专利名称:测试网络设备的方法、系统及装置的制作方法
技术领域:
本发明涉及网络通信设备测试技术,尤其涉及一种测试网络设备的方法、 系统及装置。
背景技术:
传统的以太网技术允许未经授权的用户,直接通过连接到局域网(LAN) 的设备进入网络,免费使用网络资源。但是随着以太网技术的广泛应用,网络 运营商的网络资源并非免费提供给用户使用,用户需要支付相应的费用才能获 得使用相应网络资源的使用权限。在这种情况下,对网络使用权限安全认证的 需求就提到了议事日程上。美国电气电子工程师学会(Institute of Electrical and Electronics Engineers, IEEE) 802委员会制定的LAN标准IEEE 802.lx协议 正是在这样的背景下提出的。IEEE 802.lx协议也称为基于端口的网络访问控 制十办i义(Port-Based Network Access Control Protocol )。
在IEEE802.1x协议中,连接用户的网络设备的作用非常重要。以下简要 介绍IEEE 802.1x协议的基本原理。
IEEE802.1x协议标准定义了一种基于"客户端一服务器"(Client-Server) 模式实现限制未认证用户对网络的访问。用户要访问网络必须先通过服务器的 认证。没有通过服务器认证的用户无法访问网络。
如图1所示,IEEE802.1x标准认证体系由恳请者(supplicant),认证者 (authenticator)和i人证月良务器(authentication server)三部分构成,在实际i人 证过程中,三部分分别对应为工作站(Client )、网络设备(network access server, NAS)和认证服务器(Radius-Server )。
其中,具有恳请者功能的为用户,如工作站、客户端或个人电脑(Personal Computer, PC),请求对网络的访问,并对认证者的认证信息报文进行应答。 在实际认证过程中,用户向网络运营商交纳一定的费用,网络运营商则向用户 提供一个认证用的用户标识和认证密码,并给用户提供一个用于认证的客户端 软件,该软件安装在用户的PC上。用户想使用网络资源时,必须先打开认证 客户端软件,使用提供的用户标识和认证密码进行认证。
具有认证者功能的为连接用户,且实现IEEE802.1x协议的网络设备。该 网络设备可以是交换机或路由器。具有认证者功能的网络设备有两种类型的端 口受控端口 (controlled Port)和非受控端口 ( uncontrolled Port )。其中连才妄 受控端口的用户只有通过认证才能访问网络;而连接非受控端口的用户无须认 证就可以直接访问网络。通过将非受控端口连接认证服务器,以保证服务器与 网络设备的正常通讯;把最终用户连接在受控端口上,便可以实现对用户的控 制。用户还未认证前,连接该用户的网络设备的受控端口不允许任何数据通过, 但认证报文除外,该用户认证后,认证服务器将认证结果通知网络设备。网络 设备通过向用户要求认证信息,核实服务器端的认证信息,如果认证通过,网 络设备就将连接该用户的受控端口打开,允许数据通过,此时该用户就可以访 问网络;如果用户认证没有通过,网络设备保持连接该用户的受控端口为关闭, 这样该用户就无法访问网络。网络设备除了具有认证功能外,还具有服务器客 户端(Remote Authentication Dial In User Service Client, RADIUS Client) 的功 能,因而网络设备也被称为网络访问服务器(NetworkAccessServer, NAS), 即将从用户收到的回应封装成RADIUS格式的报文并转发给Radius-Server, 同时把从Radius-Server收到的信息解释出来并转发给用户。
认证服务器通常为RADIUS服务器,认证过程中与认证者配合,为用户 提供认证服务。认证服务器保存了用户的认证信息,例如用户标识、密认证码、 用户认证PC的介质访问控制(Media Access Control, MAC )地址、用户认证 PC的互联网协议(InternetProtocol, IP)地址等信息,其中每个用户具有唯一 的用户标识,该用户标识可以为用户名或用户邮箱。并且一台认证服务器可以
对多台认证者提供认证服务,实现对用户的集中管理。
而目前对IEEE802.lx网络设备的测试中,只测试了网络设备对少量用户 的认证过程,没有对网络设备转发数据流的情况进行测试,并且没有测试网络 设备在认证的过程中对用户的数据流的转发情况,同时也没有对实际网络应用 中的常见数据流的转发进行测试。并且现有的测试方法无法测试在实际网络应 用中大容量的用户下网络设备的状态,即网络设备中央处理器(Central Processing Unit, CPU)及内存的利用率,以及网络设备是否会出现死机等故障, 是否能够对大容量的用户提供认证服务。
发明内容
有鉴于此,本发明实施例提供一种测试网络设备的方法、系统及装置,用 以解决现有技术中无法测试网络设备是否能够正常的转发通过认证的模拟用 户数据流,以及无法测试网络设备对其他常见数据流的转发状况的问题。
本发明实施例提供的一种测试网络设备的方法,包括
测试装置向网络设备发送认证数据流或测试数据流,其中,所述测试数据 流包括模拟用户数据流,所述模拟用户数据流中每个数据包的目的地址为所述 测试装置的地址,源地址为模拟用户的地址;
