Juniper NetScreen SSG320 VPN 性能测试报告
作者: reistlin
来源: http://www.reistlin.com/blog/295
更新时间: 2009.04
版权声明: 原创文章.转载请保留作者信息和原文完整.谢绝任何方式的摘要
1. 测试目的:
为正式部署生产网硬件VPN平台(IPSec Full Mesh)进行性能综合性评估。
生产网VPN系统主要为运维,管理人员提供可靠的VPN加密隧道,保证运维人员可以通过任何网络安全的访问服务器和内部网络资源。同时,提供各个数据中心之间的数据同步,监控系统和日志审核的加密安全通道。
通过部署全网冗余VPN系统,可以简化应用和配置复杂度,方便管理,更好的安全细粒度控制,更完善的审计功能,为统一认证身份管理平台提供支撑。
2.产品介绍:
Juniper Network(瞻博)网络提供广泛的产品和技术组合,包括路由、交换、安全、应用加速、身份识别策略和控制,以及管理产品。收购NetScreen公司的主要产品SSG硬件防火墙系列,在安全业界享有非常高的评价。NetScreen采用了ASIC Based 的Fast Path(NetScreen GigaScreen ASIC Series)与传统CPU担任Slow Path(NetScreen ScreenOS)相结合的系统体系结构。这种”Seperation of Fast Path from Slow Path"的体系结构,使NetScreen在技术路线上获得了巨大的成功,在高端Firewall/VPN市场上,NetScreen的产品稳定在第一领先地位。
SSG320产品介绍:
4 x 10/100/1000以太网接口,1GB物理内存。 ScreenOS版本:ScreenOS 6.2 防火墙性能(大型数据包):450+ Mbps 防火墙性能(IMIX):400 Mbps 每秒处理的防火墙数据包数量:175,000 PPS 3DES+SHA-1 VPN性能:175 Mbps (*) 并发VPN隧道数:500 最大并发会话数:64,000 新会话/秒:8,000 最大安全策略数:1,000 最大安全区数量:40 最大虚拟局域网数量:125
3. 测试方法:
使用两台Juniper SSG320硬件防火墙进行IPSec VPN互联,分别使用两种VPN加密方法:
a,IPSec Full Mesh VPN 全网状冗余VPN系统高强度加密测试:
Phase 1:3DES+SHA1 DH2 (1024bit) Phase 2:3DES+SHA PFS (1024bit)
b,IPSec Full Mesh VPN 全网状冗余VPN系统中强度加密测试:
Phase 1:DES+MD5 DH1 (768bit) Phase 2:DES+MD5 NoPFS (768bit)
测试两台Juniper SSG320硬件防火墙使用已经建立的VPN Tunnel传输数据。
监视和记录数据传输速度,带宽,网络丢包率,物理接口状态,系统负载等等。
测试协议: TCP、UDP,
测试应用: HTTP,FTP,CIFS。
测试工具: [iperf v1.7] [SolarWinds v9]