《网络性能分析》课件

网络性能分析第1章概述 1.1Internet背后的故事Internet是由大量的设备如路器、交换机、HUB、防火墙以及主机等构成的。网络飞速的开展 网络传输速度极大提高 新业务的开展——统一通信 Internet 1.1Internet背后的故事存在的问题 如何保证效劳质量？ 网络平安吗？ 网络存在故障吗？手段 精通网络理论和网络管理 网络测试 1.1Internet背后的故事 广阔的设备制造商及网络效劳提供商需要向Internet保持兼容性。 设备制造商及网络效劳提供商需要某种测试工具，在网络规划的初期，到网络建成整个过程中对网络进行模拟、分析、排错、改进、及对网络运行的效果进行测试。 1.2网络测试及其必要性网络测试的根本概念 网络测试是指以科学的方法，通过测量手段/工 具，取得网络产品或正在运行网络的性能参数和服 务质量参数，这些参数包括可用性、过失率、吞吐 量、时延、丢包率、连接建立时间、故障检测和改 正时间等。 典型的网络测试方式 单独对网络设备进行测试〔单品测试〕 将网络设备放在具体的网络环境中进行测试

1.2网络测试及其必要性网络测试的时间

网络测试贯穿网络产品生命周期与网络建设生命周 期。 网络产品的生命周期，通常包括产品立项、硬件开 发、协议栈开发、系统联调、互通性验证、性能评 估、入网测试、产品售后维护等阶段。 网络建设生命周期，一般要经历规划、设计、部署、 运行和升级五个阶段。网络测试应贯穿其中的每个 阶段。

1.3网络测试方法学概述网络测试=测试方法+测试工具+测试经验核心：测试方法 1.3网络测试方法学概述网络测试方法的含义〔1〕主要目标是：根据设备、系统或效劳的特定目 标，定义或描述设备、系统或效劳的类别，说明其 相关的性能特征，提出有助于对特征可参考的一系 列度量，并给出收集上述度量的方法学，同时说明 为基准测试结果撰写通用明确的报告的要求等 1.3网络测试方法学概述〔2〕涉及内容 测试类型 测试参数的定义 测试包的大小 测试协议 测量时间 测试点的分布等 1.3网络测试方法学概述网络测试相关的RFC文档 IETF成立了基准方法学工作组〔BMWG， BenchmarkingMethodologyWorkingGroup〕(RFC3511〕

1.3网络测试方法学概述正式RFC BenchmarkingTerminologyforNetwork InterconnectionDevices(RFC1242) BenchmarkingTerminologyforLANSwitching Devices(RFC2285) BenchmarkingMethodologyforNetworkInterconnect Devices(RFC2544) BenchmarkingTerminologyforFirewallPerformance (RFC2647) BenchmarkingMethodologyforLANSwitching Devices(RFC2889) TerminologyforForwardingInformationBase(FIB) basedRouterPerformance(RFC3222) BenchmarkingMethodologyforFirewallPerformance

1.3网络测试方法学概述网络性能测试相关RFC的适用范围 1.3网络测试方法学概述 国内的相关测试标准信息产业部的测试标准 YD/T1260-2003基于端口的虚拟局域网〔VLAN〕技术要求和测 试方法 YD/T1287-2003具有路由功能的以太网交换机测试方法 YD/T1141-2001千兆比以太网交换机测试方法 YD/T1251.1-2003路由协议一致性测试方法——中间系统到中间 系统路由交换协议〔IS-IS〕 YD/T1251.2-2003路由协议一致性测试方法——开放最短路径优 先协议〔OSPF〕 YD/T1251.3-2003路由协议一致性测试方法——边界网关协议 〔BGP4〕 YD/T1156-2001路由器测试标准—高端路由器 YD/T1098-2001路由器测试标准-低端路由器 YD/T1240-2002接入网设备测试方法--基于以太网技术的宽带接 入网设备 YD/T1075-2000网络接入效劳器〔NAS〕测试方法 1.3网络测试方法学概述网络测试的分类 •一致性测试：检验被测设备相关协议的实现是否遵 循了协议标准。 •功能测试：验证设备是否支持声明的全部功能。 〔例如：对协议的支持，过滤功能，网管等〕 •性能测试：通常可以被看成是一种“压力测试”，目 的是观察设备在业务压力下的表现。 •被动测试：类似于协议分析，在真实的运行状态下 观察协议运行的过程，特别是在有外界干扰和无外 界干扰的情况下观察设备的工作状态。 1.3网络测试方法学概述网络测试的分类 •性能测试：通常可以被看成是一种“压力测试”，目 的是观察设备在业务压力下的表现。 –性能试验测试：没有负载或低负载、根本功能的验证。比 如验证网络设备的根本转发及可用性测试等 –负载测试：确定在各种工作负载下系统的性能，目标是测 试当负载逐渐增加时，系统各项性能指标的变化情况。 –压力测试：压力测试是通过确定一个系统的瓶颈或者不能 接收的性能点，来获得系统能提供的最大效劳级别的测试。 1.3网络测试方法学概述1.3.4性能测试的一般规那么 强调从网络的体系结构出发，按照网络分 层的思想，参照OSI及TCP/IP分层模型， 自下而上地进行。 认真分析4个W、1个C和1个H，制订 测试方案 1.3网络测试方法学概述1.3.4性能测试的一般规那么 在制定测试方法之前，还需要测试者具备下面 三方面的前提条件： 1)理解技术：例如，它是如何运作的，相关的参数有 哪些，这些参数的最小/最大值是什么，什么是合法 或不合法，什么是正常的，它与OSI模型是什么关 系。 2)理解被测试的设备或系统：它支持什么协议，如何 配置它，它有哪些特点，希望它如何运行。 3)理解测试设备：它能完成什么类型的测试，如何配 置它，如何正确地进行测试，它是如何提供测试结 果的。①②③④⑤⑥⑦⑧配置DUT/SUT/NUT设备。连接测试仪表。运行控制软件并使之能控制仪表。配置相应端口的根本参数。使用软件模拟网络并进行相应的配置。配置常规的测试参数，在软件应用界面配置相关参数，比方流的设置，包的大小等等。运行测试。保存测试结果。

