打造安全高效网络保证:H3C S1650交换机评测
现代网络对于高效和安全的要求越来越高,随着企业的网络应用越来越广泛,对于连通内网组织终端的交换机自然承担了更为重要的责任。H3C S1600系列以太网交换机是H3C公司自主开发研制的二层以太网交换机产品,主要定位于企业、酒店、智能楼宇等细分行业,可为用户提供高性能、低成本、可网管的安全解决方案。
事实上,似乎所有厂商在宣传产品时都在重点宣传其产品的高性能和易于管理等特性,此次参与评测H3C S1650交换机是不是也空有噱头呢?让我们拭目以待。
H3C S1650交换机
S1600包含两款型号:其中S1626提供24个10/100BASE-T自协商的以太网端口、2个Combo口和一个Console口;而S1650则提供了48个10/100BASE-T自协商的以太网端口,2个Combo口和一个Console口。并且均内置Web服务器,终端可以通过Web浏览器访问Web设置页面。
我们看到产品提供了48个百兆口和2个千兆SFP光模块接口,从流量上下行匹配度上并不均衡,但随后的评测会单独阐述厂商为什么这样设计。需要用户注意的是:光口(千兆SFP光模块接口)和电口(10/100/1000Base-T自适应以太网端口)不能同时使用。若同时使用,由于电口的优先级较高,电口有效,光口无效。
产品侧面
在产品侧面提供了广阔的散热区域,在随后长达几天的测试过程中,我们发现H3C S1650交换机的发热量非常小,并且未出现任何异常问题。前期配置介绍
在真正使用H3C S1650交换机前,需要对其进行一系列的配置。首先将Console口与电脑串口连接,在超级终端中输入以下命令:
system-view 进入系统配置模式
Vlan100 开辟一个Vlan100
Port Ethernet 0/1 to Ethernet 0/12 打开1-12端口
Port Ethernet 0/49 打开49端口
结果如下:
端口配置
[H3C]interface vlan-interface 1
[H3C-Vlan-interface1]ip address 10.61.41.165 255.255.255.0 定义新IP
[H3C-Vlan-interface1]ip gateway 10.61.41.1 定义新网关
[H3C]user-interface vty 1 0/1用户选定
[H3C-vty1]set authentication password zol 设置Telnet密码
我们做以上工作完全是方便后面的具体评测,当然,H3C为用户也提供了Web管理界面,默认地址是192.168.0.234。通过默认用户名密码admin登录后可以看到如下界面。
Web管理界面
这里包含了系统管理、端口管理、设备管理、ACL控制、安全管理等功能,通过上面Console口配置后,系统信息已更新如下状态。
配置后的系统信息
被开启的部分端口
设置的2个VLAN评测环境
此次评测环境主要考虑到测试产品3方面性能而搭建:吞吐量、延迟、防ARP攻击。
其中Vlan100针对1-12端口,主要应用于吞吐量与延迟测试,由于只有2个千兆口,所以测试时采用符合RFC2544标准的异步吞吐量测试方案,端口以子集形式出现来考察整机在数据处理方面的性能。Vlan1将应用于ARP攻击测试。
此次测试与思博伦概念验证实验室共同完成。思博伦概念验证实验室(Spirent Proof of Concept, SPOC)全球网络将为客户提供业界领先的测试设备、解决方案和专业化服务能力,使设想变为现实。遍布全球的实验室网点,将为您提供全新的测试设备和领先的测试技术进行您所需要的测试验证,同时您将从测试专家的知识和经验中获益匪浅。
吞吐量延迟方面测试的硬件为SmartBit 600B,采用LAN-3101A3301A模块,软件使用SmartFlow 5.60,ARP攻击测试硬件同样采用SmartBit 600B,LAN-3101A3301A模块,并将DELL PowerEdge 2950服务器加入到环境中担当被攻击终端,测试软件为SmartWindow 9.50。
评测中心吞吐量与延迟测试结果
吞吐量与延迟测试模式示意如下:
连接示意图
实际测试环境
SmartFlow配置方式如下:
SmartFlow Group DownStream
SmartFlow Group UpStream
