标主机故障时，对应虚拟机上的业务系统不中断注意事项预置条件业务系统虚拟机启用了HA功能测试步骤1.业务系统虚拟机，运行在主机A上2.办公网络一pc长ping “业务系统虚拟机”3.将主机A断电4.检查步骤2 中pc ping情况预期结果1.主机故障时，ping不通，5min内可继续ping通，说明虚拟机被拉起，运行在B主机上，业务恢复测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注业务网络故障迁移测试测试目标业务网络故障时虚拟机的高可用功能注意事项预置条件1、虚拟机启用了HA功能2、网络参照下图部署测试步骤1.“业务系统虚拟机”，运行在主机A上2.办公网络一pc长ping 业务系统

8、虚拟机3.拔掉主机A 业务口 网线（eth2口）4.检查步骤2 中pc ping情况预期结果1.业务网络故障时，ping不通，5min内可继续ping通，说明虚拟机被拉起至B主机，业务恢复测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注备份恢复测试测试目标一键备份虚拟机注意事项无预置条件测试步骤1.在业务虚拟机中新建文件test.txt2.设备备份策略，选择要步骤1中的虚拟机备份3.超过备份开始时间后查看情况4.删除备份虚拟机的中test.txt5.选择一个时间点的备份恢复预期结果1在设置的时间按照备份策略备份，可以看到虚拟机的最后一次备份时间2.恢复成功，test.txt文件被恢

9、复测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注快照恢复测试测试目标通过快照来恢复虚拟机上的业务数据注意事项无预置条件测试步骤1.在虚拟机中新建文件test.txt2.设置快照策略，选择要快照的虚拟机3.超过快照开始时间后查看情况4.删除备份虚拟机的中test.txt5.选择一个时间点的快照恢复预期结果1.在设置的时间按照快照策略备份，可以看到虚拟机的快照2.恢复成功，test.txt文件被恢复测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注虚拟网络通信场景测试虚拟网络通信测试，为更加直观的测试效果，本次虚拟机采用额外创建新测试虚拟机的方式（可提前按照虚拟机模版部署好

10、测试虚拟机）虚拟网络部署测试目标 虚拟网络可视化部署（所画即所得），简单快速，链路流量可视注意事项pc端先关闭防火墙（ 虚拟机为新建测试虚拟机”VM1”和“VM2”，提前创建）预置条件测试步骤1.进入编辑虚拟网络模式2.从左侧图标中分别拖入一个物理出口、2个交换机、1个路由器、2台虚拟机到画布中3.为物理出口配置 连接的2台实体主机网口eth24.路由器增加2个子接口5.鼠标切换到连线模式，为物理出口，虚拟路由器，虚拟交换机，虚拟机连接好虚拟网线，2个交换机分别在路由器的2个子接口6.根据网络环境设置各设备网口IP7.检查网络连通性，vm1 ping vm2，vm1和vm2分别ping办公区网

11、络预期结果1以上1，2，3，4，5 ，6步骤中整个网络部署过程可视，简单方便2.以上第7步骤中连通的设备会直观展示出来，虚拟机之间能相互ping通，虚拟机和物理网络中pc可以相互ping通，网络流量可视测试结果口通过 口 部分通过 口 未通过 口 未测试备 注分布式交换机测试目标分布式交换机，集群断掉一台主机不影响网络连通性在虚拟服务器中组建虚拟网络，可以互相通信注意事项1、互ping的pc先关闭防火墙预置条件测试步骤1.在 上例“虚拟网络部署” 中继续测试2.办公区网络pc长ping vm13.迁移vm1运行位置到另一个主机4.检查步骤2办公pc ping情况预期结果2.能ping通4.整个

12、过程只丢=3个ping包测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注链路探测测试目标链路探测功能方便定位链路故障节点注意事项预置条件沿用拓扑如下测试步骤1.在虚拟网络页面，打开连通性探测2.选择VM1虚拟机，目的地址到VM2虚拟IP，开始探测3.去掉vr2静态路由，再次按照步骤探测预期结果1.链路畅通2.链路不通，可方便的定位在vr2节点处不通测试结果口通过 口 部分通过 口 未通过 口 未测试备 注链路流量实时显示测试目标链路流量实时显示，方便用户实时掌握业务网络流量情况注意事项预置条件沿用拓扑如下测试步骤1.在虚拟网络页面，打开流量显示功能2. 观察拓扑中的链路流量预期结果

