#10272d;”>В реальных сетях невозможно, чтобы все устройства устанавливали все сессии одновременно. Даже при тестировании на скорости 400 Гбит/с нельзя подавать все 400 Гбит/с и одновременно открывать 1 000 000 сессий в секунду, так как это приведет к DDoS-атаке, которая может вывести из строя NGFW без должной защиты. NGFW подвержены атакам, основанным на большом количестве новых сессий. Чтобы предотвратить это, разработчики внедряют защиту от DoS на интерфейсах.
#10272d;”>Для эффективного тестирования NGFW необходимо использовать стадию RAMP UP, которая предполагает постепенное увеличение количества новых соединений через тестируемое устройство.
#10272d;”>Этапы тестирования Throughput на IXIA
#10272d;”>Тестирование Throughput включает три ключевых этапа: RAMP UP, STEADY и RAMP DOWN.
RAMP UP: На этом этапе происходит плавный рост всех параметров. Например, открывается 100 новых сессий в секунду с целью достичь 1000 одновременных сессий. Этот процесс занимает несколько минут.STEADY: На основном этапе мы продолжаем подавать необходимый трафик в уже установленные сессии, имитируя типичную работу сети. Это может длиться от нескольких минут до суток, чтобы удостовериться в стабильности устройства под максимальной нагрузкой. Если тест STEADY длится всего несколько минут, это может свидетельствовать о неуверенности поставщика. Длительное тестирование позволяет выявить утечки памяти, что может привести к перезагрузке устройства.RAMP DOWN: На заключительном этапе мы плавно завершаем все сессии через TCP FIN или RST. Этот процесс также занимает несколько минут.
#10272d;”>При тестировании двух NGFW в режиме HA Active-Passive, когда активное устройство выходит из строя, весь трафик перенаправляется на резервное устройство. Даже в этом случае не все сессии будут пытаться открываться одновременно. Если первая попытка не удалась, сессия будет повторно запускаться через несколько секунд.
#10272d;”>Если ваша цель — тестирование на CPS, возможно, вам потребуется создать 1000 новых сессий в секунду, чтобы оценить реакцию устройства, его процессора, буферов памяти, лог-коллекторов и дисков. Важно также учитывать, какой функционал включен для каждой сессии. Показатель CPS будет снижаться по мере увеличения объема анализа, выполняемого NGFW, включая DPI, URL, OCSP, SSL, IPS, AV и TI.
