防火墻并發(fā)連接數(shù)測試平臺的研究與設(shè)計

胡少文　談衛(wèi)兵　章俊　黃浪鑫　余里輝

摘? 要：由于當(dāng)前并發(fā)連接數(shù)測試工具相對較少，操作復(fù)雜，且其只能測試吞吐量、時延、丟包率等參數(shù)，基于RFC2544國際測試模式中針對網(wǎng)絡(luò)測試參數(shù)的技術(shù)要求，設(shè)計了一種高性能，高集成化的以FPGA為主控單位的具有并發(fā)連接數(shù)的測試模式的硬件開發(fā)平臺。以Tele-Explore為軟件平臺，并通過自帶的仿真器對防火墻的并發(fā)連接數(shù)進行仿真驗證，仿真結(jié)果表明整個測試系統(tǒng)平臺的搭建符合設(shè)計標(biāo)準(zhǔn)，能夠滿足防火墻并發(fā)連接數(shù)測試的需求，能為網(wǎng)絡(luò)故障診斷和維護分析提供及時可靠地依據(jù)，進而滿足人們對于網(wǎng)絡(luò)服務(wù)質(zhì)量更高需求，有效提供網(wǎng)絡(luò)運行的可靠性。

關(guān)鍵詞：FPGA; 并發(fā)連接數(shù); TeleExplore;

中圖分類號： TN91???? ??文獻標(biāo)識碼： A

0引言

網(wǎng)絡(luò)測試技術(shù)與網(wǎng)絡(luò)傳輸技術(shù)同步發(fā)展，早期網(wǎng)絡(luò)傳輸速率較低，該階段測試一般不需要專用硬件測試系統(tǒng)，就可以通過軟件完成對網(wǎng)絡(luò)協(xié)議一致性的分析測試，通過網(wǎng)絡(luò)互連設(shè)備的動態(tài)交換信息，實現(xiàn)對網(wǎng)絡(luò)協(xié)議正確性測試。目前，隨著網(wǎng)絡(luò)傳輸技術(shù)不斷升級和網(wǎng)絡(luò)應(yīng)用日益擴大，不僅需要對網(wǎng)絡(luò)傳輸測試指標(biāo)進行更加詳細的規(guī)定，還需要基于專用硬件系統(tǒng)平臺完成對網(wǎng)絡(luò)互連設(shè)備的傳輸分析和監(jiān)控，方便實現(xiàn)用戶現(xiàn)場網(wǎng)絡(luò)維護的要求[1-5]。

并發(fā)連接數(shù)是其傳輸測試指標(biāo)中的一個重要指標(biāo)[1]。在IETF RFC 2647中給出了并發(fā)連接數(shù)（Concurrent Connections）的定義，它表示防火墻或代理服務(wù)器對其業(yè)務(wù)信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，并且其反映出防火墻設(shè)備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力。這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)[6-10]。

因此基于網(wǎng)絡(luò)互連設(shè)備的并發(fā)連接數(shù)測試技術(shù)的需求，開發(fā)一套針對網(wǎng)絡(luò)互連設(shè)備的高可靠性，高可用性和實時性的網(wǎng)絡(luò)互連設(shè)備并發(fā)連接數(shù)測試系統(tǒng)，能為網(wǎng)絡(luò)故障診斷和維護分析提供及時可靠的依據(jù)，進而滿足人們對于網(wǎng)絡(luò)服務(wù)質(zhì)量提出的更高需求，有效提供網(wǎng)絡(luò)運行的可靠性。這既是本項目研究意義的關(guān)鍵所在，也是國內(nèi)外眾多研究人員和企業(yè)共同致力研究的目標(biāo)[11，12，13]。

目前，國內(nèi)外有多家公司在從事網(wǎng)絡(luò)測試系統(tǒng)方面的研發(fā)和生產(chǎn)，雖然已有幾種高速網(wǎng)絡(luò)測試系統(tǒng)產(chǎn)品問世，但這些儀器主要有國外公司所研制，其中較為領(lǐng)先的并發(fā)連接數(shù)測試設(shè)備有思博倫的Avalanche 3100，美國IXIA網(wǎng)絡(luò)測試儀。下面對美國IXIA網(wǎng)絡(luò)測試儀進行簡單介紹：

1、統(tǒng)一的測試平臺可以提供真正的2-7 層完整測試解決方案;每個端口都有獨立的CPU，基于端口的多用戶操作，大大提高使用效率;??