13、1.链路流量实时显示2.可通过流量显示开关实时开启或者关闭测试结果口通过 口 部分通过 口 未通过 口 未测试备 注安全防护场景通过部署虚拟机防火墙的方式，实现业务的安全防护（无需借助物理硬件的安全设备），该测试为功能测试，采用新建测试虚拟机（VM1和VM2）进行测试。2.4.1vaf防火墙实现虚拟机的安全防护测试目标利用虚拟防火墙对虚拟机上运行的web服务器进行安全防护，在WEB服务器遭受到外部攻击时，vaf能进行阻断，并记录相应的安全日志信息注意事项预置条件测试逻辑拓扑如下图在拓扑图的编辑模式已经开通vaf序列号Vm虚拟机运行远程连接测试步骤1.从画布左侧拖入vaf，设置好vaf网口数据，

14、硬件配置，存储位置，运行位置等各项参数，点立即生效2.对vaf进行授权3.按照上图拓扑连好网线4.登录vaf控制台配置连接vsw1，vsw2 ，vr的口为透传模式，连接方式为access，并按照5.办公区 pc 远程一台vm16.在vaf中放通控制策略，办公区pc 远程 vm17.在vaf中启用waf功能，按照默认设置即可8.使用sql注入工具pangolin扫描web服务器预期结果1以上1，2，3，4都可部署成功2.无法远程3.可以远程4.被vaf拒绝，在vaf日志中有拒绝记录测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.4.2 SQL注入攻击防护测试目标测试WAF对SQL

15、注入攻击的防护注意事项开通vAF防火墙序列号预置条件1.测试逻辑拓扑参照2.4.12.配置vAF为路由模式3.虚拟机vm1安装IISweb服务器，安装webgoat测试步骤 1、办公区pc作为客户端访问被测网站：HYPERLINK /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A8 /dvwa/vulnerabi

16、lities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A82、检查是否可以获取到相应的数据库信息3、开启vAF的sql注入防护功能4、再次访问如下url:HYPERLINK /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20inform

17、ation_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A8 /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A85、查看是否可以成功获取到数据库信息预期结果1.可以成功获取数据库的表信息2无法获取到数据库的表信息，且

18、被测设备有日志记录测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.4.3 XSS跨站脚本攻击防护测试目标测试WAF设备对手工测试情况下XSS攻击的防护注意事项预置条件1.测试环境如2.4.1节测试步骤1、登陆dvwa测试网站2、访问HYPERLINK 46/dvwa/vulnerabilities/xss_s/ /dvwa/vulnerabilities/xss_s/3、在信息内容中输入alert(“xss”)后提交，查看是否有xss提示框4、开启vAF的xss攻击防护功能5、再在信息内容中输入alert(“xss”)后提交预期结果1、可以成功提交，并有xss的提示框2、无法提

19、交成功测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.4.4 OS命令注入攻击防护测试目标测试WAF设备对OS命令注入攻击的防护注意事项预置条件1.测试环境如2.4.1节测试步骤1、访问HYPERLINK 6/dvwa/vulnerabilities/exec/ /dvwa/vulnerabilities/exec/2、禁用vAF的命令注入功能3、在输入框内输入&cat /etc/passwd并提交，查看是否能够查看到服务器的用户信息4、启用被vAF的命令注入功能5、在输入框内输入&cat /etc/passwd并提交，查看是否能够查看到用户信息预期结果1.可以查看到服务器的用