所述测试装置根据是否在设定时间内接收到所述网络设备转发的测试数 据流,并根据保存的认证服务器对模拟用户的认证信息,判断所述网络设备是 否正常转发所述测试l欠据流;并
所述测试装置比较根据其自身基于端口的网络访问控制协议IEEE 802.1x 协议,对认证数据流中的每个模拟用户进行认证统计的认证结果,和根据所述 网络设备返回的信息统计的认证结果,判断所述网络设备是否对预定数量的模 拟用户提供正常认证。
本发明实施例提供的一种测试系统,包括
测试装置,用于向网络设备发送认证数据流或测试数据,所述测试数据流
包括模拟用户数据流,所述模拟用户数据流中每个数据包的目的地址为所述测
试装置的地址,源地址为模拟用户的地址;根据在设定时间内接收到所述网络 设备转发的测试数据流,及保存的认证服务器对模拟用户的认证信息,判断所 述网络设备是否正常转发所述测试数据;并比较根据其自身基于端口的网络访 问控制协议IEEE802.1x协议,对认证数据流中的每个斗莫拟用户进行认证统计 的认证结果,和根据所述网络设备返回的信息统计的认证结果,判断所述网络 设备是否对预定数量的模拟用户提供正常认证;
网络设备,用于接收所述测试装置发送的测试数据流,根据测试数据流中 每个测试数据包包含的信息,及保存的认证服务器对模拟用户的认证信息,向 所测试装置转发满足要求的测试数据;并将所述测试装置发送的认证数据流发 送到认证服务器,向所述测试装置返回认证服务器对模拟用户的认证结果信 息。
本发明实施例提供的一种测试网络设备的装置,包括
测试仪,用于向网络设备发送测试数据流,其中,所述测试数据流包括沖莫 拟用户数据流,所述才莫拟用户数据流中每个数据包的目的地址为所述测试装置 的地址,源地址为模拟用户的地址;根据所述网络设备返回的测试数据流,及 保存的认证服务器对模拟用户的认证信息,判断所述网络设备是否正常转发所 述测试数据流;
测试终端,用于向网路设备发送生成的认证数据流,根据其自身基于IEEE 802.1x协议对认证数据流中的每个模拟用户进行认证,统计的认证结果,和根 据所述网络设备返回的信息统计的认证结果,判断所述网络设备是否对预定数 量的模拟用户提供正常认证。
本发明实施例提供的测试网络设备的方法,通过在对模拟用户进行认证的 过程中,通过自身统计的认证结果和网络设备返回的认证结果,测试网络设备 对预订数量的模拟用户的认证过程,同时在对模拟用户的认证过程中通过测试 网络设备对模拟用户的数据流的转发情况,测试网络设备对数据流的转发能
力,实现对网络设备数据流转发能力的测试,从而有效的测试网络设备的数据 流的转发能力。
图1为现有技术中正EE802.1X协议测试网络设备的示意图2为本发明实施例提供的测试网络设备的流程图3为本发明实施例提供的测试网络设备的系统结构示意图4为本发明实施例提供的测试装置的结构示意图5为本发明实施例提供的多用户认证的客户端软件的结构示意图6为本发明实施例提供的监控日志信息示意图7为本发明实施例提供的具体的测试网络设备的流程图8为本发明实施例提供的多用户认证的终端认证软件设置示意图。
具体实施例方式
在本发明实施例中为了实现对网络设备转发数据流的状况进行测试,如图 2所示,提供了一种测试网络设备的方法,具体包括以下步骤
S201:测试装置向网络设备发送测试数据流,其中,所述测试数据流包括 模拟用户数据流,所述模拟用户数据流中每个数据包的目的地址为所述测试装 置的地址,源地址为模拟用户的地址。
在本发明实施例中可以在设定时间内,向网络设备发送测试数据流,此设 定时间可以是测试网络设备对所有测试数据流转发完成所需要的时间,也可以 是测试网络设备对所有测试数据流多次转发完成所需要的时间,还可以是根据 测试网络设备的其他性能,例如对大量模拟用户的认证,可以设定此时间为网 络设备认证完所有的模拟用户所需要的时间,或者比认证完所有的模拟用户所 需要的时间更长的时间,具体测试过程中,可以根据需要灵活设置。
S202:所述测试装置根据是否在设定时间内接收到所述网络设备转发的测
试数据流,并根据保存的认证服务器对模拟用户的认证信息,判断所述网络设 备是否正常转发所述测试数据流。
所述测试装置在设定的时间内接收到网络设备转发的模拟用户数据,当在 所述保存的认证服务器对模拟用户的认证信息中,查找到所述模拟用户的源地
址对应的模拟用户信息时,则判断所述网络设备正常转发模拟用户数据包;或 当在所述保存的认证服务器对模拟用户的认证信息中,没有查找到所述模 拟用户的源地址对应的模拟用户信息时,则判断所述网络设备非正常转发模拟 用户数据包。
S203:所述测试装置比较根据其自身基于端口的网络访问控制协议IEEE 802.1x协议,对认证数据流中的每个模拟用户进行认证统计的认证结果,和根 据所述网络设备返回的信息统计的认证结果,判断所述网络设备是否对预定数 量的模拟用户提供正常认证。
测试装置根据其自身配置的IEEE802.1x协议,根据测试数据流中的每个 模拟用户的信息,对每个^^莫拟用户进行认证,并统计认证的结果;同时将认证 数据流发送到网络设备,并统计网络设备返回的认证结果;根据其自身统计的 认证结果及根据网络设备返回的认证结果进行的统计,判断所述网络设备是否 对认证数据流中的预定数量的模拟用户提供正常认证。
其中在具体的对网络设备进行测试的过程中,测试装置向网络设备发送认
证数据流和测试数据流的顺序是任意的,即S203也可以位于S201之前,也可 以位于S202之后。