2、 GE接口模塊及支持多種接口類型的10G模塊可以在±102ppm 范圍內(nèi)調(diào)整 幀發(fā)送頻率，方便靈活;??

3、測試平臺支持超過1500個端口的 全網(wǎng)狀流量測試。

4、全面，靈活，豐富的路由仿真、MPLS、電信級以太網(wǎng)、寬帶接入等測試;

5、4-7層三重播放業(yè)務(wù)承載在動態(tài)路由表之上的QoE測試方法;

6、應(yīng)用層協(xié)議支持的4-7層多重播放測試和信息安全測試;

7、全面的API 接口，“一鍵生成腳本”的強大自動化能力和“所見即所得” 的自動化編程環(huán)境，并提供全面的自動化測試管理工具。

以上這些由國外研制的測試設(shè)備，有時不能夠滿足國內(nèi)的某些特定測試要求，其次它與國人的使用習(xí)慣有差別，不便于使用，同時國外產(chǎn)品價格昂貴。由于國內(nèi)外通信網(wǎng)絡(luò)具體情況的差別，為配合國內(nèi)通信網(wǎng)絡(luò)的迅速發(fā)展，研制出符合國內(nèi)的高質(zhì)量、高性能的網(wǎng)絡(luò)測試儀是勢在必行的。因此，國內(nèi)的也越來越多廠商加入以太網(wǎng)測試系統(tǒng)方面產(chǎn)品的研發(fā)與設(shè)計，能夠適應(yīng)多種網(wǎng)絡(luò)診斷和性能驗證，功能強大且性價比優(yōu)越[15-19]。

目前的網(wǎng)絡(luò)性能測試工具只能測試吞吐量、時延、丟包率等參數(shù)，并且并發(fā)連接數(shù)測試工具還是比較少，而且操作復(fù)雜，效率低。針對這一問題，設(shè)計了一種高性能，高集成化的以FPGA為主控單位的具有并發(fā)連接數(shù)的測試模式的硬件開發(fā)平臺就顯得尤為重要，本測試平臺采用型號為Virtex5-155T，（XC5VLX155TFF1136）的FPGA作為硬件平臺搭建核心控制模塊[20-24]。

1.硬件平臺搭建

基于FPGA的網(wǎng)絡(luò)測試系統(tǒng)，其核心部分為采用FPGA針對網(wǎng)絡(luò)的MAC層數(shù)據(jù)進行收發(fā)，并在FPGA內(nèi)容完成在互連設(shè)備傳輸過程中各個性能的統(tǒng)計與分析，且在FPGA上內(nèi)嵌一個完整的，可移植、固化和裁剪的占先式實時多任務(wù)內(nèi)核，完成對MAC層數(shù)據(jù)接收、發(fā)送、分析和與上位機通信整個過程的控制。下面具體設(shè)計采用以FPGA為核心的控制芯片進行硬件平臺的搭建，如圖1所示。

測試儀X86處理器上運行測試軟件，然后通過處理器接口將控制數(shù)據(jù)發(fā)送給網(wǎng)絡(luò)測試模塊，配置好網(wǎng)絡(luò)測試模塊。網(wǎng)絡(luò)測試模塊的FPGA芯片完成報文的發(fā)送和接收處理，包括流調(diào)度，頭處理，測試域處理等關(guān)鍵技術(shù)。處理后的報文再經(jīng)過PHY芯片完成物理層處理，然后發(fā)送給被測設(shè)備，如交換機等。通過被測設(shè)備轉(zhuǎn)發(fā)回來，由網(wǎng)絡(luò)測試模塊接收，進行相關(guān)接收處理后，將測試結(jié)果上傳到X86處理器上運行的測試軟件。

