EX 4200在每个测试中都以行频进行传输,是所测试的交换机中唯一能做到这一点的。更重要的是,10G以太网延时是所有测试结果中的最低值。EX 4200的性能设置以及强大的JUNOS命令行接口也给人留下了深刻印象。
当然,这里不是说思科和其他厂商不具备竞争力了。这是Juniper首次在企业交换机领域有所动作,从某些方面也看出了Juniper的一些不足。对多点传送的支持还显得有些粗糙,我们的测试也忽略了一些安全方面的考虑。不过,该设备令人印象深刻。
我们测试的是16,800EX 4200-48T,它提供了48个10/100/1000Mb/秒的千兆端口,两个10G以太网端口,8个端口上的PoE功能和多达10个交换机的堆栈功能。Juniper也为EX 4200-48P 提供48个具备PoE功能的端口。两种设备都提供了选择性的多余电力供应,且能称所有交换机和路由协议。
在早前的接入交换机测试中,我们发现,随着大部分交换机都以接近1%的行频推入数据包,吞吐量不再像往常那样作为区分因素了。
即便是Spirent TestCenter流量生成器抛出的最大负荷,Juniper EX 4200也可以应付。该交换机在单点播放和多点播放测试中以线传输速率传输。其他交换机则不行。
延时通常是比速率更重要的指标,尤其是对时间敏感的音频和视频流量来说更是如此,在所有测试中延时低且保持了一致性。以线传输速率测量的时候,Juniper交换机在10G以太网链接中在最低1.96毫秒到最高2.01毫秒的范围里平均延迟了64字节帧。
这是所记录的以太网交换机中最低的延时。事实上,即便是EX 4200的最大延时也比之前测量的平均延时要低。
10G以太网端口的延时在2到3毫秒之间徘徊,在千兆以太网端口上则是20到30毫秒。
多点播放的延时也很低,要优于其他产品的测试结果。Juniper交换机不会长时间保留数据为企业应用带来负面影响。
多点播放的阵痛
虽然EX 4200给出了快速传输速度和延迟基准,测试表明其多点播放代码相较于其他系统部件要新一些,因此存在不可靠的地方。
交换机在多点播放组功能测试中表现优良——它与IGMP组设备的兼容性最好。EX 4200 将数据传输到1001 IGMPv2组中,这一数字虽然比排名第一的惠普ProCurve 3500yl少了500,但是仍然足以让Juniper交换机排在第二的位置。
但是多点播放测试也表现出了不足之处。第一个也是最重要的一点是,在layer-3多点播放测试中,交换机自动重启。Juniper系统当然不是第一个出现这种情况的。但是其他产品在那段时间里超出了多点组的计算极限,且测试中使用的500个组对于Juniper交换机来说都不成问题。在任何情况下,交换机都不应该自动重启,不论是超负荷还是加载的时候。
第二点,我们用IGMPv3测试了其他的交换机。虽然测试的Juniper软件支持IGMPv2,但是供应商称稍后对于IGMPv3的支持也没有问题。如RFC 3376,Appendix B中所述,IGMPv3提供了大量改进。主要涉及源过滤和监控基于源和组地址的组状态功能。后一个功能有助于不同组的转换器或接收器共享交换机端口。
第三,初步测试中,交换机创建了多点播放流量的拷贝,这样会使得结果无效。Juniper快速解决了交换机单独运行时新软件的创建问题。我们认为新滴软件解除了复制。
随着人们对多点播放越来越感兴趣,特别是在某些垂直行业,如金融服务,这些遭遇可能令人担忧。尽管如此,考虑到Juniper在复制问题上的快速响应以及它正在进行的多点播放开发工作,它这些漏洞还是不足为患的。#p#
环保方面
在设备测试常规部分,我们同样衡量了EX 4200在闲置和全负荷运行时的能耗。
用Fluke 335钳表测量时,Juniper交换机闲时消耗185瓦,满负荷运行时消耗199瓦。比较而言,其他几个10G以太网接入交换机的闲时和满负荷的平均消耗值是分别为150和174瓦。