其中测试数据流还包括攻击数据流。攻击数据流包括源/目的MAC地址全 0/F的报文,TTL = 0/1的IP报文,CRC校验错误的报文,小于64字节和超过 1518字节的报文,组播包,广播包等报文;另外,未认证的模拟用户发送的测 试数据流也可以看作是攻击数据流。
并且该测试网络设备的方法还包括当每个模拟用户数据的源地址,为保 存的通过认证的每个模拟用户的地址时,根据所述测试装置接到的所述网络设
备正常转发的模拟用户数据的数量,及保存的模拟用户认证信息的数量,判断 所述网络设备是否正常转发模拟用户测试数据。
同时该测试网络设备的方法还包括所述测试装置向所述网络设备发送配 置命令;
所述测试装置根据所述网络设备返回的执行结果,检测所述网络设备属性 信息。
配置命令包括监控所述网络设备性能的命令,或控制所述网络设备是否 执行保存的配置文件内容的命令,或控制所述网络设备保存的信息的命令。 监控所述网络设备性能的命令,包括
查看所述网络设备的中央处理器CPU的利用率,或查看所述网络设备内 存利用率。
监控装置根据网络设备返回的CPU的利用率,或内存利用率,判断网络 设备处理数据流的能力,其中该数据流包括,认证数据流和测试数据流,其中 测试数据流包括,模拟用户数据流和攻击数据流。
控制所述网络设备是否执行保存的配置文件内容的命令,包括
控制所述网络设备执行保存的配置文件的IEEE802.1x协议内容,或控制 所述网络设备不执行保存的所述配置文件的IEEE802.1x协议内容。
控制所述网络设备保存的信息的命令,包括
查看所述网络设备保存的通过认证的模拟用户的认证信息,或删除所述网 络设备的MAC表项、通过认证的模拟用户的认证信息。
同时网络设备在其设备异常时,例如死机时,也会向测试装置输出设备异 常信息,测试装置也会监控并保存此网络设备输出的设备异常信息。
并且在本发明实施例中测试装置中还保存有其本身以及认证服务器、网络 设备的配置文件,其中认证服务器的配置文件中包括,每个模拟用户的认证信 息字段;网络设备的配置文件包括,网络设备遵循的协议信息,在本发明实施 例中即为正EE802.1x协议信息;测试装置的配置文件包括,认证数据流和测 试数据流,其中该认证数据流中包括预定数量的才莫拟用户的认i正信息。
其中,测试装置的配置文件中每个模拟用户的认证信息包含的认证信息字 段,与认证服务器的配置文件中包含的认证信息字段相同,则认证服务器可以 对测试装置的模拟用户提供认证,例如当测试装置中保存的每个模拟用户的认
证信息为用户标识、用户密码和用户PC的MAC地址,并且认证服务器中保 存的认证信息字段也为用户标识、用户密码和用户PC的MAC地址时,则认 证服务器根据接收到的认证信息与自身保存的认证信息字段进行认证。当认证 服务器接收到的认证信息与保存的认证信息字革更不同时,不能提供认证服务, 即如果测试装置的配置文件中模拟用户的认证信息字段包含用户标识,认证密 码、用户PC的MAC地址以及用户PC的IP地址,而认证服务器的配置文件 中保存的每个模拟用户的认证信息字段为认证密码、用户PC的MAC地址以 及用户PC的IP地址,则认证服务器不能为测试装置包含该认证信息字段的模 拟用户提供认证服务。
如图3所示,在本发明实施例中测试系统包括,测试装置30、网络设备 31和认证服务器32。其中,网络设备31连接在测试装置30和认证服务器32 之间。其中,箭头的方向表示数据流的流向,网络设备31以及认证服务器32 都从测试装置30中取出相应的配置文件。测试装置30根据其保存的其自身的 配置文件,生成测试数据流,其中测试数据流包括模拟用户数据流和/或攻击数 据流,每个模拟用户数据流中包括多个模拟用户数据包,其中每个模拟用户数 据包的目的地址为测试装置30的地址,源地址为模拟用户的地址;当测试数 据流为模拟用户数据流时,如果在设定时间内接收到网络设备31转发的该才莫 拟用户数据流,根据模拟用户数据包的源地址信息,及保存的认证服务器对模 拟用户的认证信息,判断网络设备31是否正常转发模拟用户数据流。
当在所述保存的认证服务器对模拟用户的认证信息中,查找到模拟用户数 据包的源地址对应的模拟用户信息时,则判断所述网络设备正常转发所述模拟 用户数据流;或
当测试装置在保存的认证服务器对模拟用户的认证信息中,没有查找到模
拟用户数据包的源地址对应的模拟用户信息时,则判断网络设备31非正常转 发模拟用户数据流。
同时由于测试装置30向网络设备31发送的包括源地址的每个模拟用户数 据包,分别与每个^^莫拟用户的地址相对应。所以测试装置30 4艮据其保存的通 过认证服务器32认证的模拟用户数量,以及接收到的正常转发的模拟用户数 据包的数量,判断网络设备31转发模拟用户数据流的能力是否正常。
并且测试装置根据保存的自动化配置脚本生成对网络设备的配置命令。其 中,该配置命令包括监控所述网络设备性能的命令,或控制所述网络设备是否 执行保存的配置文件内容的命令,或控制所述网络设备保存的信息的命令。配 置命令可以为在整个的测试过程中,采用上述配置命令的任意顺序组合,不断
的向网络设备发送。网络设备31执行接收到的配置命令,并向测试装置30返 回相应的执行结果,同时测试装置30发送的配置命令以及网络设备31返回的 执行结果都被测试装置30记录到测试日志中。同时测试装置30还接收网络设 备31输出的设备异常信息。
测试装置30根据网络设备返回的对监控所述网络设备性能的命令的执行 结果,判断网络设备处理数据流的能力。