FPGA開發(fā)設(shè)計主要包括方案分析與代碼設(shè)計、功能與時序分析和電路測試。FPGA設(shè)計特點并不是簡單的順序流程而是具有迭代性特點，一旦驗證和仿真步驟出了問題，則回到之前的設(shè)計步驟重新檢查、修改，最后直至符合設(shè)計要求，開發(fā)流程如下圖2所示

FPGA開發(fā)設(shè)計，對系統(tǒng)進行詳細規(guī)劃和功能描述，其次，通過系統(tǒng)級仿真實現(xiàn)系統(tǒng)的性能考量和整體權(quán)衡。待系統(tǒng)確定整理功能后，就需要對系統(tǒng)進行劃分功能模塊，接口定義和協(xié)議描述，在此基礎(chǔ)上進行方案之間的性能優(yōu)劣比較，再根據(jù)性能指標(biāo)要求優(yōu)化方案滿足設(shè)計需求。

系統(tǒng)功能模塊與接口定義好后，就需要進行規(guī)劃寄存器間邏輯功能實現(xiàn)。設(shè)計輸入是把設(shè)計系統(tǒng)在開發(fā)需求確定后以某種形式表示出，再導(dǎo)入EDA工具的過程。常用設(shè)計輸入方法主要有硬件描述語言（HDL）和原理圖輸入方法等。原理圖輸入是一種最直接的描述方式。需要將所需器件模塊從元件庫中導(dǎo)出，搭建原理圖。這種方式便于理解，較為直觀但不靈活，也不便于模塊的重用和構(gòu)建，因此，硬件描述語言（HDL）輸入方式是當(dāng)前主流設(shè)計方式。自頂而下的設(shè)計思想，通用性強和移植性好，容易實現(xiàn)模塊的劃分與復(fù)用。

再根據(jù)設(shè)計具體要求優(yōu)化門級網(wǎng)表的組合，供FPGA布局布線進行實現(xiàn)，綜合需根據(jù)給定的約束條件實現(xiàn)電路既定的功能設(shè)計要求，如功耗、速度、成本、芯片面積和電路的類型等，再通過計算機進行算法優(yōu)化處理，最終獲得一個能夠滿足要求或者相近最優(yōu)電路設(shè)計方案。

根據(jù)硬件平臺流程圖及FPGA開發(fā)流程，基于PCIE總線設(shè)計，采用以太網(wǎng)背板交換技術(shù)，設(shè)計開發(fā)了一套能夠支持10G、10/100/1000M測試模塊，可實現(xiàn)2-7層全網(wǎng)絡(luò)協(xié)議測試及仿真測試設(shè)備，設(shè)計開發(fā)的測試設(shè)備實物圖如圖3所示。

2.防火墻并發(fā)連接數(shù)測試軟件平臺搭建與設(shè)計

2.1 硬件環(huán)境配置

該系統(tǒng)的硬件主要是包括TestStrom200、防火墻ASA5510及5米cat5e的網(wǎng)線，具體配置如下

2.2 軟件配置

安裝在TestStrom200的軟件是Tele-Explorer，它主要是運行在管理PC上對測試儀進行配置與管理的應(yīng)用軟件，主要配置如下：

2.3 測試拓?fù)浼罢f明

（1）測試拓?fù)鋱D如下圖所示

并發(fā)連接數(shù)：DUT（測試設(shè)備）對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，是衡量DUT性能的一個重要的指標(biāo)。使用HTTP協(xié)議仿真可以測試基于HTTP的命令的并發(fā)連接數(shù)，以及基于TCP的并發(fā)連接數(shù)。每個測試項覆蓋字節(jié)、速率和時長等參數(shù)調(diào)整。

3.防火墻并發(fā)連接數(shù)測試

3.1測試實物連接圖

具體的測試實物連接圖如下圖所示：

3.2 測試過程

1. 將測試儀 1，2 端口分別和DUT的 1，2 端口連接，此處設(shè)置 DUT 的 1，2 端口的IP地址分別為：10.1.1.1/16， 20.1.1.1/16

