等参数,且方式有只建不拆和边建边拆两种(也就是说,在测试过程中,所述网络测试系统与网络设备20之间的连接仅由所述网络测试系统断开或仅由所述网络设备20断开)。
[0051]本发明的技术方案提供的是一种基于FPGA实现的lG/10Gbit/s高速网络测试系统,所述网络测试装置包括现场可编程门阵列网络测试装置。本发明的技术方案采用结合大规模可编程逻辑器件(FPGA芯片)和物理层接口器件(PHY芯片)的硬件实现方式(FPGA芯片和PHY芯片焊接于所述网络测试装置中),网络测试装置外部还连接DDR RAM等适用的外部存储器(如图2)。
[0052]在上述技术方案中,所述大规模可编程逻辑器件(FPGA)包括五个模块部分:
[0053]2-3层数据收发处理模块101 (包括发送处理模块和接收处理模块)中,发送处理模块根据用户设定的参数,生成相应的以太网包送给PHY芯片,通过1GE或者GE端口发送出去。发送处理模块可以更进一步细化为2-3层的发送处理和TCP处理,分别完成相应的处理功能。接收处理模块接收从PHY送过来的以太网包,对每个包进行分析,完成相应的统计以及用户设定的需求,比如对特定包的捕捉等。在TCP处理层面还需要接收发送模块的相互交互,根据接收到的TCP连接情况,发送相应的TCP响应以完成TCP连接的建立和拆除工作等。
[0054]TCP连接加速处理模块102的主要负责TCP的连接建立和连接管理以及根据存储在外部QDRII中的存储信息进行TCP数据帧的组帧,QDRII存储每个TCP连接的基本信息,如状态等。
[0055]4-7层协议处理模块103主要是为了当实现网卡功能时进行三层以上的数据解析和处理,通常的情况下,主要是提供一个上下位机之间的传输通道。
[0056]组帧模块对来自收发处理模块的信息根据以太网协议进行组帧,并加上时间戳,包序号以及CRC等信息。
[0057]帧解析模块主要是对来自网络中的数据进行解析,包括CRC检测,测试平台自身标志的检测,然后将解析出来的MAC源地址,目的地址,协议,IP源地址,IP目的地址,包序号,时间戳信息等送到各个功能模块进行相应的处理。
[0058]如图3所示,本发明的较佳的实施例中,对被防火墙防护的服务器进行拒绝服务攻击测试,包括以下步骤:
[0059](I)在目标服务器201(简称服务器201)中配置FTP服务,预先通过终端PC机202访问目标服务,记录访问情况及其访问速率。
[0060](2)指定网络测试系统203 (包括A和B两个端口,终端PC机202和网络测试系统203通过交换机204连接)中的测试端口(此测试端口为网络测试系统或网络测试装置上的网络测试接口),并为每一端口配置测试数据流;数据流配置信息有:源MAC设为固定值、目的MAC设为广播地址、IP协议设为TCP协议、源IP地址设置情况(设置最小值、设置最大值、设置步进值、设置递增模式)、目的IP设为目标服务器201的IP地址、源端口设置情况(设置最小值、设置最大值、设置步进值、设置递增模式)、目的端口设为FTP服务端口、序列号设为随机模式、TCP连接标志SYN设为‘ I’。每个端口的源MAC地址应设为不一致。
[0061](3)网络测试系统203的每个测试端口预先按照源IP地址范围绑定源MAC地址进行地址学习。
[0062](4)网络测试系统203的每个测试端口的IPG设置为方波变化模式,周期分别应为不一致。
[0063](5)启动测试数据流发送,5秒后,查看目标服务器201的资源消耗情况,如果资源消耗较大,则表明防火墙205未能阻止拒绝服务攻击数据流或者未能对目标服务器201进行防护,同时利用终端PC机202发起正常访问来进一步证实测试效果;如果资源消耗不大或没有明显变化,则表明防火墙205阻止了拒绝服务攻击数据流或者对目标服务器201进行了及时防护,同时利用终端PC机202发起正常访问进一步证实测试效果。
[0064]如图4所示,本发明的较佳的实施例中,对网关设备的源IP地址和IP协议类型配置审查测试,但不仅限于该测试项目,其包括以下步骤:
[0065](I)网络测试系统203保留两个端口用于测试,指定A端口为测试数据流发送端口,指定B端口为测试数据流接收端口,A端口和B端口通过交换机204发送数据流至被测网关设备206。
[0066](2)配置测试数据流发送端口(A端口):测试数据流配置如下,源MAC设为固定值、目的MAC设为广播地址、IP协议设为指定协议(被测协议)、源IP地址设置情况(设置最小值、设置最大值、设置步进值、设置递增模式)、目的IP设为测试数据流接收端口(B端口)的IP地址,其他字段设为固定值。
[0067](3)配置测试数据流接收端口(B端口):将源IP地址和IP协议设为过滤条件,其他字段不设为过滤条件,并设置源IP地址和IP协议为“与”规则(应用规则)。
[0068](4)测试数据流发送端口(A端口)预先按照源IP地址范围绑定源MAC地址进行地址学习。
[0069](5)测试数据流接收端口(B端口)预先按照本端口 IP地址绑定源MAC地址进行地址学习。
[0070](6)启动测试数据流发送和接收,数据流发送完毕后,接收端口数据接收情况,如果接收到所发送的数据,则表明符合IP地址和IP协议的该类数据未能被过滤或阻止;如果所发送数据而未被接收,则表明被测网关设备206对符合IP地址和IP协议的对应类数据进行了过滤或阻止。
[0071](7)以上测试步骤可以快速测试和发现网关设备的过滤规则情况,并对其进行审查。
[0072]如图5所示,本发明的较佳的实施例中,对防火墙或服务器的并发连接能力进行测试,但不仅限于该测试项目,其包括以下步骤:
[0073](I)在目标服务器201(简称服务器201)中配置WEB服务(http://192.168.0.100/index, html),同时指定测试端口(B端口 )为仿真服务端,并模拟WEB 服务(http://192.168.0.100/index, html),指定测试端口 (A 端口 )为仿真客户端。
[0074](2)网络测试系统203保留两个端口(A和B)用于测试,A端口和B端口通过交换机204发送数据流至防火墙205。测试目标服务器201的新建连接能力时,配置测试端口(A端口):设定源IP的最小地址、源IP的最大地址、地址掩码、目的端口、URL以及最大新建速率。
[0075](3)启动测试,预先按照源IP地址范围绑定源MAC地址进行地址学习。开始向目标服务器逐渐发起新的连接,并在连接基础上进行get指令,在进行新的连接过程中,当发现连接失败数增大或者不能连接时,记录当前总的连接数,也即基本能表征目标服务器的测试结果的最大新建速率。
[0076](4)测试防火墙的并发连接能力时,配置测试端口(A端口):设定源IP的最小地址、源IP的最大地址、地址掩码、目的端口、URL以及最大新建速率限定值。
[0077](5)启动测试,使A端口预先按照源IP地址范围绑定源MAC地址进行地址学习,使B端口预