并且测试装置30根据其向网络设备31发送的每个模拟用户的认证信息, 根据其自身保存的正EE 802.1x协议对每个模拟用户进行认证,统计能够通过 认证的模拟用户的数量,同时测试装置30根据接收到的网络设备31返回的认 证服务器的认证结果进行统计,并根据自身认证的统计结果,具体分析网络设 备31是否对该预定数量的模拟用户提供正常认证。
其中,由于测试装置30中自行统计了能够通过认证的模拟用户的数量, 并且统计了网络设备31返回的通过认证服务器32认证的模拟用户数据,同时 还记录了网络设备31正常转发了模拟的各个用户发送的数据流,同时测试日 志中还可能记录网络设备31通过认证的模拟用户的认证信息,因此可以根据
测试装置30中记录的结果,分析网络设备31的是否能够正常的转发数据流, 并且判断该网络设备31是否能够为该预定数量的模拟用户提供认证服务。
在本发明实施例中为了实现对网络设备的测试,提供了 一种测试网络设备 的装置,测试仪401,用于向网络设备发送测试数据流,其中,所述测试数据 流包括模拟用户数据流,所述模拟用户数据流中每个数据包的目的地址为所述 测试装置的地址,源地址为模拟用户的地址;根据所述网络设备返回的测试数 据流,及保存的认证服务器对模拟用户的认证信息,判断所述网络设备是否正 常转发所述测试数据流;
测试终端400,用于向网路设备发送生成的认证数据流,根据其自身基于 IEEE802.1x协议对认证数据流中的每个模拟用户进行认证,统计的认证结果, 和根据所述网络设备返回的信息统计的认证结果,判断所述网络设备是否对预 定数量的模拟用户提供正常认证。
如图4所示,该测试装置还包括监控终端404。并且,该测试装置30还包 括文件服务器402和集线器403。
测试终端400连接网络设备的受控端口实现对网络设备模拟用户数容量的 测试,可以根据网络设备的标定的用户数容量或超过该标定用户容量的容量, 设置测试终端400配置文件中认证数据流,该认证数据流中包括预定数量的模 拟用户的认证信息。测试终端400将其根据配置文件生成的认证数据流发送到 网络设备,同时根据自身保存的IEEE802.1x协议自动统计每个^t拟用户是否 认证通过,并通过网络设备的非受控端口接收统计网络设备返回的认证服务器 的认证结果。并验3正在网络设备的合法用户数量,还没有达到标定的可以认证 的用户数量的情况下,非法用户无法认证通过,其中非法用户指用户的认证信 息与认证服务器上保存的用户认证信息不相同,例如测试终端400输入的某个 用户的用户标识在服务器中没有保存,或认证的密码不正确等。并且可以验证 在网络设备的合法用户达到标定的可以认证用户数量的上限时,合法以及非法 用户都不能通过认i正。例如网络设备标定的用户容量是2000个,当该网络i殳
备应经对2000个认证通过的用户提供服务时,如果测试终端向网络设备发送 第2001个模拟用户的认证信息,并且该模拟用户为合法用户,此时网络设备 也不能为测试终端的该才莫拟用户提供认证服务。
为了实现对网络设备转发数据流情况的测试,采用测试仪401连接网络设 备的受控端口,根据每个模拟用户的信息得到模拟用户数据流,其中该模拟用 户数据流中每个模拟用户数据包的源地址为该模拟用户的地址,目的地址为测 试仪401的地址,或测试仪401保存的地址。测试仪401根据接收到的模拟用 户数据流,检测该模拟用户数据流中每个模拟用户数据包的源地址信息,并根 据保存的认证服务器对模拟用户的认证信息,判断网络设备是否正常转发该模 拟用户数据流。同时根据实际的网络情况模拟攻击数据流,向网络设备发送攻 击数据流。当测试仪401正确接收到网络设备返回的每个模拟用户数据包后, 获得每个模拟用户数据包中包含的模拟用户信息,根据该模拟用户是否通过认 证判断网络设备是否正常转发该数据;同时当测试仪401正确接收到的模拟用 户数据包,对应该模拟用户数据包的模拟用户没有通过认证服务器的认证时, 则判断网络设备转发该模拟用户数据的能力不正常。
并且该测试仪401中保存的模拟用户的认证信息,也可以根据配置文件生 成,即测试仪和网络设备中都保存有一份该模拟用户的认证信息,根据该模拟 用户的认证信息对数据进行转发和测试判断。
当然在实际的测试过程中也可以选择一部分的模拟用户,模拟该部分的模 拟用户数据流,具体的测试过程可以根据实际的需要进行选择。
并且为了使测试的过程更加接近实际情况,在本发明实施例中采用集线器 403将测试仪401和测试终端400的测试数据进行再生整形、放大,将整形放 大后的测试数据通过网络设备的受控端口发送到该网络设备中。采用集线器 403可以扩大网络的传输距离,使测试的过程更加接近实际情况。
其中,文件服务器402向网络设备和认证服务器提供配置文件,同时文件 服务器402还向测试终端400、测试仪401、集线器403以及监控终端404提
供配置文件,在图4中用箭头表示数据流流向。并且监控终端404持续向网络 设备发送配置命令,网络设备执行该配置命令向监控终端404返回执行结果, 其中该配置命令也可以为周期的性的向监控终端404返回监控结果,例如该配 置命令为每隔10秒向监控终端返回其CPU的利用率。
该监控终端404包括存储模块,用于存储监控网络设备性能的配置命令, 或控制所述网络设备是否执行保存的配置文件内容的配置命令,或控制所述网 络设备保存的信息的配置命令;
发送模块,用于向网络设备发送存储的配置命令。
