网络CISCONAV10分析报告.docx

网络CISCONAV10分析报告.docx

《网络CISCONAV10分析报告.docx》由会员分享，可在线阅读，更多相关《网络CISCONAV10分析报告.docx（13页珍藏版）》请在冰豆网上搜索。

网络CISCONAV10分析报告

1测试目的

本文主要对CISCONAV-10WF就功能和转发性能两方面进行分析测试，找出CISCO设备不足的方面，

同时对比ICG2000实现方式，给出优化建议。

功能方面主要关注安全、QoS、NAT、VPN等常用特性；性能

测试主要关注转发性能、多业务环境下的转发性能和多Session转发性能测试。

2测试详细信息

2.1测试总结

总体来说，CISCO的NAV10的性能不如ICG2000。

但WEB界面做的比较友好，思路清晰结构合理，有比较多的提示和帮助。

功能上二者基本类似，少量特性和细节上有些差异。

但NAV10在通过WEB操作时，感觉响应速度明显慢于ICG2000。

尤其是LAN相关的设置，需要较长时间，并且要重启端口。

在打流量时进行设置，出现过长时间无响应最后手动重启。

2.1.1功能测试总结

总的来说CISCONAV10-WF在功能方面做的比较全面，与ICG2000实现的功能大致相同，但在易用性和一些细节方面实现的比较好，下面总结CISCONAV10-WF实现不足的地方：

CISCONAV10-WF实现不足的方面：

1、QoS：

NAV10限速功能只支持对上行速率进行限制，无法对下行速率进行限制；

2、QoS：

不支持基于802.1P进行队列管理；

3、NAT:

NAT不支持基于地址池的PAT和NO-PAT地址转换方式；

4、静态路由：

只支持300条静态路由，ICG2000可以支持5000条；

5、不支持IPSecVPN；

6、不支持网桥功能；

2.1.2性能测试总结

从纯IP转发和NAT转发性能来看，CISCONAV10-WF转发性能很低。

端口虽然支持协商千兆，但实际性能与协商为百兆时没什么区别，小包双向不足6Kpps，大包不足5Kpps。

对比ICG2000小包双向为180Kpps，

大包基本达到线速16Kpps，转发性能大约是NAV10的30倍。

因转发性能相差悬殊，未再进行其它方面的性能测试。

CISCONAV10-WF最大NATsession数在14万，而ICG2000只有5万。

ICG2000的动态性能明显高于NAV10，每秒最大新建连接数是NAV10的3倍多。

从而产生一个疑问：

在性能更强的情况下，产品定制的规格反而偏小。

另外测试中还发现，ICG在处理大量NAT并发连接时，是时断时续的。

也就是说，CPU占用率达到100%后，完全不进行转发。

空闲20秒左右后，又继续进行转发，如此循环。

而CISCO设备在CPU过载情况下，

NAT连接依然很平稳。

这是MSR设备比较明显的缺陷之一，产品的整体设计还有待提高。

（在其它测试中也发现类似情况，比如同样处理极占CPU的的压缩时，CISCO能承受的流量远大于MSR设备）。

2.2功能测试记录

2.2.1接入功能

CISCONAV10-WF支持五种WAN连接方式，分另U是DHCP、静态IP、PPPoE、PPTP、L2TP。

以PPPoE为例，实现模型与我司类似，首先LAN启动DHCP功能，将网关和DNS服务器地址都指向LAN接口地址，本地启用DNS代理功能，从WANPPPoE拨号获取DNS服务器地址后代理解析PC的DNS请求；WAN连接自动配置静态默认路由和动态NAT，可以只通过1个页面就实现用户上网的需求。

下表是详细测试结果:

测试功能项

CISCONAV10-WF测试结果

ICG2000

WAN接入方式

DHCP、静态IP、PPPoE、L2TP、PPTP

DHCP、静态IP、PPPoE

VLAN

6

15

DNS功能

支持动态和静态DNS

支持

多DNS服务器备份功能

动态和静态DNS共支持8个，但是本地解析的时候只使用前三个DNS服务器解析

支持

DNS代理功能

支持DNS代理功能

支持

多DNS代理服务器备份功能

支持向所有的DNS服务器发送代理请求

只支持向第一个DNS服

务器发送代理请求

PPPoE拨号功能（tcpmss值，DNS服务器获取）

WAN口PPPoE拨号支持DNS服务器地址获取功能；PPPoE拨号口只支持配置MTU，不支持TCPMSS的配置，TCPMSS的值是根据MTU值减40得出，默认和最大MTU值为1488;另CISCO的TCPMSS会对接口进出TCPSYN报文进行处理