1.3网络测试方法学概述1.3.5系统的网络测试方法 经历的阶段有：

测试床搭建、 测试环境配置、 执行测试、 测试结果记录及分析等。

测试环境配置和执行测试的主要步骤通常包括:1.3网络测试方法学概述测试方法制定及测试执行流程图 1.3网络测试方法学概述本卷须知： 由简入繁，由低到高的原那么先进行性能试验测 试，然后进行负载测试，最后进行压力测试。 要与现实情况相符合，并遵循以下原那么： •构造出尽量接近于现实情况的原地址和目的地址对； •有混合长度的测试包； •接近现实情况下的带宽并充分考虑实际网络带宽的抖 动性； •单播报文和组播报文有一定的比例； •有不同QOS特性的测试流等 1.4网络性能测试的开展网络测试开展的现状与趋势 1990-2003：通用网络测试技术开展的黄 金阶段 我国：1998年开设受到重视 1.4网络性能测试的开展主流网络性能测试仪表介绍1.SpirentTestCenter主要适用于网络2二到七层的测试，包括： 核心及边缘路由器的MPLS-VPN,二层VPNs,组 播路由,IPv4/v6路由协议的相关测试； 二层级及三层交换机的VLANs,RFC2544/2889, STP/RSTP/MSTP,MEF的相关测试； 接入及会聚的DHCP/PPP/SIP仿真、IPTV频道 切换和视频质量测试； 四到七层网络应用流量如HTTP,FTP等的仿真测 试。 1.4网络性能测试的开展主流网络性能测试仪表介绍1.SpirentTestCenter 1.4网络性能测试的开展主流网络性能测试仪表介绍1.SpirentTestCenter采用Client-Server模式 1.4网络性能测试的开展主流网络性能测试仪表介绍1.SpirentTestCenter测试系统架构 1.4网络性能测试的开展主流网络性能测试仪表介绍2.AgilentN2X4第2章二层以太网测试OSI二层测试的必要性6OSI二层功能概述物理层涉及原始比特流的传输数据链路层为相邻节点间提供可靠的帧传输效劳。

应用层 表示层 会话层 传输层 网络层数据链路层 物理层

APDU PPDU SPDU 分段 分组 帧比特流主机X主机Y应用层协议

表示层协议 会话层协议 传输层协议 网络层协议数据链路层协议 物理媒介

应用层接口 表示层接口 会话层接口 传输层接口 网络层 接口 数据链路层 接口 物理层7TCP/IP模型中的网络访问层该层包括了所有的局域网、城域网和广域网技术；计算机网络数据传输的根底，构成了互连网通信的根底平台。HTTPSMTPFTPTFTPDNS

IPInternet

ICMPYourLANTELNETUDPTCPARP

RARPManyLANsandWANs应用层传输层

网际层网络访问层8二层测试的必要性 根据网络分层模型，上层的功能实现是以下层 所提供的效劳为根底的； 二层效劳质量(如效劳类型、数据传输质量等) ，最终影响网络高层的功能与性能。 产生影响的因素包括： 技术选择 设备选型 拓扑设计9二层测试的运用 网络设备的研发与生产过程 阶段测试为产品研发过程提供有效的反响信息； 交换机产品研发完成时的合格测试； 为在运营商网络中使用的高端交换机产品进行的入网认 证测试。 网络规划与设计过程 设备选型，特别是对指标有特殊要求，对功能与性 能有严格规定，或对厂商承诺的指标有疑心时。 网络运行过程 故障诊断 性能评价与分析 网络升级或优化20

第2章二层以太网测试决定交换以太网性能的主要技术指标21如何确定指标？ 二层功能包括： 帧的封装与拆封 基于MAC地址的帧接收与转发 流量控制 简单的过失控制 将这些功能可以分别归类两个不同层面上： 数据传输层面数据传输指标 传输控制层面传输控制指标22

数据传输层面相关的指标负载(load)

信道或设备在单位时间内所承受的通信流量被称为负载。在网络二层，通常以单位时间内设备或网络所承载的帧数来衡量。转发速率(forwardingrate)

用以描述交换设备帧转发能力的指标。被定义成在某个特定负载下，交换机设备在单位时间内向目标端口成功转发的帧数。 不同设备的转发速率与交换机的体系结构、端口带宽、转发模式、设备的负载状况等因素有关。 对于给定的设备，在没有丢帧的理想状态下，转发率应该随着负载的增加而增加。当负载增加并接近线路传输容量时，会因丢帧而导致转发速率下降。23 数据传输层面相关的指标(续1)丢帧率(framelossratio) 丧失的数据帧占应转发帧的比例。应转发帧指那些应该被转发的合法帧，不包括那些过长、过短和错误的无效帧。 丢帧主要出现在负载过大时，因交换机存储容量、地址表查找、端口拥塞等方面的瓶颈而产生。吞吐量(Throughput) 另一个描述交换设备数据包转发能力的指标，用以衡量交换机在不丢帧条件下每秒转发帧的极限能力。 定义成：在没有出现丢帧的条件下，能够传输给交换机让其转发到指定输出端口的每秒最大帧数。24

数据传输层面相关的指标(续2)突发(burst)