20、户信息2.无法查看到用户信息，该请求被阻断测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.4.5 僵尸网络检测测试目标服务器存在被黑客植入远控木马的风险，从而能够窃取服务器上的敏感信息，测试WAF设备能够对僵尸主机进行检测，并阻断可疑流量注意事项预置条件 1.测试环境如2.4.1节测试步骤1、在Web服务器上植入远程控制木马病毒，如灰鸽子；2、通过外网终端连接服务器上的木马；3、查看vAF日志查看是否检测到木马病毒预期结果1、被测设备能够查看阻拦木马的日志记录。测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.4.6 网页防纂改测试目标测试WAF设备能够对被篡改的

21、网页进行拦截，网页恢复后能够正常访问注意事项开通vAF防火墙序列号预置条件 1.测试环境如2.4.1节测试步骤1、Web服务器根目录下放置一个index.html文件；2、vAF配置防篡改策略，检测和拦截篡改数据；3、修改index.html文件一个字节；4、客户端访问index.html网页；预期结果1、WAF设备具备对篡改的网页检测和恢复，客户端无法访问被篡改的网页，篡改数据被拦截。测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.4.7 Webshell上传攻击防护测试目标测试WAF设备Webshell文件上传过滤功能，由于Web应用系统在开发时并没有完善的安全控制，对上传

22、至Web服务器的信息进行检查，从而导致Web服务器被植入病毒、木马成为黑客利用的工具，为防止黑客或内部人员通过某种攻击方式强行获取服务器权限之后，或服务器存在上传漏洞时，通过已有的权限或借助漏洞上传恶意文件构造僵尸网络、破坏网络安全等，需通过文件上传过滤进行防护注意事项预置条件1.测试环境如2.4.1节测试步骤1、开启vAF文件Webshell防护功能；2、访问HYPERLINK 6/dvwa/vulnerabilities/upload/ /dvwa/vulnerabilities/upload/3、在本地选择一个webshell文件进行上传4、查看文件是否可以上传成功，查看返回的信息是否可

23、以访问上传的webshell文件预期结果1.上传webshell失败2. 文件无法上传，也无法访问上传的webshell文件测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.4.8 vAD负载均衡场景测试目标测试vAD对应用负载均衡场景注意事项开通vAD序列号预置条件 1、vAD旁路部署 2、VM1和VM2为2台web服务器测试步骤1、配置vAD http应用负载策略 a 配置IP 组，将aAD 单臂wan端的IP 添加到IP 组 b 配置节点池，将vm1和vm2的ip加入节点池 c 配置前置调度策略 d 新建http应用，关联 ip组，节点池和前置调度策略2、访问web服务器，

24、并查看2台web服务器调度情况预期结果2台web服务器轮询调度（可以通过在web服务器上抓包查看，或者在vAD控制台的节点池状态中查看）测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注运维管理场景测试本场景测试，可以采用业务系统虚拟机，也可以采用新建测试虚拟机进行。2.5.1 虚拟机开机热迁移运行位置测试测试目标虚拟机开机热迁移运行位置，迁移过程不影响虚拟机业务注意事项预置条件1.“业务系统虚拟机”能与办公PC互通2. “业务系统虚拟机”处于开机状态测试步骤1.在待迁移的虚拟机 中ping 办公网络pc2.在虚拟机图标中找到迁移3.修改运行位置4.观察虚拟机中ping情况预期结果1

25、.能快速迁移虚拟机到运行位置，迁移成功2.迁移过程ping持续能通，不受迁移影响测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.5.2 虚拟机开机状态迁移存储位置测试测试目标虚拟机开机状态迁移存储位置，迁移过程不影响虚拟机业务注意事项预置条件1.虚拟机“win2003-cs”处于开机状态测试步骤1.在待迁移的虚拟机中下载一个可执行文件2.在虚拟机图标中找到迁移3.修改存储位置4.检查步骤1文件下载预期结果1.能快速迁移存储位置2.文件下载不受影响，且文件下载完成后可安装运行测试结果口 通过 口 部分通过 口 未通过 口 未测试备 注2.5.3 集群横向扩展测试测试目标增加一台物理主机横向扩展，计算性能和存储容量线性扩展，不影响现有集群虚拟机业务注意事项能够提供第三台服务器的情况下预置条件1.扩容的单台主机已安装超融合一体机软件（硬件满足配置要求）2.扩容前检查集群序列号授权情况