监控网络设备性能的配置命令包括存储查看所述网络设备的中央处理器 CPU的利用率,或查看所述网络设备内存利用率的配置命令。并且根据监控终 端404返回的该信息判断网络设备对数据流的处理能力,即同时处理认证数据 流和测试数据流的能力。
控制所述网络设备是否执行保存的配置文件内容的配置命令包括存储控 制所述网络设备执行保存的配置文件的IEEE802.1x协议内容,或控制所述网 络设备不执行保存的所述配置文件的正EE802.1x协议内容的配置命令。
控制所述网络设备保存的信息的配置命令包括存储查看所述网络设备保 存的通过认证的模拟用户的认证信息,或删除所述网络设备的MAC表项、通 过认证的模拟用户的认证信息的配置命令。
在本发明实施例中测试仪测试网络设备转发数据流的能力,使认证后的模 拟用户都能可靠的访问网络,此测试方法能够有效的测试出网络设备潜在的故 障,从而提高网络设备的性能。同时在本发明实施例中测试终端对网络设备的 用户容量进行测试,同时还可以测试在实际的网络中大容量用户下网络设备的 状态,避免了在大量用户同时认证时网络设备出现死机的状况,因此,此网络 设备的测试方法能够提高网络设备的稳定性和可靠性。
并且在本发明实施例中测试仪是指由硬件设备和/或应用于硬件设备上的 应用软件构成的装置,可以是像IXIA , SmartBits等设备。像IXIA测试仪由IXIA硬件设备,比如IXIA1600T机箱和应用于硬件设备上的应用软件,比如 IxExplorer, IxNetwork等构成,可以对各种网络接口类型才莫块上的2-4层流量 的生成和分析全面地控制,该网络接口包括以太网、10 GB以太网、POS( Packet Over SONET)、异步传输才莫式(Asynchronous Transfer Mode, ATM)、帧中继 等等。IXIA的每个测试端口可以单独配置自定义的数据流、过滤条件和捕获 容量。提供完善的统计数据和图形报表,可以对被测设备(Device Under Test, DUT)的性能和功能进行深入分析。测试仪会根据下载的配置文件的信息自动 生成测试数据流。同时测试仪也可以采用软件方式实现,即实现发送数据包的 软件。在具体的测试过程中可以根据需要灵活的配置。
在通过硬件方式实现时,测试仪的一个测试端口通过五类双绞线或光纤线 连接在集线器上,另一个端口通过五类双绞线或光纤线连接在网络设备的非受 控端口上。
由于一般的客户端认证软件是对单用户进行认证的软件,即一台客户上认 证一个用户,不允许同时认证多个用户,因此当一台测试终端上安装有一个客 户端认证软件时,只能才莫拟一个用户进行认证。在本发明实施例中为了实现在 一台测试终端上实现模拟大量用户的测试,采用了多用户认证的客户端认证软 件。在测试终端中安装有多用户认证的客户端认证软件,此多用户认证的客户 端认证软件,根据从文件服务器获取的配置文件,此配置文件中保存有模拟的 大量用户的认证信息字段,即用户标识,认证密码和用户PC的MAC地址, 还可以包括用户PC的IP地址。多用户认证的客户端认证软件工作时,会依照 其本身设置的测试过程,顺序获取每个模拟用户的用户标识,认证密码和用户 PC的MAC地址,还可以包括用户PC的IP地址,依次进行认证。当一个模 拟用户认证过程结束后,多用户认证的客户端认证软件会自动统计该模拟用户 是否认证通过,同时进行下一个模拟用户的认证。因此,在测试终端中设置该 多用户认证的客户端认证软件的测试过程,即可模拟出大量用户的认证过程, 从而达到测试网络设备的用户容量的目的。
如图5所示,在本发明实施例中多用户认证的客户端认证软件其功能实现 包括以下几个部分参数存储和结果显示模块501、参数提供模块502和客户 端认证模块503,并且各个模块之间互相连接。
其中,参数存储和结果显示模块501可以完成多用户认证的客户端认证软 件和测试人员的交互,参数存储和结果显示模块501保存测试人员设置的每个 模拟用户的认证信息字段同时还可以保存设置的其他信息,例如用户标识,用 户个数,认证密码,用户PC的MAC地址,用户PC的IP地址,同时还可以 根据测试的需要设置认证循环周期等。该模块同时接收客户端认证模块503的 认证信息,统计客户端认证模块503返回的认证结果,将统计结果显示给测试 人员,显示的统计结果包括,模拟用户成功认证的个数,失败认证的个数,具 体每个模拟用户是否认证成功等结果。
并且,参数存储和结果显示模块501的模拟用户认证信息的数量可以根据 测试要求设置,例如为4000个,2000个等,模拟的用户认证信息字段包括用 户标识,用户个数,认证密码,用户PC的MAC地址和用户PC的IP地址。 通过测试人员对多用户认证的客户端认证的操作,多用户认证客户端认证软件 会自动将设置的用户认证信息以文本文件的形式保存下来。只要将此文本文件 导出,存放到文件服务器402上,具体测试过程中,利用多用户认证的客户端 认证软件,从文件服务器402上下载并打开保存的文本文件,就会自动导入设 置的用户认证信息。
参数提供模块502,接收参数存储和结果显示模块501发送的模拟用户的 认证信息等数据,并根据客户端认证模块503的模拟用户的认证参数信息,向 客户端认证模块503提供对应的模拟用户的认证信息字段。例如该参数提供模 块502接收到的参数存储和结果显示模块501发送的模拟用户的认证信息,包 括,用户标识,用户个数,认证密码,用户PC的MAC地址和用户PC的IP 地址,而客户端认证模块503需要的模拟用户的认证参数信息包括用户标识, 认证密码和用户PC的MAC地址,则参数提供模块502向该客户端认证模块 503发送包括用户标识,认证密码和用户PC的MAC地址的i人证信息字^:。其 中该客户端认证模块503保存的模拟用户的认证信息中包含的认证信息字段与 认证服务器32中保存的认证信息字段相同,即认证服务器32中也保存有模拟 用户的用户标识,认证密码和用户PC的MAC地址信息。