验证支持
考虑到Juniper对NAC的长期鼓吹,EX 4200在验证测试中表现优良也就不出乎人意料了。交换机通过了六种情境,其中五种使用的是802.1X。这些测试监测了静态定义的虚拟LAN,多客户端的认证,动态分配VLAN的验证,动态访问控制列表验证以及验证失败后受限VLAN中的放置。
在访问控制列表测试中,交换机应用的是之前在交换机中定义的规则。这样就使得操作比其他交换机要容易。
交换机通过媒体访问控制地址通过了第六个验证测试;在第六个测试中,终端站,如打印机,缺少802.1X申请软件。交换机的CLI不会显示MAC地址验证的当前客户,因为它会显示802.1X验证过的客户。
Juniper交换机用小的配置更改通过了所有接入控制测试。相比之下,思科Catalyst 3750E 要求不出现配置更改。再者,思科交换机没有通过多验证测试,只验证了第一个用户然后就将未经验证的数据传递给第二个和之后的用户。
风暴控制
和其他部署在企业网络边缘的交换机一样,EX 4200提供了风暴控制功能来限制潜在的恶意代码。我们用两个拒绝服务(DoS)攻击来测试这以功能,一个广播风暴和一个SYN攻击,发现该交换机封锁了广播但是却没有对SYN实施限制。
对于两项测试,我们配置了一个Mu Dynamics Mu-4000安全分析器来生成每秒10万帧的DoS攻击,然后将Juniper交换机流量限制在1%线传输速率,或每秒1500帧。用Spirent TestCenter的实时速率计数器,我们证明了Juniper交换机对广播流量的限制。
然而,该交换机不能控制Mu SYN攻击。Juniper称当前的JUNOS还只对广播和未知单点播放推行速率控制。这使得风暴控制有利于挫败随机的,无目的的僵尸攻击,但是不利于组织目的性的,或指定服务器的攻击。
管理性和使用性
评估交换机管理性要分为主客观两个部分。客观部分很容易,因为它是以客观试验为依据:我们通过SNMP,远程登录,Secure Shell,Web,SSL和系统记录几个方面验证了EX 4200对IPv4网络的管理支持。值得称赞的是,所有的这些方法都是默认启用的,且每种方法都可以单独进行切换和关闭。
使用性方面,JUNOS CLI非常易于操作,即便JUNOS的使用还存在局限性。
Unix极客会非常喜欢JUNOS的FreeBSD传统;的确,该系统的CLI是运行于C Shell之上的进程。CLI也支持针对常规表达的输出匹配,许多配置参数的句法类似于Unix配置文件。
IPv6还不能完全支持EX线路。该交换机不能支持IPv6数据的路由,当然L2转换是可以的。可以实现IPv6网络的交换机管理,但是不支持Web和SSL访问方法。#p#
不完全是重置
我们对设备管理的最后检测是一项工厂重置,通常在淘汰一件设备的时候,认为这是最好的一种方法。
Juniper提供四种重置方法,包括:面板LED选项,一个CLI命令,USB和一个新图像的TFTP文件传输器。
遗憾的是,使用面板LED菜单这一最简单的方法不能完全将交换机恢复到出厂设置。重置之后,我们找到了先前保存的SSH钥匙和配置文件。USB和TFTP下载真正复写了已有的文件系统。我们建议用户在任何情况下都要验证重置装置是否都已经被清除干净。
即便是在考虑到其中的一些不足时,我们仍然发现EX 4200是可靠的。虽然Juniper还存在努力的空间,尤其是在其多点播放代码方面,但是EX 4200确实是对思科企业接入交换机产品提出了一大挑战。
我们怎样测试Juniper交换机
我们用相同的方法评估了Juniper的新型企业交换机。唯一的例外是我们这次没有使用IGMPv3而是使用的IGMPv2。
这一套方法包括涵盖了L2和L3单点播放性能的10套测试;IGMP组多点播放功能;L2和L3多点播放性能;网络访问控制/802.1X;风暴控制;能耗;交换机管理性,安全性和实用性以及交换机特性。
