实现对网络隔离产品性能进行测试控制的系统及方法与流程

本发明涉及通信技术领域，尤其涉及产品性能测试技术领域，具体是指一种实现对网络隔离产品性能进行测试控制的系统及方法。

背景技术：

国家互联网信息办公室联合信息化部、公安部、国家认证认可监督管理委员会等部门于2017年发布了一批网络关键设备和网络安全专用产品的目录，目录内的设备和产品需按照国家标准的要求进行强制认证和检测。网络安全产品—安全隔离与信息交换产品(网络隔离产品)出现在本次公布的目录之内，且在目录中给出了网络隔离产品进入网络安全专用产品需要具备的条件。条件中明确的对网络隔离产品性能进行了要求，即吞吐量≥1gbps，系统延时≤5ms。

针对网络隔离产品测试中，增加的性能测试要求，可以使用测试仪表对被测网络隔离产品进行吞吐量和系统延时的测试，但是测试仪表价格昂贵，不易获取，且测试仪表支持的协议类型有限，更新周期长。对于一些诸如应用于工控行业的网络隔离产品，测试仪表无法发出产品支持的测试报文。本发明使用pc机和交换机搭建测试系统，在pc机上部署相应的测试程序，将测试程序产生的测试报文发送至被测网络隔离产品，经被测产品处理后，将测试报文返回给测试pc机，由pc机接收、记录和统计测试报文，从而计算出被测网络隔离产品的吞吐量和系统延时，解决网络隔离产品的性能测试问题。

技术实现要素：

本发明的目的是克服了上述现有技术的缺点，提供了一种满足高性能测试要求、操作简便、适用范围较为广泛的实现对网络隔离产品性能进行测试控制的系统及方法。

为了实现上述目的，本发明的实现对网络隔离产品性能进行测试控制的系统及方法如下：

该实现对网络隔离产品性能进行测试控制的系统，其主要特点是，所述的系统包括：

物理pc机组，用于发送、接收和捕获测试报文；

交换机，与所述的物理pc机组相连接，用于转发测试报文，并能够对测试报文进行监听和镜像；

被测网络隔离产品，与所述的交换机相连接，用于对该交换机发送的测试报文返回给所述的交换机；

较佳地，所述的物理pc机组包括：

第一物理pc机，与所述的交换机相连接，用于配置数据报文发送程序，并发送数据报文的带宽；

第二物理pc机，与所述的交换机相连接，用于配置数据报文接收程序，并对接收到的数据报文进行带宽统计；

第三物理pc机，与所述的交换机相连接，用于配置数据报文捕获和记录程序，并对捕获到的数据报文进行分析和保存。

较佳地，所述的交换机包括5个物理接口，其中2个物理接口与所述的被测网络隔离产品相连接，其余的3个物理接口分别与第一物理pc机、第二物理pc机和第三物理pc机相连接。