只对接口发出的TCP

SYN报文修改TCPMSS值，这样可能会岀现上传

TCP大报文不通的问题。

建议在主线上合入

RTD24073的修改

NAT功能

支持动态NAT，静态NAT和内部服务器映射；除动态NAT外，其它功能不需要指定接口，是全局配置。

不支持PAT和NO-PAT多公网地址转换方式。

WEB不支持静态NAT

2.2.2WLAN功能

WLAN支持的功能与ICG2000相一致，但是易用性方面比较好，如：

无线与三层关联是通过配置SSID

的方式，而ICG2000是通过配置wlan-bss接口方式。

下表是详细测试结果：

测试功能项

CISCONAV10-WF测试结果

ICG2000

无线模式

B-Only、G-Only、混合

B或者G（混合）

SSID支持数量

4

8

WLAN安全

WEP、WPA、RADIUS认证

WEP、WPA

WLAN隔离

支持（SSID内）

不支持

MAC地址过虑

支持（可以选择黑白名单模式）

支持

WLANQoS

支持

支持

223网络安全功能

网络安全方面NAV10-WF只支持包过虑防火墙功能，默认的规则为允许LAN到WAN的通信，拒绝所以

WAN到LAN的通信，可以增加过虑条件，限制部分LAN到WAN的访问或者允许部分WAN到LAN的访问。

下表是详细测试结果:

测试功能项

CISCONAV10-WF测试结果

ICG2000

访问控制功能（IP、MAC过虑）

支持基于MAC地址过虑；WEB过虑支持根据URL过虑或者关键字过虑，支持指定代理服务器端口；支持连接数限制；

支持JAVA，ActiveX，Cookies过虑

不支持基于MAC地址过虑；URL过虑只支持基于80端口，无法指定其它端口；

内容过虑功能（A、限炒股：

大智慧、同花顺、指

南针、证卷之星、钱龙、大策略等

B、限网络娱乐：

pplive、qq直播、ppstream、BBsee等

C、限P2P：

BT、电驴、电骡、迅雷、kugoo等支持

D、限通信：

QQ、MSN、UC等）

不支持

部分支持

防攻击功能

不支持

部分支持

应用控制（QQ、MSN、BT、eDonkey、Skype）

不支持

部分支持

2.2.4QoS功能

NAV10-WF可以根据报文进入的端口，源地址和服务端口对报文进行服务等级标记，服务等级分为低、

中、高和最高的四种，然后在岀接口根据报文服务等级进行调度和带宽保证。

当使用源地址和服务端口进行业务流量区分时，可以同时对业务流进行限速。

下表是详细测试结果:

测试功能项

CISCONAV10-WF测试结果

ICG2000

CAR

支持（只限制上行速率，不支持限制下行速率）

支持限制上行和下行速

率

基于IP地址限速

支持（只能单个地址一一配置）

支持

基于802.1P进行QoS

不支持

支持

带宽保证功能

支持（实际测试中效果不好）

支持

225双WAN功能

NAV10-WF提供三种双WAN连接方式，分别是链路备份、负载分担、路由选路，链路备份方式下可以指定1个WAN口做为主接口，另外1个WAN口做为备份接口，当主链路出现问题时会切换到备份链路；负载分担方式可以指定两个WAN口的负载分担比例，然后同时转发报文，负载分担比例目前只支持20%、