在某个时间段内，一组以合法最小帧间隔传输的以太网帧被称为突发。突发通常由节点的突发数据流量引发。 一次突发传输中所包含的帧数被称为突发量(Burstsize)。突发量为1时，相当于无突发传输的恒定负载。 两次突发之间的时间间隔被称为突发间隔(Inter-burstgap，简称IBG)。 交换机所能承载的突发量越大，可以处理的突发间隔越小，突发量分布的离散性越大，说明交换机处理突发数据流量的性能越好。25传输控制功能 传输控制功能是为了正确实现基于二层地址的帧转发，防止或减少因拥塞而产生的丢帧，而提供的控制功能，如： 地址处理 拥塞控制 播送处理 流量隔离 控制功能实现或正确与否，直接影响数据层面上的转发性能。26 传输控制层面指标-拥塞控制拥塞控制(framelossratio) 控制源端发送数据的数量及速度使其不超过接收端所能承受的能力，以防止产生帧的丧失，也称流量控制。 拥塞帧丧失网络运行性能下降(即使高层使用可靠传输协议如TCP)。27

产生拥塞的主要原因控制过载(overload)线端阻塞(Headoflineblocking)

因某个外出端口上的拥塞而阻碍了其他通往非拥塞端口流量的现象。 对于在输入队列中采用共享存储的交换机，当队列头有转发到阻塞端口的帧时，造成后继转发到非阻塞端口帧也必须等待。28

拥塞控制-背压何为背压(Backpressure)

当外出或输出端口出现拥塞现象时，被交换机用来通知发送端降低帧发送速度，以阻止外部数据源继续向拥塞端口传输帧的那些方法。常用方法向流发送源回送拥塞(jam)信号向流发送源回送先导位串采用IEEE802.3x流量控制协议背压机制使发送到拥塞端口的流量得到减缓，可能会导致到非拥塞输出端口的发送流量也被减缓。29

拥塞控制-前压前压(Forwardpressure)

当上游设备以小于最小帧间隙的间隔或以超过线速的速率向下游交换机发送流量时，往往会导致下游交换机出现接收缓冲(buffer)溢出甚至阻塞。 某些交换机可通过减缓输出队伍的饱和程度、禁止上游设备发送帧等强制性机制来消除或减少上述丢帧现象。 具有上述功能的交换机被认为具有前压机制。 不是以太网标准或协议所推荐的，因而不是所有的交换机都提供。30 数据传输层面相关的指标(续1) 地址处理(addresshandling) 与交换机在二层地址学习与处理能力相关，包括： 地址缓存容量(AddressCachingCapacity) 设备或端口模块所能拥有的最大MAC数，也就是地址交换表的最大容量。 地址学习速率(AddressLearningRate)， 在没有播送和丢帧的情况下，交换机学习新地址的最大速度。31 数据传输层面相关的指标(续2) 错误帧过滤〔Erroredframefiltering〕 错误帧(errorframe)是指所有过长、过短、错位或含有错误校验序列的帧。 错误帧过滤可减少或防止因传输错误帧而产生的带宽浪费，以及后续转发设备因处理这些错误帧而付出不必要的资源消耗。 流量隔离〔trafficfiltering〕 衡量交换机对于VLAN流量隔离的功能。32 数据传输层面相关的指标(续3) 播送(broadcast) 与交换机播送性能相关，包括： 播送转发速率(Broadcastforwardingrate) 在某个指定的播送负载下，一秒内向它所在播送域的所有端口发送的播送帧的数量。 播送时延(Broadcastlatency) 将播送帧转发到位于同一个播送域中的每个端口所需的时间。第3章三层网络测试

OSI三层测试的必要性

OSI三层功能概述任务：将分组从源主机传送到目的主机解决方法：主机寻址方案、路由选择、异构网络互连核心设备：路由器 三层测试的必要性三层功能的重要性： 关系到整个通信子网的运行控制 直接影响到整个网络的通信质量三层测试的运用： 研发与生产 •阶段测试为产品研发过程提供有效的反响信息； •产品研发完成时的合格测试； •为在运营商网络中使用的产品进行的入网认证测试。 网络规划部署 •设备选型，特别是对指标有特殊要求，对功能与性能有严格规 定，或对厂商承诺的指标有疑心时。 维护 •故障诊断 •性能评价与分析 •网络升级或优化第3章三层网络测试决定三层IP网络性能的主要指标数据传输层面相关的指标〔1〕 关注的是路由器基于数据包的数据转发能 力 主要考察数据包的转发是否准确、有无丢 包、转发延迟多大等 数据传输层面相关的指标〔2〕1．吞吐量 定义：指在没有丢包的情况下，路由设备能够转 发的最大速率。 两层含义： 保证待转发的每一个包都能够从输入端口准确地转发 到适当的输出端口 被测设备在不丢包的前提下，单位时间内能够转发的 最大包数量。 吞吐量的衡量单位：每秒转发的数据包的数量。 网络设备性能的首要指标 数据传输层面相关的指标〔3〕1．吞吐量 〔1〕整机吞吐量： 指设备整机的包转发能力，是设备性能的 重要指标。整机吞吐量通常小于路由器所 有端口吞吐量之和。 〔2〕端口吞吐量： 指路由器在某端口上的包转发能力。 数据传输层面相关的指标〔4〕2．延迟指分组的最后一位比特进入路由器到第一位比特离 开路由器的时间间隔产生原因： 转发数据包时完成的一系列操作，如计算路由、地址 解析等需要一定时间 二是数据包等候处理时需要排队语音、图像和视频：对时间极为敏感 数据传输层面相关的指标〔5〕3．丢包率 指路由器在稳定状态负载下，由于缺乏资 源而不能被网络设备转发的包占所有应该 被转发的包的百分比。 丟包率=(X–Y)×100/X 主要反映网络设备在超负荷运转下的性能 丢包率与吞吐量：在吞吐量的范围内丢包 率为0，超过吞吐量就会引起丢包0%PacketLoss真实的故事-IPTV业务〔无丟包〕采用思博伦通信