客户端认证模块503,向参数提供模块502发送模拟用户的认证参数信息, 并根据参数提供模块502提供的认证所需要的模拟用户的认证信息字段以及 IEEE 802.1x协议进行认证,并将认证结果返回给参数存储和结果显示模块 501。
在本发明实施例中为了实现对网络设备的监控,将网络设备的控制台 CONSOLE端口,通过电缆连接至监控终端主板上的串行接口 ,其中, CONSOLE端口是网络设备提供的专门用于对网络设备进行配置和管理的端 口。监控终端上运行监控软件,监控网络设备。
实际测试时,从文件服务器下载自动化脚本,将该自动化脚本载入监控软 件。所谓自动化脚本文件可以是采用vbScript, JavaScript等自动化脚本语言编 写的文本文件,内容主要包含对网络设备进行自动化配置的周期性的配置命 令,该配置命令包括监控所述网络设备性能的命令,或控制所述网络设备是否 执行保存的配置文件内容的命令,或控制所述网络设备保存的信息的命令。其 中,监控所述网络设备性能的命令,包括查看所述网络设备的中央处理器 CPU的利用率,或查看所述网络设备内存利用率。控制所述网络设备是否执行 保存的配置文件内容的命令,包括控制所述网络设备执行保存的配置文件的 IEEE802.1x协议内容,或控制所述网络设备不执行保存的所述配置文件的 IEEE802.1x协议内容。控制所述网络设备保存的信息的命令,包括查看所述 网络设备保存的通过认证的模拟用户的认证信息,或删除所述网络设备的 MAC表项、通过认证的模拟用户的认证信息。
监控软件载入自动化脚本后会自动执行脚本中的命令,向网络设备发送配 置命令,网络设备执行该配置命令对应的操作,输出相应的执行结果给测试装
置,并且网络设备在设备出现异常时也输出相应的设备异常信息给测试装置。 其中输入,输出的结果都记录到监控日志中,且此监控日志保存在测试装置中。 如图6所示,监控日志会被监控软件以文本文件的格式实时记录下来,可以在 记录每一条输入,输出信息的同时自动记录其时间,说明这条记录信息记录的 时刻。
文件服务器存放网络设备相应的配置文件,测试仪测试数据的配置文件, 监控终端自动运行的脚本和测试监控日志,测试终端的配置文件,认证服务器 上模拟用户的认证信息配置文件,并且该认证服务器的配置文件中的模拟用户 的认证信息字段,与测试终端的配置文件中的模拟用户的认证信息字段相同,
例如认证服务器的配置文件保存了模拟用户的用户标识、认证密码、用户PC 的MAC地址以及用户PC的IP地址,则测试终端的配置文件中同样包含模拟 用户的用户标识、认证密码、用户PC的MAC地址以及用户PC的IP地址, 当认证服务器的配置文件保存了模拟用户的用户标识、认证密码和用户PC的 MAC地址时,则测试终端的配置文件中同样包含^t拟用户的用户标识、认i正 密码和用户PC的MAC地址,即保证测试终端向网络设备发送的测试数据能 够在认证服务器中取得认证。在本发明实施例中文件服务器可以由监控终端充 当,即将配置文件保存在监控终端上。
如图7所示,下面通过一个具体的实施例,对测试网络i殳备的方法进行详 细的说明,具体包括以下步骤
步骤701:测试终端的多用户认证的客户端软件根据从文件服务器下载的 相应的配置文件,导入待测试的认证数据流,该认证数据流中包含预定数量的 模拟用户的认证信息,将该预定数量的模拟用户的认证信息依次发送到网络设 备,并根据IEEE802.1x协议,及认证数据流中包含的每个模拟用户的认证信 息,对每个模拟用户进行认证,并自行统计通过验证的模拟用户的数量,以及 没有通过验证的模拟用户的数量。
其中模拟用户的认证信息包括,用户标识、认证密码、用户PC的MAC
地址和用户PC的IP地址的认证信息字段,且认证服务器中保存的模拟用户的 认证信息字段包含用户标识、认证密码和用户PC的MAC地址和用户PC的IP 地址。如图8所示为多用户认证的客户端软件模拟的预定数量的模拟用户的认 证信息的效果图。
在本发明实施例中,预定数量的模拟用户为4000个,即模拟4000个模拟 用户,用户标识在此为才莫拟用户名从1x00000001开始依次递增4000个,到 1x00004000结束。认证密码统一为000000即6个0,用户PC的MAC地址依 次从0000.0000.0001开始递增4000个,到OOOO.OOOO.OFAO结束。用户PC的 IP地址从172.16.0.1/20开始递增4000个,到172.16.15.250/20结束。例如,第 一个模拟用户的认证信息为1x00000001 、 000000 、 0000.0000.0001和 172.16.0.1/20。
步骤702:测试仪根据从文件服务器下载的相应的配置文件,依照该配置 文件的信息在一个测试流程周期内持续向网络设备发送测试数据流,根据正确 接收到的网络设备返回的数据流,判断网络设备是否正常转发数据流。
其中,测试流程周期为多用户认证的客户端i^证软件对预定数量的模拟用 户全部认证完毕所需要的时间。并且在本发明实施例中此测试流程周期可以根 据测试需要灵活设定。
