Попались нам в руки пара маршрутизаторов Cisco 3925E. Мощнее из ISR G2 только 3945E, а дальше что?… ASR? Но про ASR 1002, который мы тоже оттестировали в следующих выпусках, а здесь посмотрим на что способны маршрутизаторы Cisco 3925E.
В прошлый раз я публиковал статью по нагрузочному тестированию Cisco 1921 для функционала NAT и межсетевого экрана:
IXIA. Нагружаем Cisco 1921. NAT & Firewall.
Методология тестирования для Cisco 3925E по своей сути такая же, только чтобы загрузить железку пришлось использовать не односторонние, а двусторонние UDP потоки. Возникла дилемма: как нам проверить работу NAT и Firewall при том, что потоки двусторонние? Придуман был простой способ: тестировали потоками с одинаковыми портами источника и получателя (UDP 4000), а при включении NAT делали статический NAT сам в себя (например так, ip nat inside source static 172.25.1.1 172.25.1.1 extendable). NAT сам в себя мне привычно было делать на пиксах и асашках при включённом nat-control, а на маршрутизаторах это что-то из разряда экзотики, главное что работает, для тестов сгодится.
И ещё использовали все 4 порта на маршрутизаторе и IXIA, соединённые между собой. Таким образом, максимальная нагрузка, которую мы могли создать нашим тестовым стендом в этом случае, равнялась 4 Гбит/c.
Схемы и конфиги почти такие же как в статье про Cisco 1921, только получается у нас по 2 внутренних интерфейса, и по 2 внешних (т.е. ip nat inside на 2-х интерфейсах и на 2-х ip nat outside, для ZBF и CBAC соответственно тоже). Поэтому конфиги в данной статье уже приводить не буду, выложу наши результаты.
Зависимость загрузки процессора, выраженной в Мбит/c, от нагрузки кадрами разной длины:
Поскольку для тестируемых фич всё прежде всего определяется количеством PPS (или FPS), то приведём и эти графики:
Ну и чтобы не нужно было долго вглядываться в графики в попытках определения цифр для пороговых значений (когда загрузка процессора около 75% и когда начинаются потери пакетов выше, чем 0.001%) приведу соответствующую табличку:
Железка отрабатывает весьма шустро и спокойно потянет пару подключенных каналов от провайдеров по 100 Мбит/c (это, если без IPSec). Производительность CBAC и ZBF в связке с NAT примерно одинакова. Интересно, что при тестировании односторонним трафиком в связке с NAT производительность CBAC была несколько лучше, чем ZBF, а при тестировании двусторонним трафиком – наоборот (мы ещё проводили тесты односторонними UDP потоками). По всей видимости причина в разных механизмах проверки обратного трафика для CBAC и ZBF.
Больше пока выводов не делаю, имхо, всё видно из таблички и графиков. Учитывайте при выборе железа.
Продолжение следует… ещё GRE, QoS, IPSec и т.д. и т.п.
Метки: IXIA, router, МСЭ
Опубликовано: Маршрутизаторы и коммутаторы
Замечательное тестирование!
Пару вопросов по нему.
1. Использовалось 2 внутр. и 2 внешн. интерфейса. Интерфейсы были собраны в EtherChannel или каким-то образом балансировали между ними?
2. Если это EtherChannel, то конечно на маршрутизаторах не часто встретишь такую реализацию, но на сколько она имеет место быть в продакшене?
Спасибо!
1. Нет, EtherChannel не было, балансировки тоже не было. Всё решалось на уровне статических маршрутов и создания нагрузки в IXIA.
Т.е. на IXIA трафик идёт от IP адреса первого интерфейса до IP адреса второго интерфейса через Cisco (тоже через первый и второй интерфейс) и обратно. Это получается двусторонний трафик 1 Гбит/c. Аналогично создаётся трафик от третьего до четвертого интерфейса IXIA и обратно (также через третий и четвертый порты Cisco).
2. Etherchannel на маршрутизаторах в продакшене только на свичовых модулях. Мы их не тестировали (для 3925E не было, для 1921 4-х портовый скоро проверим). То, что я описал в первом пункте к продакшену применимо.