Anue模拟丟包0.5%PacketLoss真实的故事-IPTV业务〔0.5%丟 包〕采用思博伦通信

Anue模拟丟包5%PacketLoss真实的故事-IPTV业务〔5%丟包〕采用思博伦通信

Anue模拟丟包 数据传输层面相关的指标〔6〕4．背对背 含义：指的是在一段较短的时间内，以合法的最 小帧间隙在传输媒介上连续发送固定长度的包不 引起丢包时的包数量。 〔被测试设备再某个速率下能转发的最长的连续 帧数目〕 IEEE规定的以太网帧间的最小帧间隙为96比特。 该指标用于测试路由器缓存能力。 对于吞吐量为100%线速的路由器来说，该指标值 为无限大。数据传输层面相关的指标〔7〕 背对背帧思考 突发帧〔组帧〕是互联网的一种现实 许多应用数据会被分段为一组帧，任何帧的丢弃将会 影响数据重组 网络中的一些设备能够根据请求产生高达64K字节的数 据块，网络将会把这些数据块分段成一组连续的帧进 行发送。〔例如使用NFS或rdump的设备〕 路由更新信息也可能被分段到几个报文中，丢帧将可 能导致路由不可达 数据传输层面相关的指标〔8〕5．时延抖动 含义：指时延的变化。 对时延抖动敏感的业务，如语音、视频， 该指标才有测试的必要性。 数据传输层面相关的指标〔9〕6．背板能力 背板指路由设备输入与输出端口间的物理 通路，如共享背板、可交换式背板 背板能力只能在设计中表达，一般无法直 接测试。 背板能力能够表达在路由器吞吐量上，背 板能力通常大于依据吞吐量和测试包长所 计算的值。 数据传输层面相关的指标〔10〕7.系统恢复 系统恢复特指路由设备从超载行为状况下 恢复到正常转发状态的行为特征，主要表 现为系统恢复速度的快慢。8.系统重启 系统重启时间越小，即因电源开关或系统 重置而产生的等待时间就越小，网络的丢 包也就越少，由此产生的网络不可用时间 也就越短。

传输控制层面相关的指标因网络类型的差异，考虑的问题也会有所不同主要指标：

路由震荡 路由表容量 路由收敛时间等2

第四章IP路由测试4第一节IP路由测试的必要性6路由概述 路由器实现了网络的互联 路由器最根本的功能是路由与交换 路由器中的分组转发主要依靠查找转发表来完成，而 转发表又是根据内存中的路由表得到的7路由表的生成和维护 静态路由 静态路由〔staticrouting〕是指由网络管理员根据其所掌 握的网络连通信息手工配置的路由表表项 默认(default)路由或缺省路由,默认路由能够为那些在路由表 中没有其它路由与其目的地址匹配的数据包指出数据包转发 所需的端口 动态路由 动态路由是指路由器依靠路由协议自主学习而获得路由信息 ，路由协议是用于路由器之间交换路由信息的协议 内部网关协议〔IGP〕：RIP、OSPF、IS-IS 外部网关协议〔EGP〕：BGP48IP路由测试的必要性 路由器的数据包转发和路由处理性能直接影响到整个网 络的性能 路由器采用何种方式获得路由信息会直接影响路由性能 静态路由消耗〔time-consuming〕管理员的时间，但没 有额外的路由维护开销，对网络拓扑变化的适应性较差 ，网络的可扩展性也受限制。 动态路由协议能较好的适应复杂多变的网络环境，但需 要较多的资源消耗〔resource-consuming〕，包括路由 器的CPU时间与内存、网络链路带宽等。25三层路由测试相关的RFC文档与测试术语26三层路由测试相关的RFC文档 对于路由器控制层面的三层测试而言，可参考的相关 RFC文档主要有RFC1812和RFC3222。 RFC1812中定义了FIB表与RIB表 RFC3222那么定义FIB表表项和大小等内容，并明确指出 转发信息表和路由信息表是不同的27相关的路由测试术语 路由信息表RIB：从邻居路由器收到的路由信息而形成的 信息表。该表保存在路由器的内存中 FIB(转发信息表ForwardingInformationBase)表：指路 由设备上用于转发IP分组的信息表。FIB表的内容由RIB表 下发，在FIB表中只存在一条唯一路径到某个特定的目的 网络 FIB表条目〔ForwardingInformationBaseEntry〕：FIB 表条目是指FIB表中所出现的每一条数据记录。每个条目 均包含了转发IP分组到一个特定目标网络所必须的根本信 息，包括网络前缀、路由器接口标识和下一跳信息等根本 字段28相关的路由测试术语 FIB大小〔MaximumForwardingInformationBaseSize 〕：指FIB表所支持的最大条目数。如果路由器的FIB表容 量太小，会导致出现丢包的情况。因此FIB表大小是影响路 由器转发性能的关键因素 网络前缀(NetworkPrefix)：网络前缀是用来表示一组系 统的IP地址中相同的比特位，即网络号 网络前缀长度(NetworkPrefixLength)：网络前缀长度是 指用来定义网络前缀的比特数的长度 最长前缀匹配算法〔LongestLengthPrefixMatch Algorithm〕：路由器查询路由表时，假设发现关于某个目 标网络在路由表中有数个不同长度前缀的路由条目与之匹 配时，那么选择最长前缀的条目并作出相应的转发决定29相关的路由测试术语 基于端口或板卡的FIB表〔Per-InterfaceorPer-Card ForwardingInformationBase〕：指存储在路由器板卡 或单独的物理板卡上的完整的FIB表的备份，目的地址与网 络前缀的匹配可以在相应的接口或板卡上完成，不需要耗 费路由器的CPU。以加速IP分组中的目的地址与网络前缀 匹配的过程。 基于端口的FIB缓存〔Per-InterfaceForwarding InformationBaseCache〕：FIB缓存是指存储在路由器 的接口卡上的FIB表子集，也是为了加速IP分组中的目的地 址与网络前缀匹配查找的过程，但它只是FIB表的一个子集 。2