在L2单点播放性能测试中,我们为每个交换机配置了一个单独的虚拟LAN。我们将一个Spirent TestCenter生成器/分析器 附加到48个千兆以太网和两个10G端口,然后运行三套测试:所有端口,仅使用千兆端口和仅使用10G端口。我们为千兆端口提供完全混乱的数据,为10G端口提供混乱数据。在每个测试中,以每秒分别运行64,256,1518字节帧方式运行,测量了每种情况的速率,平均延时,最大延时。
L3单点播放性能测试与L2的类似,不同之处在于我们将每个端口配置为使用不同VLAN和IP子网。
在IGMP组性能测试中,我们转换到了一个L2配置,启动了IGMP巡视并设定交换机执行IGMP问询。在这个测试中,47/48的TestCenter 千兆以太网端口加入了IGMPv2组中;剩下的那个端口作为监控器存在以便发现攻击。
在给组成员发送完信息并等待了至少两次交换机IGMP查询之后,TestCenter的ScriptMaster软件会为交换机的第一个10G端口提供多点播放数据,数据会被运往所有的多点播放组。每个RFC 3918,如果所有的组都收到了至少一帧,测试迭代会认可通过。如果出现丢失或有攻击出现,迭代会认为操作失败。使用二进制搜寻法则,我们可以重复这一过程以确定多点播放组功能。
在L2多点性能测试中,我们将所有交换机端口配置成加入一个单独VLAN,以便使用IGMP巡视和执行IGMP询问。TestCenter的48个千兆端口加入了500 IGMPv2 组。Juniper交换机在测试中不支持IGMPv3,它要求使用IGMPv2。
至少等待了两次交换机IGMP查询后,TestCenter的ScriptMaster软件会为交换机的第一个10G端口提供多点播放数据,数据会被运往所有的多点播放组。使用二进制搜寻法则,TestCenter会确定速率。在单独测试中,TestCenter测量了既定速率下的平均和最大延时。
在L3多点播放速率和延时测试中,我们将交换机设置成使用单独VLAN和IP子网,允许协议独立型多点传送稀疏型模式向每个端口发送数据,将交换机设置为PIM汇合点。测试安装和数据模式与L2多点传送测试中的类似。我们再次确定了速率并测量了该速率下的平均和最大延时。
为了评估802.1X/NAC支持,我们制定了六种情境来描述交换机作用。在这一步,我们将交换机附着到运行于Juniper Steel-Belted Radius Enterprise Edition 6.1(SBR)之上的Windows 2003服务器中。SBR配置使用的是Windows Active Directory证书来验证用户。
在第一个情况下,交换机将一个认证的客户放到之前配置好的VLAN中。第二种情况与第一种类似。第三种情况是验证后,交换机为VLAN进行了动态分配。第四种情况,交换机动态应用了一个访问控制列表。第五种情况,验证失败后,交换机将一个客户放到了客户或限制的VLAN。最后,第六种情况确定交换机端口是否同时支持802.1x和媒体访问控制的验证支持。
为了评估风暴控制,我们使用了常见的攻击技巧,如广播和TCP SYN工具。我们将Juniper交换机配置为限制攻击的速率,并且用实时速率计算器来验证了这种限制。
我们用Fluke322 和Fluke 335 钳表测量了能耗。该测试包括三个方面:AC线路电压,闲置和满负荷运行时的AC电流。我们通过配置Spirent TestCenter完全加载了交换机控件和数据传输,以便提供线传输数据。
对于管理性,安全性和使用性的测试存在客观和主观两方面的因素。客观方面,我们确定了交换机在IPv4和IPv6网络支持的管理方法,以及最佳的安全方案。我们还检测了默认启用的管理方法。此外,还检测了 启用/禁用 文件是否会删除所有个性化确认信息,常规请求和最佳安全方案。主观方面也就是我们在本文中所谈及的评论。
【编辑推荐】