测试结果如下:
吞吐量测试结果
在理想状态下,2个千兆口带48个百兆口在满负荷状态下,每百兆口传输数据约为42MB,但事实上,在网络实际应用中,所有百兆口同时满负荷工作的概率极低,即便是同时工作,瞬间峰值也很等同于入口流量,而网络内部的数据传输是影响不到千兆口的。
以本次测试为例,假设12口同时需要数据传输请求,则对应一个千兆端口分配的带宽应为83MB左右,通过上面的测试结果表明,UpStream刚好达到这个水平,这说明该设备完全能够达到理想中的满负载,并且协同作业能力也可顺畅完成,在不对称带宽情况下,让上行端口利用率最高,在剩余36口未使用时,12口仍可最大限度满负荷工作。
虽然说理论上5个千兆口才能满足48个百兆口,但H3C显然很了解用户实际需求,在节省成本的同时也保证了运行效率。
延迟测试结果
延迟结果对比
从延迟数据上看并无特别之处,结果也在预料之中,大数据包的延迟更长,H3C S1650交换机在这方面表现中规中距。防ARP攻击测试
H3C S1650提供了MAC地址、IP地址及端口三元素绑定,虽然说目前H3C已经有四元绑定,但通过此次测试的三元绑定,我们仍然可以看到一些特别之处。
我们首先在Vlan1中将评测设备IP仍然设置胃192.168.0.254,DELL PowerEdge 2950服务器设置为192.168.0.100,网关为192.168.0.254。
实际测试环境(白色线连接DELL PowerEdge 2950)
DELL PowerEdge 2950(受攻击端)
由于服务器有两块网卡,我们从另外一块网卡远程登录,ping网关192.168.0.254正常,ARP -a显示MAC地址和IP信息(注意第二块才是测试网卡)。
攻击前测试
Telnet连接也正常
在SmartWindow中建立一个ARP Reply攻击流,目的MAC:00-1E-C9-ED-51-E5,构造虚假MAC地址为01-01-01-01-01-01,SourceIP为192.168.0.254,准备进行ARP网关欺骗攻击。
ARP攻击配置
开始ARP攻击
攻击结果
Telnet连接丢失
抓取的数据包
在没有开启ARP防护时,看到ARP的攻击是相当顺畅的,我们可以通过三元绑定将IP、MAC和端口绑定,也可以使用如下命令:
arp detection enable
按Y确定,该功能将开启防ARP欺骗功能,但如果交换机仅仅能够防欺骗还不够,如果攻击端发送大量的ARP流,交换机的资源将急剧下降,影响正常网络交换功能,所以还需要对发送大量ARP流的端口实施过滤。
arp rate-limit enable 开启数据流极限过滤功能
arp rate-limit 100 设置一个上限(10-100)
接下来再次进行ARP攻击,我们发现交换机已经完全能够防护住了。
防止ARP攻击评测总结
从性能测试和防ARP攻击测试结果来看,H3C S1650交换机称得上是安全高效的网络设备,对于压力测试和技术测试表现都很优秀。最关键的是,该交换机在考虑用户实际需求的同时,降低了成本,让广大用户得到了真正的实惠。总结起来,H3C S1650交换机有以下几大特性:
全线速的二层交换
S1626 8.8Gbps/S1650 13.6Gbps的总线带宽为交换机所有的端口提供二层线速交换能力,保证所有端口无阻塞的进行报文转发。
优异的安全性能
支持802.1x认证,安全专区提供多种丰富的安全功能,可以实现IP+MAC+端口三元素绑定,并可通过DHCP-Snooping或者智能绑定自动获取绑定列表,有效防御ARP攻击、DOS攻击及蠕虫攻击,并可以方便的实现安全配置文件的导入和导出。
支持基于IP和MAC的ACL功能,可以实现基于源MAC、目的MAC和源IP、目的IP、协议号、端口号对流量进行控制,同时,也方便网管员在接入层部署访问控制策略。
强大的链路扩展及备份能力
提供LACP、STP/RSTP功能,可有效实现链路扩展及备份。
简单方便的管理方式
可以通过web可视化的界面,对交换机的各种功能进行简单方便的操作,同时提供Console口和Telnet的命令行配置。
在网络设备纷繁众多的今天,对于采购者,有时仅仅只是需要一台安全、稳定的产品,H3C S1650交换机低调的外表也许并不能引起注意,但其恰到好处的功能和高性价比的优势是众多企业和行业用户的上乘之选。