较佳地，所述的被测网络隔离产品包括第一安全域和第二安全域，分别与所述的交换机相连接，用于将所述的第一物理pc机发出的数据报文处理后将其返回至第二物理pc机。

较佳地，与所述的第三物理pc机相连接的物理接口接收所述的被测网络隔离产品的数据报文的镜像信息。

该基于上述系统实现对网络隔离产品性能测试功能的方法，其主要特点是，所述的方法包括以下步骤：

(1)所述的第一物理pc机的报文发送程序向所述的第一安全域发送测试报文；

(2)所述的第一安全域收到所述的第一物理pc机发送的测试报文，处理并发送至第二安全域；

(3)所述的第二安全域将处理后的测试报文发送至所述的第二物理pc机；

(4)所述的交换机将发送至第一安全域的数据报文和接收到的第二安全域的数据报文进行监听，并镜像至所述的第三物理pc机，再计算系统延时。

较佳地，所述的步骤(1)具体包括以下步骤：

(1.1)所述的第一物理pc机将测试报文发送至与其网卡接口连接的所述的交换机的物理接口上；

(1.2)所述的交换机根据测试报文的目的地址或路由协议，将测试报文通过与所述的第一安全域相连的物理接口发送至被测网络隔离产品。

较佳地，所述的步骤(2)具体包括以下步骤：

(2.1)配置所述的被测网络隔离产品的内部数据报文转发策略；

(2.2)将第一安全域接收到的数据报文转发至第二安全域，并且不设置任何数据报文转发的带宽阈值。

较佳地，所述的步骤(3)具体包括以下步骤：

(3.1)所述的交换机与第二安全域相连的物理接口接收所述的网络隔离产品处理后发出的测试报文；

(3.2)所述的交换机根据测试报文的目的地址，将测试报文转发至与第二物理pc机相连的物理接口。

较佳地，所述的步骤(4)具体包括以下步骤：

(4.1)所述的第二物理pc机接收到测试报文后进行带宽统计，并计算被测网络隔离产品的吞吐量；

(4.2)所述的第三物理pc机接收到测试报文后进行捕获和记录，并计算出同一个或者具有相同数据包头部的数据报文进入第一安全域和离开第二安全域的时间差值。

采用了本发明的实现对网络隔离产品性能进行测试控制的系统及方法，通过在物理pc机上部署测试程序，由交换机转发至被测网络隔离产品，使用统计和计算的方法测试出了网络隔离产品的吞吐量和系统延时，解决了网络隔离产品性能的测试问题。

附图说明

图1为本发明的实现对网络隔离产品性能进行测试控制的系统的连接拓扑结构图。

图2为本发明的实现对网络隔离产品性能测试功能的方法的流程图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

该实现对网络隔离产品性能进行测试控制的系统，其中，所述的系统包括：

物理pc机组，用于发送、接收和捕获测试报文；

交换机，与所述的物理pc机组相连接，用于转发测试报文，并能够对测试报文进行监听和镜像；

被测网络隔离产品，与所述的交换机相连接，用于对该交换机发送的测试报文返回给所述的交换机；

作为本发明的优选实施方式，所述的物理pc机组包括：

第一物理pc机，与所述的交换机相连接，用于配置数据报文发送程序，并发送数据报文的带宽；

第二物理pc机，与所述的交换机相连接，用于配置数据报文接收程序，并对接收到的数据报文进行带宽统计；

第三物理pc机，与所述的交换机相连接，用于配置数据报文捕获和记录程序，并对捕获到的数据报文进行分析和保存。

其中，所述的交换机包括5个物理接口，其中2个物理接口与所述的被测网络隔离产品相连接，其余的3个物理接口分别与第一物理pc机、第二物理pc机和第三物理pc机相连接。

作为本发明的优选实施方式，所述的被测网络隔离产品包括第一安全域和第二安全域，分别与所述的交换机相连接，用于将所述的第一物理pc机发出的数据报文处理后将其返回至第二物理pc机。

