华为S1700-28GFR-4P-AC交换机硬件ACL能力测试:
测试拓扑:我们将华为S1700-28GFR-4P-AC交换机和TestCenter测试仪改为通过4个GE端口互联.
详细测试方法:由S1700-28GFR-4P-AC交换机1号端口下发一定数量的ACL规则,过滤掉匹配ACL的主机发送的流量。TestCenter测试仪1号端口向2号端口线速发送包含被命中主机地址的流量,同时发送未被命中主机地址的背景流量。理论上,被命中主机发送的流量应全部被过滤,未被命中的主机发送的流量应全部接收,而由于被测交换机采用硬件ACL,因此其流量转发性能应不受影响。
TestCenter测试仪测试仪3号和4号端口同时相互发送未被命中的主机地址的背景流量。理论上,流量同样应全部接收,而由于被测交换机采用硬件ACL,因此其流量转发性能也应该不受影响。
那么我们的理论设想和实际测试结果时候会有差异呢?马上通过实际测试来看看!
设置S1700-28GFR-4P-AC交换机的ACL规则
前文已经介绍过S1700-28GFR-4P-AC交换机的Web网管客户端,现在我们需要对其ACL规则进行详细配置——过滤掉8个主机的源IP地址。
配置ACL规则:过滤掉8个主机的源IP地址
TestCenter测试仪配置
接下来我们需要对TestCenter测试仪进行配置,其中1号和2号端口各模拟16个主机(1号端口中的8个主机被ACL命中),1号端口的16个主机向2号端口的主机线速发送流量;而3号和4号端口各模拟一个主机,同样相互线速发送流量。
详细配置
S1700-28GFR-4P-AC交换机硬件ACL实测结果:
硬件ACL实测结果
通过测试结果我们可以看到,TestCenter测试仪1号端口被命中主机发送的流量全部被过滤,未命中的主机发送的流量全部通过——即2号端口收到的流量只有1号端口发送流量的二分之一,而3号和4号端口的流量则全部接收,这与我们之前的理论设想完全一致。由此可以证明,S1700-28GFR-4P-AC交换机ACL是通过硬件处理的,不占用CPU资源,端口下发ACL,对交换机转发性能无影响。