第5章第4~7层 网络性能测试4第4~7层网络测试的必要性61、网络第4~7层的概念72、第4~7层测试的重要性 1、网络体系结构和网络根底设施日趋复杂 2、应用部署越来越丰富，多业务融合带来了新的复杂性82、第4~7层测试的重要性 3、几个具体的例子 1〕北京奥运门票销售系统 2〕高考〔CET-4、6〕查分系统 3〕黑色星期五、Christmas流量 4〕你遇到了什么类似的情况？ 4、上述问题有哪些解决方案？ 5、防范是有必要的，遇到的困难也是有方法可以解决的 ，关键在于，如何提前预知？ ——应该进行第4~7层的测试93、第4~7层测试关注什么？ 1、你的Web应用业务是否已经准备好防范黑色星期五？ Chirstmas流量会不会让你的网站崩溃？ 2、你的网络平安措施是否完备？能应付DoS攻击吗？ 3、面对融合了语音、视频和数据流量的新型流量时，你 的网络容量还足够吗？会不会影响到上层的应用？ 4、前期的规划中已经考虑充分的网络根底设施，在面对 长时间的应用业务流量，是否会有潜在的问题出现？104、第4~7层测试与第2、3层测试的区别 1、第2、3层测试关注的是： 带宽、丢包率、时延等 需要关注数据的具体含义吗？ 第2、3层的流量称之为“无状态”流量 2、第4~7层测试关注用户的效劳体验和效劳质量 能容纳多少用户同时上线？ 用户可以流畅地观看视频吗？ 数据的具体含义很重要〔FTP文件传输的例子〕 第4~7层的流量称之为“有状态”流量 ——如何进行第4~7层测试19第4~7层网络性能的主要指标201、决定传输质量的TCP层面指标1、最大TCP连接建立速率(MaximumTCPConnection EstablishmentRate) 最大TCP连接建立速率是指被测设备或被测系统能够成 功处理请求连接的前提下，在单位时间内所能承受的最 大TCP连接建立数目，用connections/sec表示，这一指 标通常被称为最大TCP新建速率。它主要反映了被测设 备的CPU使用情况以及对连接的处理速度。 对应用系统而言，在突发用户流量的情况下，如果系统 没有足够的连接建立速率，就会导致无法及时建立新的 连接，造成用户请求得不到及时响应，或者已登录用户 掉线的现象。212、最大TCP连接撤除速率测试方法(MaximumTCP ConnectionTearDownRate) 最大TCP连接撤除速率是指单位时间内关闭的有效TCP连 接数目的最大值，最大TCP连接撤除速率指标了被测设备 释放资源的速度。 在网络效劳中，如果资源释放不够快，会导致后续的访问 或请求在建立连接时没有足够的系统资源，从而影响正常 效劳的获得，在网络效劳器中，这种情况就表现为不能及 时处理持续的访问请求，出现用户等待超时现象。223、并发TCP连接容量(ConcurrentTCPConnectionCapacity) 并发连接是指多个主机或用户同时连接到一个主机或设备进行数据传 输，并发TCP连接容量是指被测设备能够同时成功处理的最大TCP连 接数目，它反映出被测设备对多个连接的访问控制能力和连接状态跟 踪能力 被测设备内用以存放并发连接信息的地方叫做连接状态表，表的大小 也就是被测设备所能支持的最大并发连接数，并发TCP连接容量的大 小与设备的内存资源有关。 对于具体设备，如防火墙而言，并发TCP连接容量决定了防火墙能否 及时处理数据包并转发的性能，如果并发连接容量不够，在繁忙时段 就不能进行及时的数据处理和包转发，会出现数据包丧失的现象；对 Web应用系统而言，该项指标决定了能同时容纳的在线用户数目，所 以并发TCP连接容量的测试是性能测试的重要指标。23最大TCP连接速率和并发TCP连接容量这两项指标表达了系统能够处理的最大连接速率和同时容纳的连接总数，通过这两个指标的测试可以了解系统在传输层是否存在性能瓶颈。242、关系用户体验质量的应用层指标1、最大同步用户数〔MaximumSimultaneousUsers〕 最大同步用户数指被测系统能够容纳的最大同步用户数目。2、最大事务处理速率〔MaximumTransactionRate〕 最大事务处理速率指单位时间内被测系统能够成功处理事务数目的 最大值。 同步用户数和事务处理速率是衡量大多数基于Web的应用系统性能 的指标，同步用户数和事务处理速率的测试，可以检验系统的全部 处理能力，以及得悉是否在应用层存在性能瓶颈。253、突发流量处理〔TrafficSurges〕 突发流量处理指被测系统处理巨大突发流量的能力。 在实际应用中，网络系统有时候会遇到一些巨大的突发 流量，这些流量可能是意料之中的，也可能是意料之外 的，例如在节假日促销的最后一分钟，因为有更多的商 品被订购，产生大量的突发流量，这些突发流量给系统 带来巨大的负担〔outagesareextremelycostly〕，导致 事务处理开销大大增加。突发流量处理测试的目的就是 为了确定被测设备应对这种突发流量的能力。263、与系统可用性有关的性能指标 系统的可用性是衡量网络应用的最根本指标，如果一个 网络经常出错，那么即使网络提供无限的带宽也毫无用 处，所以网络应用系统的部署需要考虑到长时间的可用 性和稳定性。 现实中的情况是，一些系统在短期〔Short-Term〕测试 中表现正常，但是在长时间的持续运行过程中可能会出 现意想不到的问题，这就需要进行长期稳定性〔Long- TermStability〕测试，目的是检验被测系统在长时间高 负载情况下的工作性能。27网络应用的失效转移4、网络应用的失效转移〔Failover〕 很多网络系统的高可用性是通过系统的冗余架构实现的， 一般情况下，系统的失效转移保护方法可以分为三类：冷 备份〔coldstandby〕、热备份〔warmstandby〕和双机 互备份〔dual-active〕。 最好的失效转移方案可以保证网络的正常连通和事务处理 ，同时在失效转移过程中和失效转移完成后，不会对用户 的使用产生影响，所以要求在持续不间断的网络流量中测 试系统的失效转移能力，以检验该项功能是否确保网络系 统的可用性，以及能否确保失效转移全过程对用户是透明 的。2 第6章网络平安 性能测试4网络平安测试的必要性5本节关注问题 1、网络平安的重要性 网络平安威胁的不断增加 威胁网络平安的技术手段日趋复杂，并且表现出高度的多样 性 2、对企业而言： 网络平安是风险与收益平衡的结果 网络平安是网络的功能和脆弱性折衷的结果 在开放的互联网环境中，绝对平安的网络是不存在的63、网络平安是4~7层测试的关注点1、了解具有平安部署的网络在面对不平安因素时的性能 表现，以及网络是否具备一定的响应机制和恢复机能， 以确保业务的正常开展2、提供网络平安防护产品的测试评估， 通过网络平安测试，能够准确地衡量防火墙、IDS和IPS 系统的真实性能，从而帮助生产厂商改进产品、提供可 信度高的宣传数据，帮助用户更深入真实地了解产品性 能，为网络平安系统的设计和部署提供更有价值的参考 。7网络平安概述8网络的物理平安网络拓扑结构平安网络系统平安应用系统平安网络管理的平安本章关注：网络入侵(NetworkIntrusion)9网络入侵(NetworkIntrusion) 网络存取攻击 通过非法途径获得网络中的资源使用权限或者利用网络从事非 法攻击活动，如非法侵入企业内部网络获取商业机密信息等 资源消耗攻击 攻击者通过某种手段扰乱或者阻止网络系统为用户提供正常服 务，如通过DoS攻击方式致使Web效劳器瘫痪等 根据现实网络应用中经常遇到的网络平安问题，又将其 细分为以下几类：101、常见的网络平安问题 非法入侵 计算机病毒 分布式拒绝效劳攻击 信息截获112、常见的网络平安技术 网络平安防护拓扑图 Internet121防火墙13