作为本发明的优选实施方式，与所述的第三物理pc机相连接的物理接口接收所述的被测网络隔离产品的数据报文的镜像信息。

该基于上述系统实现对网络隔离产品性能测试功能的方法，其中包括以下步骤：

(1)所述的第一物理pc机的报文发送程序向所述的第一安全域发送测试报文；

(1.1)所述的第一物理pc机将测试报文发送至与其网卡接口连接的所述的交换机的物理接口上；

(1.2)所述的交换机根据测试报文的目的地址或路由协议，将测试报文通过与所述的第一安全域相连的物理接口发送至被测网络隔离产品；

(2)所述的第一安全域收到所述的第一物理pc机发送的测试报文，处理并发送至第二安全域；

(2.1)配置所述的被测网络隔离产品的内部数据报文转发策略；

(2.2)将第一安全域接收到的数据报文转发至第二安全域，并且不设置任何数据报文转发的带宽阈值；

(3)所述的第二安全域将处理后的测试报文发送至所述的第二物理pc机；

(3.1)所述的交换机与第二安全域相连的物理接口接收所述的网络隔离产品处理后发出的测试报文；

(3.2)所述的交换机根据测试报文的目的地址，将测试报文转发至与第二物理pc

机相连的物理接口；

(4)所述的交换机将发送至第一安全域的数据报文和接收到的第二安全域的数据报文进行监听，并镜像至所述的第三物理pc机，再计算系统延时；

(4.1)所述的第二物理pc机接收到测试报文后进行带宽统计，并计算被测网络隔离产品的吞吐量；

(4.2)所述的第三物理pc机接收到测试报文后进行捕获和记录，并计算出同一个或者具有相同数据包头部的数据报文进入第一安全域和离开第二安全域的时间差值。

本发明的具体实施方式中，物理pc机，用于发送、接收和捕获测试报文，并能够对测试报文进行带宽和系统延时的统计和计算；交换机，与物理pc机相连，用于转发测试报文，并能够对测试报文进行监听和镜像；被测网络隔离产品，与交换机相连，对交换机发送来的测试报文，进行依据策略的转发返回给交换机。

物理pc机、交换机以及被测网络隔离产品构成一种对网络隔离产品性能的测试系统。

该实现一种对网络隔离产品性能的测试系统，物理pc机包括：

第一物理pc机，设置有数据报文发送程序，可设置发送数据报文的带宽，且其网卡的带宽不小于被测网络隔离产品的带宽；

第二物理pc机，设置有数据报文接收程序，可根据接收到的数据报文，进行带宽统计；

第三物理pc机，设置有数据报文捕获和记录程序，能够对捕获到的数据报文进行分析；

实现一种对网络隔离产品性能的测试系统还包括：

交换机包含五个物理接口，分别与第一物理pc机、第二物理pc机、第三物理pc机和被测网络隔离产品相连；其中，与网络隔离产品相连需要用到两个物理接口；

与第三物理pc机相连的交换机的物理接口，将镜像与被测网络隔离产品相连的物理接口的流量；

被测网络隔离产品，其两个安全域分别与交换机相连，第一物理pc机发出的数据报文经过该网络隔离产品两个安全域处理后，流量返回至第二物理pc机。

与网络隔离产品相连的交换机的两个物理接口的数据报文，被监听并镜像至与第三物理pc机相连的物理接口；被镜像至与第三物理pc机相连的物理接口的数据报文，被第三物理pc机捕获和记录。

第一物理pc机，将发送的数据报文经过交换机和被测物理隔离产品后，由第二物理pc机接收；

测试系统根据第一物理pc机发送至第二物理pc机的报文，用于测试被测网络隔离产品的吞吐量；第三物理pc机捕获和镜像通过被测网络隔离产品前后的数据报文，用于测试被测网络隔离产品的系统延时。