该数据流可以是模拟认证用户的正常交换的IP数据流,例如模拟用户为 4000个,即模拟了 4000个模拟用户数据,对每个模拟用户模拟其发送的IP数 据,共4000条IP数据。其中,每一条IP数据才莫拟的源MAC字段和源IP字 段与每个模拟用户的认证信息中包含的MAC字段和IP字段一致,目的MAC 字段,目的IP字段为测试仪连接在网络设备非受控端口上模拟的接收用户的 源MAC字段,源IP字段,即测试仪的地址。比如,第一条IP数据的源MAC 字段为0000.0000.0001,源IP字^爻为172.16.0.1,目的MAC字段为 0000.1000.0000,目的IP字段为192.168.1.1,表明该认证信息中有一个模拟用 户PC的MAC字段为0000.0000.0001, IP字段为172.16.0.1,且该测试仪连
接在网络设备非受控端口上模拟的接收用户的源MAC字段为0000.1000.0000, 源IP字段为192.168.1.1,并且在本发明实施例中模拟的接收用户可以为一个 也可以为多个。
釆用此测试方式,可以测试网络设备是否能够正确转发认证通过的才莫拟用 户数据,当此;f莫拟用户认证通过时,则可以转发此^t拟用户数据,不能转发认 证未通过的模拟用户数据,当然可以采用其他的数据流的形式,测试网络设备 是否正常转发数据流。
此测试数据流也可以是攻击数据流,例如包括源MAC地址和目的MAC 地址的全0/F的报文,生存期限(Time to Live, TTL )为0/1的IP报文,循环 冗余(Cyclical Redundancy Check, CRC)校验错误的报文,小于64字节和超 过1518字节的报文,组播包,广播包等报文。其中,每个攻击数据的目的MAC 地址和目的IP地址为非该测试仪的MAC地址和IP地址。/人而测试网络i殳备 对攻击数据的处理能力,并且当测试仪接收到攻击数据流时,表明网络设备转 发数据流的功能不正常。同时监控网络设备处理攻击数据流时CPU及内存的 使用状况,判断网络设备对测试数据流和认证数据流的处理能力。当然在实际 的测试过程中可以选择此攻击数据流的数量,从而达到合理测试的目的。
其中步骤701和步骤702的顺序可以互换。
步骤703:监控终端根据从文件服务器下载的相应的配置文件,执行自动 化脚本,对网络设备输入自动化配置的周期性的配置命令。
这些配置命令可以是监控所述网络设备性能的命令,或控制所述网络设备 是否执行保存的配置文件内容的命令,或控制所述网络设备保存的信息的命 令。监控所述网络设备性能的命令,包括查看所述网络设备的中央处理器 CPU的利用率,或查看所述网络设备内存利用率。控制所述网络设备是否执行 保存的配置文件内容的命令,包括控制所述网络设备执行保存的配置文件的 IEEE802.1x协议内容,或控制所述网络设备不执行保存的所述配置文件的 IEEE802.1x协议内容。控制所述网络设备保存的信息的命令,包括查看所述
网络设备保存的通过认证的模拟用户的认证信息,或删除所述网络设备的
MAC表项、通过认证的模拟用户的认证信息。并且在具体的监控过程中,可 以釆用上述任意一个或者几个命令的组合对网络设备进行周期性监控。同时在 对网络设备进行控制的过程中,实时记录网络设备执行的结果,将输入、输出 结果,保存在测试日志中。
其中步骤703和步骤702的顺序可以互换。
步骤704:测试流程结束后,分析测试结果。
对数据流转发能力的测试包括
当测试数据流为模拟用户数据流时,如果测试仪在"^殳定时间内接收到网络 设备转发的该模拟用户数据流,根据模拟用户数据包的源地址信息,及保存的 认证服务器对模拟用户的认证信息,判断网络设备是否正常转发该模拟用户数 据流;
并且当每个模拟用户数据的源地址,为保存的通过认证的每个模拟用户的 地址时,根据测试仪接收到的网络设备正常转发的模拟用户数据的数量,及保 存的模拟用户认证信息的数量,判断网络设备是否正常转发模拟用户测试数 据。
同时由于测试终端中多用户认证的客户端认证软件可以根据IEEE 802.1x 协议对每个模拟用户进行认证,并统计认证结果,同时测试终端还接收并统计 网络设备返回的经认证服务器认证后的结果,因此测试终端可以根据上述两个 统计结果判断网络设备是否能够对预定数量的模拟用户提供正确的认证服务。 并且由于网络设备有一定的标定用户容量,当测试终端向网络设备发送的待认 证模拟用户的数量超过其标定容量时,根据测试终端接收到的认证结果判断, 是否网络设备在此情况下对任何模拟用户都不能提供认证服务。
根据网络设备返回的CPU的利用率、或内存的利用率,判断网络设备对 数据流的处理能力。
在测试过程中,通过网络设备输出的结果。分析网络设备是否出现死机,
内存不足,控制台挂起,模拟用户无法认证及其他出错信息,同时根据测试输 出的结果还可以对测试过程进行改进,优化测试软件的测试方法,从而达到良 好的测试效果。
本发明实施例提供的测试网络设备的方法,通过在对才莫拟用户进行认证的 过程中,通过自身统计的认证结果和网络设备返回的认证结果,测试网络设备 对预订数量的模拟用户的认证过程,同时在对模拟用户的认证过程中通过测试 网络设备对模拟用户的数据流的转发情况,测试网络设备对数据流的转发能 力,实现对网络设备数据流转发能力的测试,从而有效的测试网络设备的数据 流的转发能力。