不可信的Internet区域142入侵检测系统

不可信的Internet区域15反响式入侵检测系统(IDS)部署

不可信的 Internet区域 “旁路式”部署163入侵防卫系统(IPS) IPS可视为增加了阻截功能的IDS 可供Internet访问的效劳器 Web效劳器

非军事化区域 IPS

不可信的

Internet区域在线(in-line)部署174防病毒网关 防病毒网关又称防毒墙。防毒墙是指位于网络入口处〔 网关〕，用于对网络传输中的病毒进行过滤的网络平安 设备。 防毒墙与防火墙的最大区别在于，防毒墙主要工作在应 用层，防毒墙扫描通过网关的数据包，然后对这些数据 进行病毒扫描，如果是病毒，那么将其去除。185加密技术 加密，是指利用技术手段把重要的数据信息变为乱码〔 加密过程〕后传送，到达目的地后再用相同或不同的手 段复原成原来的信息〔解密过程〕。 加密技术包括两个元素：算法和密钥。193、常见的分布式拒绝效劳攻击 1SYNFlood攻击202Land-basedAttack伪造一个源地址等于目的地址的IP数据包。当存在相应漏洞的被攻击主机收到这样的攻击包时，会向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创立一个空连接，被攻击的效劳器每接收一个这样的连接都将保存，直到超时，如此不断地自我响应直到造成系统资源的过渡消耗而产生问题213ResetFlood攻击利用TCP数据段中的RST位来实现。伪造合法用户的TCPRST包4ARPFlood攻击ARP攻击者利用伪造的IP地址，不断地向被攻击目标发出ARP请求，而被攻击者由于忙于响应这些假的ARP请求，无暇顾及其它正常的请求，因此造成“拒绝效劳”。22网络平安性能的主要技术指标231.防火墙防火墙的性能指标表达了防火墙能否满足特定环境的安全防范和处理能力需求，是否具备较好的可用性。通常遵从RFC2544、RFC2647和RFC3511标准，主要性能指标包括：吞吐量、丢包率、时延、背靠背、最大并发连接数、最大TCP连接建立速率等。242.入侵检测系统IDS 1每秒数据流量〔Mbps或Gbps〕 2每秒抓包数〔pps〕 3每秒处理的事件数 4每秒监控的网络连接数第7章网络效劳质量测试背景 数据业务尽力效劳模型 综合业务〔数据视频语音〕支持效劳质量模型