该基于上述系统实现对网络隔离产品性能的测试方法，其中，包括以下步骤：

(1)第一物理pc机配置的报文发送程序，向被测网络隔离产品的第一安全域发送测试报文；

(2)被测网络隔离产品的第一安全域收到第一物理pc机发送的测试报文，经过处理后，发送到该网络隔离产品的第二安全域；

(3)被测网络隔离产品的第二安全域将处理后的测试报文，发向第二物理pc机；

(4)交换机将发往被测网络隔离产品的第一安全域和接收到的由网络隔离产品的第二安全域的数据报文，镜像至第三台物理pc；

上述步骤(1)如图2中s1所示，上述步骤(2)～(4)如图2中s2所示。

该实现一种对网络隔离产品性能的测试方法的步骤(1)还包括：

(1.1)第一物理pc机将测试报文发送至与其网卡接口连接的交换机的物理接口上；

(1.2)交换机接收到测试报文后，根据测试报文的目的地址或路由协议，将测试报文通过与被测网络隔离产品的第一安全域相连的物理接口发送给该被测网络隔离产品；

(1.3)交换机将发送给被测网络隔离产品的第一安全域的数据报文进行监听，并镜像至与第三物理pc机相连的物理接口；

该实现一种对网络隔离产品性能的测试方法的步骤(2)还包括：

(2.1)被测网络隔离产品通过其本身的物理结构将网络分为两个安全域，第一安全域和第二安全域；

(2.2)配置被测网络隔离产品的内部数据报文转发策略，将第一安全域收到的数据报文转发至第二安全域，且不设置任何数据报文转发的带宽阈值。

该实现一种对网络隔离产品性能的测试方法的步骤(3)还包括：

(3.1)交换机与被测网络隔离产品的第二安全域相连的物理接口，接收该网络隔离产品处理后发出的测试数据报文；

(3.2)交换机接收到测试报文后，根据测试报文的目的地址或路由协议，将测试报文转发至与第二物理pc机相连的物理接口；

(3.3)交换机将接收到的被测网络隔离产品的第二安全域的数据报文进行监听，并镜像至与第三物理pc机相连的物理接口；

该基于上述系统实现对网络隔离产品性能的测试方法，如图2中s3所示，其方法还包括以下步骤：

(1)第二物理pc机接收到测试报文后，由部署在其上的程序进行带宽统计，并计算出被测网络隔离产品的吞吐量；

(2)第三物理pc机接收到镜像的测试报文后，由部署在其上的程序进行捕获和记录，并计算出同一个或者具有相同数据包头部的数据报文进入被测网络隔离产品第一安全域和离开被测网络隔离产品第二安全域的时间差值，以该时间差值作为被测网络隔离产品的系统延时。

在一具体实施方式中，请再次参阅图2所示，本申请使用物理pc机和交换机搭建测试环境，在物理pc机上部署测试程序，并对交换机的物理接口进行监听和镜像配置，实现对网络隔离产品的性能进行测试。本申请描述的利用三物理pc机和一台交换机作为测试环境的系统和方法能够有效的对网络隔离产品的吞吐量和系统延时进行测试，无需依赖测试仪表，且测试结果准确。该系统包括：三物理pc机、一台交换机以及测试程序若干。三物理pc机中的第一物理pc机安装测试报文发送程序，第二物理pc机安装测试报文接收程序，第三物理pc机安装报文捕获和记录程序，所属的一台交换机配置两个监听口和一个镜像口。

在一具体实施方式中，本发明的实现一种对网络隔离产品性能的测试方法包括：

(1)物理pc机共需要三台，第一台用于测试报文的发送，第二台用户测试报文的接收，第三台用于测试报文的捕获和记录；

(2)交换机包括5个物理接口，分别用于接收测试报文、转发测试报文、镜像测试报文和接收测试报文，其中转发的物理接口需要2个；

(3)被测隔离产品为被测试设备，该设备在物理结构上分为内外2个物理单元，2个单元之间通过非tcp/ip网络协议进行数据的交换；

在一具体实施方式中，本发明的三物理pc机的具体配置步骤包括：

(1.1)第一物理pc机m101安装配置测试报文发送程序，如iperf等，通过网卡向外部发送测试报文；

(1.2)第二物理pc机m102安装配置测试报文接收程序，如iperf等，通过网卡接收外部的测试报文，以统计网络隔离产品的m100吞吐量；

(1.3)网卡的吞吐量均应大于被测网络隔离产品的吞吐量的标称值，以保证能够发出足够带宽的测试报文。

(1.4)第三物理pc机m103安装捕获和记录交换机镜像口的测试报文的程序，如wireshark等，以分析计算测试报文通过被测网络隔离产品前后的系统延时。

在一具体实施方式中，本发明中的交换机的具体配置步骤包括：

(2.1)交换机m104接收第一物理pc机发出的测试报文，根据数据报的目的ip地址或者路由协议，将测试报文转发至被测网络隔离产品的第一安全域；

(2.2)交换机还应在将数据报文转发至被测网络隔离产品时，将数据报文镜像至镜像物理接口。

(2.3)测试过程中使用到的交换机的物理接口的吞吐量应大于被测网络隔离产品的吞吐量，以避免形成带宽瓶颈。

在一具体实施方式中，本发明中的被测网络隔离产品的具体配置步骤包括：

(3.1)被测网络隔离产品通过其本身的物理结构将网络分为两个安全域，第一安全域和第二安全域；

(3.2)配置被测网络隔离产品的内部数据报文转发策略，将第一安全域收到的数据报文转发至第二安全域，且不设置任何数据报文转发限制。

采用了该实现对网络隔离产品性能进行测试控制的系统及方法，通过在物理pc机上部署测试程序，由交换机转发至被测网络隔离产品，使用统计和计算的方法测试出了网络隔离产品的吞吐量和系统延时，解决了网络隔离产品性能的测试问题。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。