明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种测试网络设备的方法,其特征在于,包括测试装置向网络设备发送测试数据流或认证数据流,其中,所述测试数据流包括模拟用户数据流,所述模拟用户数据流中每个数据包的目的地址为所述测试装置的地址,源地址为模拟用户的地址;所述测试装置根据是否在设定时间内接收到所述网络设备转发的测试数据流,并根据保存的认证服务器对模拟用户的认证信息,判断所述网络设备是否正常转发所述测试数据流;并所述测试装置比较根据其自身基于端口的网络访问控制协议IEEE 802.1x协议,对认证数据流中的每个模拟用户进行认证统计的认证结果,和根据所述网络设备返回的信息统计的认证结果,判断所述网络设备是否对预定数量的模拟用户提供正常认证。
2、 如权利要求1所述的方法,其特征在于,所述测试数据流还包括攻 击凄t据流。
3、 如权利要求l所述的方法,其特征在于,所述方法进一步包括 当每个模拟用户数据的源地址,为保存的通过认证的每个模拟用户的地址时,当所述测试装置接到的所述网络设备正常转发的模拟用户数据的数量,与 保存的模拟用户认证信息的数量相等时,则判断所述网络设备正常转发模拟用 户凄t据;或当所述测试装置接到的所述网络设备正常转发的模拟用户数据的数量,与 保存的模拟用户认证信息的数量不相等时,则判断所述网络设备非正常转发模 拟用户数据。
4、 如权利要求l所述的方法,其特征在于,所述方法还包括 所述测试装置向所述网络设备发送配置命令;所述测试装置根据所述网络设备返回的执行结果,检测所述网络设备属性 信息。
5、 如权利要求4所述的方法,其特征在于,所述方法进一步包括所述 测试装置向网络设备发送监控所述网络设备性能的命令,判断所述网络设备处 理数据流的能力。
6、 如权利要求5所述的方法,其特征在于,所述监控所述网络设备性能 的命令包括监控所述网络设备中央处理器CPU的利用率、或监控所述网络设备内存 的利用率。
7、 一种测试系统,其特征在于,包括测试装置,用于向网络设备发送认证数据流或测试数据,所述测试数据流 包括模拟用户数据流,所述模拟用户数据流中每个数据包的目的地址为所述测 试装置的地址,源地址为模拟用户的地址;根据在设定时间内接收到所述网络 设备转发的测试数据流,及保存的认证服务器对模拟用户的认证信息,判断所 述网络设备是否正常转发所述测试数据;并比较根据其自身基于端口的网络访 问控制协议IEEE 802.lx协议,对认证数据流中的每个才莫拟用户进行认证统计 的认证结果,和根据所述网络设备返回的信息统计的认证结果,判断所述网络 设备是否对预定数量的模拟用户提供正常认证;网络设备,用于接收所述测试装置发送的测试数据流,根据测试数据流中 每个测试数据包包含的信息,及保存的认证服务器对模拟用户的认证信息,向 所测试装置转发满足要求的测试数据;并将所述测试装置发送的认证数据流发 送到认证服务器,向所述测试装置返回认证服务器对模拟用户的认证结果信 台
8、 如权利要求7所述的系统,其特征在于,所述系统还包括 认证服务器,用于对模拟用户认证,向所述网络设备返回模拟用户的认证信息。
9、 一种测试网络设备的装置,其特征在于,包括测试仪,用于向网络设备发送测试数据流,其中,所述测试数据流包括模 拟用户数据流,所述模拟用户数据流中每个数据包的目的地址为所述测试装置的地址,源地址为模拟用户的地址;根据所述网络设备返回的测试数据流,及 保存的认证服务器对模拟用户的认证信息,判断所述网络设备是否正常转发所 述测试lt据流;测试终端,用于向网路设备发送生成的认证数据流,根据其自身基于IEEE 802.1x协议对认证数据流中的每个模拟用户进行认证,统计的认证结果,和才艮 据所述网络设备返回的信息统计的认证结果,判断所述网络设备是否对预定数 量的模拟用户提供正常认证。
10、 如权利要求9所述的装置,其特征在于,所述测试终端包括 参数存储和结果显示模块,用于保存每个才莫拟用户的认证信息字段,该认证信息字段包括,用户标识、认证密码、用户个人电脑PC的介质访问控制 MAC地址和用户PC的互联网协议IP地址,统计显示客户端认i正模块返回的 认证结果;参数提供模块,用于根据客户端认证模块发送的认证需要的认证信息字 段,从所述参数存储和结果显示模块获取对应的认证信息字段,向所述客户端 认证模块提供该字段;客户端认证模块,用于向所述参数提供单元发送认证需要的认证信息字 段,根据接收的所述认证信息字段和正EE802.1x协议进行认证,将认证结果 返回给所述参数存储和结果显示模块。
11、 如权利要求9所述的装置,其特征在于,所述装置还包括 监控终端,用于向所述网络设备发送配置命令,并根据接收的所述网络设备返回的执行结果,检测所述网络设备属性信息。
全文摘要
本发明公开了一种测试网络设备的方法,用以解决现有技术中没有对网络设备的数据流转发能力的测试问题。该方法包括测试装置向网络设备发送测试数据流和认证数据流,测试数据流包括模拟用户数据流,每个模拟用户数据包的目的地址为测试装置地址,源地址为模拟用户地址;测试装置根据是否在设定时间内接收到网络设备转发的测试数据流,根据保存的认证服务器对模拟用户的认证信息,判断网络设备是否正常转发所述测试数据流;根据测试装置本身统计的认证结果和网络设备返回的认证结果,判断网络设备是否对预定数量的模拟用户提供正常认证。本发明还提供了一种测试网络设备的系统和装置。如本发明提出的方案,实现对网络设备转发数据流能力的测试。
文档编号H04L9/32GK101360015SQ20081011929
公开日2009年2月4日 申请日期2008年9月2日 优先权日2008年9月2日
发明者杨敬民 申请人:北京星网锐捷网络技术有限公司