防火墙网络性能测试－(2)内网端口之间的网络性能测试

　飞塔防火墙内网交换接口性能测试

　　美国飞塔Fortinet防火墙，默认内网接口类型为硬件交换，所有内网接口共用一个网关，内网接口之间允许互相访问，这里将两台笔记Ａ、Ｂ分别接入需要测试的13、14端口中。笔记本Ａ的内网IP地址设置为10.0.1.28，笔记本B的内网IP地址设置为10.0.1.38。

 　　因为接口是硬件交换模式，只是测试接口的硬件部分，防火墙功能没有参与。

测试之前，两台笔记本互Ping对方IP地址，确保能Ping通，如果不通，检查网络物理连接，关闭电脑上的软件防火墙。

① 启动IxChariot程序，点击Add Pair图标，增加一对测试；


② 输入测试名称，在Endpoint 1里输入发送方IP，这里输入笔记本A的IP地址，Endpoint 2里输入接收方IP，这里输入笔记B的IP地址，然后是选择脚本；

③ IxChariot已经准备了多个脚本，脚本都可以修改，以符合测试需要，这里我们选择Throughput吞吐量测试脚本；

④ 输入好IP，选好脚本，就建好了；

⑤ 点击奔跑的小人图标，开始进行测试；

⑥ 等等，出现错误提示了，问题出现在笔记本A上，原来在安装IxChariot控制端程序里我们没有安装自带的Endpoint，因为自带的Endpoint版本比较低，而且会报错，在计算机A中我们也安装Endpoint 7.1版；

⑦ OK，这次出现测试图象了，但只过了很短的时间，测试就停止了，原因是我们选择的脚本测试的文件长度比较小，很快就测完了；

⑧ 停止测试后，鼠标双击建立的Pair条，在编辑介面选项编辑脚本；

⑨ 我们看到脚本中，文件大小是100000字节，双击文件大小条；

⑩ 这里我们将文件大小改成10M

⑪ 这次测试可以看到，传送10M文件，也用了8.6秒，因为笔记本都是百兆网卡，测得吞吐量为93.699 Mbps;

⑫ 刚才的测试时间还是太短，可不可以循环测试呢？选择运行菜单的设置运行选项；

⑬ 默认是任何一条Pair测试结束就停止，这里我们将运行时间修改为5分钟，以后可以根据测试需求加大测试时间；

⑭ 再次运行，这次测试运了5分种才结束，得到的数据更接近真实水平；

⑮ 开才的测试，只是测试了笔记本A发数据包到笔记本B，那么可不可以反向测试笔记本B发包到笔记本A呢，在Pair条上点鼠标右键，选择Copy、Paster，复制一条Pair；

⑯ 这样就得到了两条Pair，在其中一条上双击鼠标；

⑰ 修改IP地址，将两个IP地址调换一下；

⑱ 再次测试时，就可以看到笔记本A、B互发数据包的测试效果了。

⑲ 打开笔记本B的任务管理器，可以看到测试时网卡的使用率很高

　飞塔防火墙内网不同网段接口性能测试

　　飞塔防火墙默认所有的内网接口都是硬件交换，这里我们释放13、14两个端口，对两个端口设置不同的IP地址段，为了允许两个接口不同网段的互访，需要建立两条策略，最终结果，笔记本ＡIP地址改为10.0.2.38，接防火墙13口，笔记本B的IP地址改为10.0.3.38，接防火墙14接口。

① 编辑防火墙内网internal接口，在物理接口成员上点叉，释放接口；

② 设置释放的13、14口IP地址，这里不能是同网段；

③ 新建策略，允许13口访问14口，因为是内网互相访问，所以NAT不启用；

④ 同样建立14端口允许访问13端口策略；

⑤ 笔记本A接入13口，IP地址改为10.0.2.38，笔记本B接入14口，IP地址改为10.0.3.38，互ping对方IP，能ping通说明防火墙策略起效果；

⑥ 同样环境的测试结果可以看出，通过防火墙策略和不通过防火墙策略，差别似乎不大；

⑦ 为了得到更准确的数据，可以复制多条相同的Pair，这样得到每条Pair的数据，结合起来得到总数据，更加精确一些。