antiCisco blogs » Blog Archive » Нагружаем Cisco 3925E. NAT&Firewall

antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 21 Май , 2013

          Попались нам в руки пара маршрутизаторов Cisco 3925E. Мощнее из ISR G2 только 3945E, а дальше что?… ASR? Но про ASR 1002, который мы тоже оттестировали в следующих выпусках, а здесь посмотрим на что способны маршрутизаторы Cisco 3925E.

          В прошлый раз я публиковал статью по нагрузочному тестированию Cisco 1921 для функционала NAT и межсетевого экрана:
IXIA. Нагружаем Cisco 1921. NAT & Firewall.
          Методология тестирования для Cisco 3925E по своей сути такая же, только чтобы загрузить железку пришлось использовать не односторонние, а двусторонние UDP потоки. Возникла дилемма: как нам проверить работу NAT и Firewall при том, что потоки двусторонние? Придуман был простой способ: тестировали потоками с одинаковыми портами источника и получателя (UDP 4000), а при включении NAT делали статический NAT сам в себя (например так, ip nat inside source static 172.25.1.1 172.25.1.1 extendable). NAT сам в себя мне привычно было делать на пиксах и асашках при включённом nat-control, а на маршрутизаторах это что-то из разряда экзотики, главное что работает, для тестов сгодится.
          И ещё использовали все 4 порта на маршрутизаторе и IXIA, соединённые между собой. Таким образом, максимальная нагрузка, которую мы могли создать нашим тестовым стендом в этом случае, равнялась 4 Гбит/c.
          Схемы и конфиги почти такие же как в статье про Cisco 1921, только получается у нас по 2 внутренних интерфейса, и по 2 внешних (т.е. ip nat inside на 2-х интерфейсах и на 2-х ip nat outside, для ZBF и CBAC соответственно тоже). Поэтому конфиги в данной статье уже приводить не буду, выложу наши результаты.
          Зависимость загрузки процессора, выраженной в Мбит/c, от нагрузки кадрами разной длины:
Mbps_NAT_Firewall
          Поскольку для тестируемых фич всё прежде всего определяется количеством PPS (или FPS), то приведём и эти графики:
FPS_NAT_Firewall

          Ну и чтобы не нужно было долго вглядываться в графики в попытках определения цифр для пороговых значений (когда загрузка процессора около 75% и когда начинаются потери пакетов выше, чем 0.001%) приведу соответствующую табличку:
3925e_NAT_Firewall_table

          Железка отрабатывает весьма шустро и спокойно потянет пару подключенных каналов от провайдеров по 100 Мбит/c (это, если без IPSec). Производительность CBAC и ZBF в связке с NAT примерно одинакова. Интересно, что при тестировании односторонним трафиком в связке с NAT производительность CBAC была несколько лучше, чем ZBF, а при тестировании двусторонним трафиком – наоборот (мы ещё проводили тесты односторонними UDP потоками). По всей видимости причина в разных механизмах проверки обратного трафика для CBAC и ZBF.
          Больше пока выводов не делаю, имхо, всё видно из таблички и графиков. Учитывайте при выборе железа.
Продолжение следует… ещё GRE, QoS, IPSec и т.д. и т.п.

 

Метки: , ,
Опубликовано: Маршрутизаторы и коммутаторы

 

2 комментария “Нагружаем Cisco 3925E. NAT&Firewall”

comment rss - Trackback

  1. dovecot:

    Замечательное тестирование!
    Пару вопросов по нему.
    1. Использовалось 2 внутр. и 2 внешн. интерфейса. Интерфейсы были собраны в EtherChannel или каким-то образом балансировали между ними?
    2. Если это EtherChannel, то конечно на маршрутизаторах не часто встретишь такую реализацию, но на сколько она имеет место быть в продакшене?

  2. siv:

    Спасибо!

    1. Нет, EtherChannel не было, балансировки тоже не было. Всё решалось на уровне статических маршрутов и создания нагрузки в IXIA.
    Т.е. на IXIA трафик идёт от IP адреса первого интерфейса до IP адреса второго интерфейса через Cisco (тоже через первый и второй интерфейс) и обратно. Это получается двусторонний трафик 1 Гбит/c. Аналогично создаётся трафик от третьего до четвертого интерфейса IXIA и обратно (также через третий и четвертый порты Cisco).

    2. Etherchannel на маршрутизаторах в продакшене только на свичовых модулях. Мы их не тестировали (для 3925E не было, для 1921 4-х портовый скоро проверим). То, что я описал в первом пункте к продакшену применимо.

» Оставить комментарий

Вы должны войти чтобы прокомментировать.