防火墙网络性能测试-(2)内网端口之间的网络性能测试
飞塔防火墙内网交换接口性能测试
美国飞塔Fortinet防火墙,默认内网接口类型为硬件交换,所有内网接口共用一个网关,内网接口之间允许互相访问,这里将两台笔记A、B分别接入需要测试的13、14端口中。笔记本A的内网IP地址设置为10.0.1.28,笔记本B的内网IP地址设置为10.0.1.38。
因为接口是硬件交换模式,只是测试接口的硬件部分,防火墙功能没有参与。
测试之前,两台笔记本互Ping对方IP地址,确保能Ping通,如果不通,检查网络物理连接,关闭电脑上的软件防火墙。
① 启动IxChariot程序,点击Add Pair图标,增加一对测试;
② 输入测试名称,在Endpoint 1里输入发送方IP,这里输入笔记本A的IP地址,Endpoint 2里输入接收方IP,这里输入笔记B的IP地址,然后是选择脚本;
③ IxChariot已经准备了多个脚本,脚本都可以修改,以符合测试需要,这里我们选择Throughput吞吐量测试脚本;
④ 输入好IP,选好脚本,就建好了;
⑤ 点击奔跑的小人图标,开始进行测试;
⑥ 等等,出现错误提示了,问题出现在笔记本A上,原来在安装IxChariot控制端程序里我们没有安装自带的Endpoint,因为自带的Endpoint版本比较低,而且会报错,在计算机A中我们也安装Endpoint 7.1版;
⑦ OK,这次出现测试图象了,但只过了很短的时间,测试就停止了,原因是我们选择的脚本测试的文件长度比较小,很快就测完了;
⑧ 停止测试后,鼠标双击建立的Pair条,在编辑介面选项编辑脚本;
⑨ 我们看到脚本中,文件大小是100000字节,双击文件大小条;
⑩ 这里我们将文件大小改成10M
⑪ 这次测试可以看到,传送10M文件,也用了8.6秒,因为笔记本都是百兆网卡,测得吞吐量为93.699 Mbps;
⑫ 刚才的测试时间还是太短,可不可以循环测试呢?选择运行菜单的设置运行选项;
⑬ 默认是任何一条Pair测试结束就停止,这里我们将运行时间修改为5分钟,以后可以根据测试需求加大测试时间;
⑭ 再次运行,这次测试运了5分种才结束,得到的数据更接近真实水平;
⑮ 开才的测试,只是测试了笔记本A发数据包到笔记本B,那么可不可以反向测试笔记本B发包到笔记本A呢,在Pair条上点鼠标右键,选择Copy、Paster,复制一条Pair;
⑯ 这样就得到了两条Pair,在其中一条上双击鼠标;
⑰ 修改IP地址,将两个IP地址调换一下;
⑱ 再次测试时,就可以看到笔记本A、B互发数据包的测试效果了。
⑲ 打开笔记本B的任务管理器,可以看到测试时网卡的使用率很高
飞塔防火墙内网不同网段接口性能测试
飞塔防火墙默认所有的内网接口都是硬件交换,这里我们释放13、14两个端口,对两个端口设置不同的IP地址段,为了允许两个接口不同网段的互访,需要建立两条策略,最终结果,笔记本AIP地址改为10.0.2.38,接防火墙13口,笔记本B的IP地址改为10.0.3.38,接防火墙14接口。
① 编辑防火墙内网internal接口,在物理接口成员上点叉,释放接口;
② 设置释放的13、14口IP地址,这里不能是同网段;
③ 新建策略,允许13口访问14口,因为是内网互相访问,所以NAT不启用;
④ 同样建立14端口允许访问13端口策略;
⑤ 笔记本A接入13口,IP地址改为10.0.2.38,笔记本B接入14口,IP地址改为10.0.3.38,互ping对方IP,能ping通说明防火墙策略起效果;
⑥ 同样环境的测试结果可以看出,通过防火墙策略和不通过防火墙策略,差别似乎不大;
⑦ 为了得到更准确的数据,可以复制多条相同的Pair,这样得到每条Pair的数据,结合起来得到总数据,更加精确一些。