2. 打開 TeleExplorer ，Resource Setup頁面進行資源配置：添加并連接機框，預(yù)約端口

3. 配置測試儀端口和 DUT 端口在同一網(wǎng)段

4. 打開Protocol Emulation界面，切換到HTTP 標(biāo)簽頁

5. 使用1端口做Client，2端口做Server，所以勾選1端口的Server，2端口的Client

6. 編輯 Client，在HTTP Commands 頁面

Command Timeout 編輯為一個較大值 Destination 處選擇 Chassis1-Card1-Port2-Server1：80 （注意：機箱和板卡號要選對） ，Connection 處選擇 HTTP-Enable Pipeline

7.在Load Profile界面 Load Type 處選擇 Concurrent Connections， Load Value 填寫比預(yù)期稍大的值， Ramp Time 中填寫一個合適的值（最好不超過每秒新建連接數(shù)的速率），在Max Concurrent Connections處填寫一個大于 Load Value 的值

8. 編輯 Server，Request Timeout 填寫一個較大值，比如600sec

9. 開始測試，打開 Statistics 頁面，在該 Client 對應(yīng)的 Concurrent Connections 列查看測試結(jié)果

在測試 基于 TCP 的并發(fā)連接數(shù)，則只需在第6步中，將 Connection 修改為 TCP 即可。

若測試 Server 的并發(fā)連接數(shù)，則需要在第6步中，將 Destination 改為 Server 的IP地址。

4.結(jié)論

設(shè)計了一種高性能，高集成化的以FPGA為主控單位的具有并發(fā)連接數(shù)的測試模式的硬件測試平臺。并且通過對防火墻的并發(fā)連接數(shù)的測試，驗證了該測試平臺可以可靠地實現(xiàn)并發(fā)連接數(shù)的測量，進而滿足人們對于網(wǎng)絡(luò)服務(wù)質(zhì)量提出的更高需求，有效提高了網(wǎng)絡(luò)運行的可靠性。

參考文獻

[1]林丹生. 硬件防火墻TCP并發(fā)連接數(shù)測試技術(shù)[J].軟件，2014，35（03）：108-110.

[2]趙飛燕，藺勇. 基于FPGA技術(shù)的多路并行通信信號采集系統(tǒng)[J].現(xiàn)代電子技術(shù)，2018，41（19）：27-30+35.

[3]張一荻. 基于FPGA的脈沖信號參數(shù)高精度測量技術(shù)研究[J].儀器儀表用戶，2017，24（01）：32-33+41.

[4]黃滔，葉立芳. 廣域網(wǎng)并行TCP加速系統(tǒng)的研究與實現(xiàn)[J].中國新技術(shù)新產(chǎn)品，2014，{4}（08）：18.

[5]吉根云，蔡勇. 基于建模的TCP擁塞控制機制的研究[J].淮陰工學(xué)院學(xué)報，2008，{4}（01）：51-55.

[6]左延智，王娟，吳訓(xùn)吉，張宗鵬. 網(wǎng)絡(luò)丟包在線檢測算法研究[J].數(shù)字通信世界，2020，{4}（05）：1-2+6.

[7]楊建明，朱玉，李詣烽，王冠南，金敏. 智能變電站網(wǎng)絡(luò)性能測試研究與應(yīng)用[J].江西電力，2020，44（04）：2-6.

[8]侯溪溪，周卓，李天賦，楊亮. 基于TestCenter的AFDX網(wǎng)絡(luò)性能測試技術(shù)研究[A]. 航空工業(yè)測控技術(shù)發(fā)展中心、中國航空學(xué)會測試技術(shù)分會、狀態(tài)監(jiān)測特種傳感技術(shù)航空科技重點實驗室.第十六屆中國航空測控技術(shù)年會論文集[C].航空工業(yè)測控技術(shù)發(fā)展中心、中國航空學(xué)會測試技術(shù)分會、狀態(tài)監(jiān)測特種傳感技術(shù)航空科技重點實驗室：《測控技術(shù)》雜志社，2019：4.