IP网络 以太网、令牌环网、IEEE802.11、3G…IP将成为未来各种网络技术和业务的融合平台 QoS的应用需求网上实时传输多媒体数据，以便不同用户在不同设备上能够共享图像、声音、影视等多媒体资源，以及进行“面对面”的交流。其中 (1)“多媒体数据(multimediadata)”是指组合文字、图像、声音 和视像的数据，尤其是声音和影视数据 (2)“实时传输”可简单理解为接收数据几乎与发送数据同时完成， 如现场实况播送就是属于这种情况在网络上的多媒体应用和数据通信应用的差异 前者要求在客户端播放声音和图像时要流畅，声音和图像要同 步，因此对网络的时延和带宽要求很高 后者那么要把可靠性放在第一位，对网络的时延和带宽的要求不那 么苛刻应用可靠性时延抖动吞吐率/带宽IP电视会议低小小高IP电话低小小低IP电视低-小高影视点播(VOD)低-小高音乐点播(AOD)低-小中Web访问高中-中文件传输高--中电子邮件高--低 QoS的应用需求各种应用所要求的效劳质量媒体应用互动方式数据速率 举例关键参数和目标值单向时延抖动丢包率吞吐率不低于声音IP电话双向4～32 kbps150~400<1ms<3%4～32kbps视像影视点播单向为主30Mbps<10s<5ms<3%30Mbps QoS的应用需求多媒体效劳质量参考值 视听应用的效劳质量参数(参考值*) QoS测试的必要性需要在IP网络上提供不同级别的QoS，以提供具有效劳质量的传输。QoS测评的必要性： 〔1〕用户 检查用户端QoS能否满足用户需求 〔2〕网络运营商 对网络进行QoS性能测试 〔3〕设备研发机构 设备能否根据设定的效劳质量要求进行数据转 发第7章网络效劳质量 测试 QoS概述 QoS的根本概念根据RFC2386中的描述，效劳质量QoS(QualityofService)定义为网络在传输数据流时要求满足的一系列服务请求，具体可以量化为带宽、时延、时延抖动、吞吐量和丢包率等性能指标。强调传输效劳在端到端〔end-to-end〕或者网络边界到网络边界范围的整体性。效劳质量的最终目的就是为各种业务提供可靠的端到端的效劳质量保证。在网络中通过业务等级协定〔ServiceLevelAgreement，简称SLA〕与客户进行相互协调以确定相应的效劳质量等级。 QoS的根本概念QoS的两种解释 从效劳角度来看，参照ITU推荐标准X.902，QoS是指媒体应用(如 IP)对网络的交通管理和传输性能提出的需求。交通管理主要 表达在管理软件上，传输性能主要表达在硬件上。不同的应用对 效劳质量有不同的要求，需要不同的交通管理方法。 从技术角度来看，QoS是保障网络按不同要求运行的控制方法 (mechanism)，也称策略、机制或技巧。能够保障要求的效劳称 为保障效劳(guaranteedservice)，不能保障但可预测的效劳称 为预测效劳(predictableservice)，不能完全保障但可到达局部 要求的效劳称为“尽力效劳(besteffortservice)”效劳质量的上下取决于 执行数据传输控制策略的软硬件 网络本身的性能 QoS的根本概念提供端到端的性能保证绝非易事，它需要网络体系结构中所有各层以及端到端之间所有的网络元素的整体协作。 用户之间的协商用户和网络的协商和管理网络各个节点之间的协商和管理

发送能力 15fps 传送能力

20fps接收能力 10fps

20fps QoS的根本概念节点应该具有以下功能： 1、各个节点应能够识别各个不同级别的业务。 2、为满足高优先级业务的资源需求，各个节点或者能够 进行网络资源的预约，或者具有相应的资源调度算法。 3、为尽量保证高优先级业务不发生丢弃，满足其时延、 抖动要求，各个节点应有合理的排队算法和队列管理 调度算法。 接收能力 10fps 发送能力 15fps 传送能力

端到端QoS保证端到端通信的概念:源主机进程到目的主机进程之间的通信IP网络端到端的QoS就必须从网络体系结构出发，要求进行逐层保证 端到端QoS保证TCP/IP中与QoS有关的内容： 1〕数据链路层：802.1p标准使得第二层交换机能够提 供流量优先级和动态组播过滤效劳，802.1P协议头包 括一个3位优先级字段，该字段支持将数据包分组为各 种流量种类。802.1P流量被简单分类并发送至目的 地，而没有带宽预留机制。 2〕网络层：IP数据包首部的ToS〔TypeofService〕 字段，用于标记数据包的优先级。 3〕传输层：端口号作为传输层提供给应用层的效劳访 问点，从QoS角度而言，正是用于区分不同的应用服 务。带宽控制设备

L4R RSW

FRATMTDM

TCP/UDP端口号TOS、Diff-servIEEE802.1p标记 帧分片〔FRF.12〕业务类型〔CBR、VBR等〕 带宽分割RRTP+RTCP TCP流控

RSVP传输层网络层

链路层物理层

带宽控制设备R L4RRSWFRATMTDM

按层次对QoS技术分类

RTSP、数据压缩等应用层路由器LAN交换机帧中继交换机

ATM交换机 时分复用设备CBR：ConstantBitRateFRF：FrameRelayForumVBR：VariableBitRateTOS：TypeOfServiceUBR：UnspecifiedBitRateDiff-serv：DifferentiatedserviceRTP：Real-timeTransportProtocolRTCP：RTPControlProtocolRTSP：RealTimeStreamingProtocol