50%、80%三种；路由选路方式就是配置1条默认路由指向其中1个WAN口，然后配置多条具体路由指向另外1个WAN口。

支持网络服务检测功能，原理是利用Ping报文对网关或者远端地址进行Ping检测，如果Ping

通则任务链路正常，反之，链路存在问题，根据检测结果可以相应的进行链路或路由切换。

下表是详细测试结果：

测试功能项

CISCONAV10-WF测试结果

ICG2000

链路备份

支持链路备份，支持使用ping报文检测链路

情况

负载分担

支持基于源地址的负载分担，但是只支持

20%，50%，80%分担模式。

路由选路

利用静态路由进行分担，最多支持300条静

态路由。

WAN和LAN切换

第二个WAN口可以切换为LAN模式

WEB不支持

2.2.6路由和其它功能

测试功能项

CISCONAV10-WF测试结果

ICG2000

静态路由

支持（最多支持300条）

支持5000

RIP

支持

WEB不支持

OSPF

支持

WEB不支持

IGMP

支持

WEB不支持

IGMPSnooping

支持

WEB不支持

其它功能

时钟

支持手工配置时钟；支持NTP，只能配置1个NTP服务器；不支持CPU时钟，系统重启后从重启前配置的时间开始计时

支持

日志

支持E-mail发送日志，远程日志和日志缓冲区，日志缓冲区最大支持8192000字节，可以导岀。

支持

SNMP

WEB支持配置SNMP，支持CPU和内存超阈

值告警

WEB不支持

访问控制

支持单独过虑无线WEB访问

不支持

VRRP

支持VRRP

WEB不支持

DDNS

支持花生壳、www.dyndns.org、

支持花生壳和3322.org

UPnP

支持

不支持

2.3性能测试记录

2.3.1WAN口双向IP转发性能（Mbps）

NAV10-WF:

1500

25.91797

1500

100.00

Name/Framesize64512

Total1.9062511.06445

ICG2000:

Name/Framesize64512

Total56.41100.00

2.3.2NAT_1flow（Mbps）

测试条件：

NAT,1条流，由内向外单向

NAV10-WF:

Name/Framesize

64

512

1500

Total

3.303711

20.70605

49.5166

ICG2000:

Name/Framesize

64

512

1518

Total

52.34375

98.75

99.375

2.3.3NAT最大连接数

设备

Natsession最大支持数

备注

NAV10-WF

140000

近似值

ICG2000

50000

近似值

NAV10-WF

TCPConnecUicms（p&rseccridj

EJapsc-dTmstsec*nil5-i

ICG2000:

TCPCcnneicli口口事wcptici）

FhTiim-|5W«rtH）

Ouji'di-tsd-Stad

$¥h|WT

——■—■=■ObhriEE-Sblchia-d

yFJUlad

EpMFClTlji**|专其"喲

TCPCEMMiedlcMm（Tulahi）

2.3.4NAT每秒最大新建连接数

设备

NAT最大每秒新建连接数

备注

NAV10-WF

220

近似值

ICG2000

700

近似值

NAV10-WF

TCPConruections（persecond►

ICG2000:

■CriiilwM,lKjnKnri-

ini^MbnndL）

2.4测试版本

241CISCONAV10-WF测试版本

242ICG2000测试版本：

_disver

H3CComwarePlatformSoftware

ComwareSoftware,Version5.20,Beta1707

ComwarePlatformSoftwareVersionCOMWAREV500R002B56D001

H3CMSR20-12SoftwareVersionV300R003B01D002

Copyright（c）2004-2008HangzhouH3CTech.Co.,Ltd.Allrightsreserved.

CompiledJun23200817:

58:

52,RELEASESOFTWARE

H3CMSR20-12uptimeis1week,2days,3hours,39minutes

Lastreboot2007/01/0100:

00:

11

SystemreturnedtoROMByCommand.

CPUtype:

FREESCALEMPC8323E333MHz

256MbytesDDRSDRAMMemory

16MbytesFlashMemory

Pcb

Version:

3.0

Logic

Version:

1.0

Basic

BootROM

Version:

2.00

ExtendedBootROM

Version:

2.00

[SLOT

0]AUX

（Hardware）3.0,

（Driver）1.0,

（Cpld）1.0

[SLOT

0]ETH0/0

（Hardware）3.0,

（Driver）1.0,

（Cpld）1.0

[SLOT

0]ETH0/1

（Hardware）3.0,

（Driver）1.0,

（Cpld）1.0

[SLOT

0]ETH0/2

（Hardware）3.0,

（Driver）1.0,

（Cpld）1.0

[SLOT

0]ETH0/3

（Hardware）3.0,

（Driver）1.0,

（Cpld）1.0

[SLOT

0]ETH0/4

（Hardware）3.0,

（Driver）1.0,

（Cpld）1.0

[SLOT

0]EPRI0/0

（Hardware）2.0,

（Driver）1.0,

（Cpld）1.0

[SLOT

1]SIC-2FXS

（Hardware）2.2,

（Driver）2.0,

（Cpld）2.0