[9]江淑明，仇潤鶴. 移動通信網(wǎng)絡(luò)節(jié)點性能的自動化測試平臺的搭建與應(yīng)用[J].科技與創(chuàng)新，2019，{4}（05）：51-53+55.

[10]李旋，顧建新，李毅. 網(wǎng)絡(luò)安全專用產(chǎn)品網(wǎng)閘性能測試方法[J].計算機系統(tǒng)應(yīng)用，2019，28（01）：233-238.

[11]戴祥. 基于網(wǎng)絡(luò)性能測試儀的RFC3918軟件方案設(shè)計與實現(xiàn)[D].南京理工大學(xué)，2019.

[12]韋夢園. 基于網(wǎng)絡(luò)性能測試儀的RFC2889軟件方案設(shè)計與實現(xiàn)[D]. 南京理工大學(xué)，2019.

[13]張?zhí)炱? 基于NFV的網(wǎng)絡(luò)性能測量系統(tǒng)的設(shè)計與實現(xiàn)[D].南京航空航天大學(xué)，2019.

[14]馮欣. 基于FPGA的網(wǎng)絡(luò)報文解析和性能測試單元的設(shè)計與實現(xiàn)[D].南京理工大學(xué)，2019.

[15]張家波，李哲，王超凡. 面向車聯(lián)網(wǎng)的LTE網(wǎng)絡(luò)性能測試與分析[J].計算機工程，2018，44（07）：303-307+315.

[26]李哲. 基于V2X的無線通信網(wǎng)絡(luò)性能測量與評價[D].重慶郵電大學(xué)，2018.

[17]俞海. 網(wǎng)絡(luò)延時測試實驗及分析[J].軟件導(dǎo)刊，2018，17（02）：192-194.

[18]王書誠，曹凡，葉榮軍，雷霓，陳祖剛. 無線通信網(wǎng)絡(luò)測量關(guān)鍵技術(shù)研究[A]. 中國造船工程學(xué)會電子技術(shù)學(xué)術(shù)委員會.中國造船工程學(xué)會電子技術(shù)學(xué)術(shù)委員會2017年裝備技術(shù)發(fā)展論壇論文集[C]. 中國造船工程學(xué)會電子技術(shù)學(xué)術(shù)委員會：中國造船工程學(xué)會，2017：5.

[19]王加熙. 機載網(wǎng)絡(luò)化測試系統(tǒng)網(wǎng)絡(luò)性能綜合評價研究[J].中國高新科技，2017，1（08）：3-6.

[20]金燕，陳佳彬，陳爾言，王衛(wèi)靜. 基于RFC2544的千兆以太網(wǎng)性能測試的實現(xiàn)[J].浙江工業(yè)大學(xué)學(xué)報，2016，44（06）：628-632.

[21梁保柱，劉仕華. 校園局域網(wǎng)絡(luò)的性能測試研究[J].信息通信，2016，{4}（02）：175-176.

[22]阿喜達. 基于JVM對NIO網(wǎng)絡(luò)通信性能測試[J].陰山學(xué)刊（自然科學(xué)版），2016，30（02）：32-34.

[23]趙碩. 網(wǎng)絡(luò)性能測試系統(tǒng)功能模塊的FPGA實現(xiàn)[D].南京理工大學(xué)，2016.

[24]徐娟. 礦井智能物流系統(tǒng)網(wǎng)絡(luò)性能測試方法[J].工礦自動化，2015，41（07）：98-100.

基金項目：基金來源：江西省科技廳，項目名稱：基于物聯(lián)網(wǎng)的智能養(yǎng)蝦池智能控制系統(tǒng)平臺設(shè)計與應(yīng)用，項目編號：20202BBFL63047;

基金來源：江西省科技廳，項目名稱：面向物聯(lián)網(wǎng)DDoS僵尸網(wǎng)絡(luò)安全生命周期的入侵檢測大數(shù)據(jù)分析與監(jiān)測平臺，項目編號：20192ACB50028。

作者簡介：胡少文（1987-08）， 男，漢，江西南昌人，碩士，工程師，研究方向為物聯(lián)網(wǎng)技術(shù)及信息安全