底层： 真正的QoS实现

高层：QoS参数 协商和状态维护第7章网络效劳质量 测试 QoS模型 QoS模型尽力而为效劳(Best-EffortService)：“尽力而为”的工作方式，不保证效劳质量----无QoS综合效劳(IntServ)模型：采用信令机制，通知数据流所经由的路径上预留资源，可以实现很好的质量保证。但当网络规模很大时开销也很大，一般适于在网络边缘使用----信令化/动态的QoS区分效劳(DiffServ)模型：把有相似要求的业务分为类，按类提供不同的效劳质量的方式。不需要专门信令的支持，可根据处于边缘网络还是核心网络，采取不同的工作方式相协调----预先部署的QoSDiff-IntServ综合模型 AllProposedbyIETF综合效劳模型〔IntServ〕概述 IETF的IntServ工作组于1994年提出 同时支持实时和非实时业务 在每个实时业务开始之前，由终端设备向网络发出请 求，为它预留必要的网络资源〔带宽、存储〕，通过 在网络中使用拥塞控制和队列调度机制，使实时业务 的带宽和延迟得到保证 “流”：来自单一用户具有相同QoS需求，且可识别 的数据分组 IntServ中能识别的最小粒度 流是单向的，它具有单一的发送端和N个接收端。 效劳类型综合效劳模型规定了三种不同等级的效劳类型：〔1〕有保证效劳〔Guaranteed-Service，简称GS〕 对带宽和端到端延迟有严格的界定，并且保证数据流中合法的数 据包无排队丧失。〔2〕负载可控效劳(Controlled-Load-Service，简称CLS) 保证在网络负载较重时能提供与负载较轻时相同的QoS保证。 它与传统的因特网效劳的主要区别在于它的性能不会随网络负载 的加大而下降。 负载可控效劳一般用于可容忍一定的数据包丧失和延迟的应用。 负载可控效劳可由路由器中的队列机制实现。〔3〕尽力而为效劳(Best-Effort-Service) 类似当前Internet在多种负载环境(由轻到重)下提供的尽力而为的 业务，目前不提供任何的QoS保证。 IntServ中四个功能部件资源预留协议：负责逐跳〔hop-by-hop〕建立或撤除每个流的资源预留软状态〔softstate〕，软状态是由资源预留周期性控制的临时状态，它包括有关该业务流的起止地址、路由信息，需占用该路由器的资源信息等。接纳控制：根据链路和网络节点的资源使用情况以及具体的QoS请求决定是否接受一个资源预留请求分组分类器：对到达的数据分组进行分类，然后分别放入不同的输出队列队列调度器：根据不同的策略对各个队列中的分组进行调度转发 业务量控制机制：接纳控制根据当前资源情况，判断是否同意接入一个新的流的QoS请求两种接纳控制算法 基于资源预留参数的接纳控制：根据节点以前 同意接入的所有请求的效劳参数，用每个效劳 最坏情况的边界值来进行计算 基于资源实际使用情况的接纳控制：测量现有 分组流的实际链路带宽利用率，据此来判定是 否接纳一个新的流 业务量控制机制：分组分类将输入分组映射到某个类，放入不同的输出队列 一个类可能包含有多个流多字段〔MF：Multi-Field〕分类器 源/目的IP地址、源/目的端口、协议类型原那么：考虑分类粒度和处理开销之间的平衡 用于分类的字段越多，处理开销越大 业务量控制机制：队列调度从多个输出队列中选择下一个要转发的分组分组调度算法 严格优先级调度〔StrictPriorityScheduling〕 •队列按优先级递减排序，只有在高优先级的队列为空 时，才效劳下一个优先级的队列 •低优先级队列的分组可能被完全阻止发送〔处于饥饿状 态〕 –映射到高优先权队列的业务量不超出允许的局部输出链路的容量 加权公平队列WFQ〔WeightedFairQueuing〕 •根据权重来确定每个队列所获得的链路带宽的百分比 –FQ：Fi=Max(Fi-1，Ai)+Pi 综合效劳的结构和工作原理假设主机A要向主机B传送有QoS要求的数据，数据从主机A发出，途经边缘路由器A、核心路由器和边缘路由器B到达主机B •核心路由器(corerouter)：两个路由器之间传送数据的路由器 •边缘路由器(edgerouter)：将客户机连接到互联网的路由器在主机A向主机B发送数据之前，主机A首先要与主机B建立联系，并请求沿途的路由器和其他交换设备保存资源，以建立保障效劳质量的发送通道，然后开始传送数据，结束后通知沿途设备释放资源 主要步骤工作过程归纳成如下： •在发送实时数据前，主机A中的应用程序使用RSVP向主机B 发送“路径(PATH)”消息，内含QoS要求。沿途的路由器和转 发设备使用PATH消息搜索可用资源以建立路径状态 •当主机B收到PATH消息后回送“保存(RESV)”消息，内含实际 的QoS描述，沿途所有设备就可使用QoS描述建立路径状 态，并意识到从源端到接收端有特定要求的数据包 •当发送端主机A收到RESV消息后，如果RESV消息中没有错 误消息，就向沿途要使用的所有设备发送确认(confirmation) 消息，然后就开始发送数据包，沿途的设备就按照QoS的要 求将数据包转发到接收端的主机B •数据传输结束后，发送端主机A发送一条结束传输的PATH Tear消息，告诉沿途的设备释放资源综合效劳的结构和工作原理 资源预留协议：特点面向接收〔Receiver-Oriented〕：由接收方根据需要预留软状态〔softstate〕：定期发送PATH和RESV消息维护组播支持发送方1接收方1

接收方2路由器1PATHV

RESRE SV RESV〔已合并〕 路由器1 IntServ特点提供端到端的QoS保证基于流的细粒度资源分配存在可扩展性问题 必须建立和维护“每流”的预留状态信息 需要对每个流进行接纳控制、分类等操作 存储、处理开销随着流的数量的增加而急剧增长如果存在不支持IntServ的节点／网络，虽然信令可以透明通过，但对应用来说，已经无法实现真正意义上的资源预留，所希望到达的QoS保证也就打了折扣。区分效劳模型〔DiffServ〕概述 IETF的DiffServ工作组于1998年提出 解决IntServ的可扩展性问题，在分组中携带的信 息决定如何处理，而不需要使用RSVP协议 核心路由器存储转发的任务很重，核心网内不考 虑复杂的QoS机制，而边缘路由器的流量相对较 小，边缘路由器执行大局部的QoS实现机制。 基于类的QoS保证，通常在核心网中使用 当业务到达区分效劳区域的边界时，边缘路由器使用 分组头标中的区分效劳标记域〔DSfield〕对其进行聚 类，网络对同类业务给予相同的QOS保证 结构模型〔1〕边缘路由器：业务量分类和调节，对分组头标中的DS域进行标记，标记值被称为DSCP中心路由器：根据IP分组DS域中所标记的DSCP值，来选择所对应的转发处理，即逐跳行为〔PHB〕，从而对分组进行调度转发SLA〔ServiceLevelAgreement〕协商：不同DS区域之间的分类规那么、重新标记规那么以及业务流应该符合的业务量配置文件TCA：流量调整协定，关于业务分类准那么、业务模型及相应处理的协定。区分效劳在边缘路由器上的概念 模型结构模型〔2〕边缘路由器核心核心路由器边缘路由器DATADATADATADATADS字段分类器调度器分类器度量器标记器整形/丢弃路由器

流量调节器传输调度 DS域定义与DSCPDS域定义 IPv4头标的TOS〔TypeofService，TOS〕域或IPv6 头标的业务量等级〔TrafficClass〕域的前6比特DSCP：DS域中的具体值，DS节点根据DSCP选择特定的PHB 逐跳行为〔PHB〕效劳类型使用逐跳行为(per-hopbehavior，PHB)定义 hop：路由段，通常是指两个路由器之间的链路。在互联网上，大 多数数据包的路径由多个路由段组成 行