正在阅读：健壮的接入利器 Hillstone安全路由SR-330测试健壮的接入利器 Hillstone安全路由SR-330测试

2008-05-08 11:26 出处：PConline原创作者：PC小绵羊责任编辑：xiexiaomian

基础性能测试

Throughput(吞吐量、包转发率)测试：

　　Throughput（吞吐量）表示的是路由器每秒能处理的数据量。打个形象的比方，路由器的工作过程很像邮局包裹业务，邮局寄包裹是大家把物品、寄件人、收件人等信息交给邮局，邮局把物品包好，并贴上格式化的包裹单，检查无误后投递到目的地，收包裹是相反过程。路由器基本一样，只不过收发的东西是数据而已。Throughput就相当于邮局单位时间里的包裹处理能力，是路由器性能的直观反映。但同时，这个数据后面隐藏的名堂也是最多的。

　　首先应该说明路由器的Throughput，一定是LAN-to-WAN的Throughput，数据流出或流入局域网才需要路由器处理，才能代表路由器性能。而不是LAN-to-LAN，这代表的是路由器内部小交换机性能，一点意义都没有。这就像邮局单位时间里的包裹处理能力，一定指的是运出和运进邮局的包裹量，而不是从邮局一个房间搬到另一个房间的包裹量。

　　其次，路由器Throughput，应该是在NAT（网络地址转换）开启、防火墙关闭的情况下得出的测试数据。这是因为NAT是宽带路由器最基本、最核心的功能，不开启NAT就不成其为宽带路由器了，而且软件设计的好坏直接影响到NAT效率和路由器性能，所以NAT开启的Throughput才是有意义的。而防火墙，应该算做宽带路由器附带的高级功能，有的产品防火墙规则很多很复杂，能过滤很多东西，有的产品规则就又少又简单。规则多、复杂的，CPU用来过滤数据的时间就长，规则少、简单的，过滤数据的时间就短，这对Throughput测试数据影响还是挺大的。为公平起见，在测试路由器Throughput时，特别是在不同产品性能比较时，把防火墙关闭是合理的。防火墙的评判，一般放在功能里比较而不是性能比较。

　　测试时我们采用了SR-330的两个WAN口，和两个LAN口，双向发送数据，总带宽为4GB。

数据包大小	转发率	吞吐量
64Bytes	13.037	130.37Mbps
512Bytes	79.053	790.52736Mbps
1518Bytes	99.8	998.04688Mbps

　　单单从转发率的成绩来看，64Bytes的小包有13.037%的转发率，但由于是全千兆的端口，所以实际吞吐量并不低，换算之后64B的小包也有130.37Mbps的吞吐量，算是很不错的成绩了。在06年我们进行的宽带路由器横评中，也只有H3C的产品达到了90%以上的转发率（百兆端口）。在这个环节来说，应该是完全可以胜任较苛刻的网络环境的。

　　不过由于我们并未拆解该机器，所以目前未能确定是基于软件的NAT转发，还是内部具有硬件支持（ASIC芯片）的NAT转发

品牌	型号	SmartBits包转发能力(%)
品牌	型号	64Bytes	512Bytes	1518Bytes
欣向	NUR8118	9.4375	85.9375	100
锐捷	RG-NBR300	59.36	98.59375	100
华三	MSR 20-20	94.375	100	100
TP-LINK	TL-R4199G	43.3	100	100
中怡数宽	Pro con5E	15.5	47.5	100
金浪	KN-S1078R	6	10	49.99
IPTIME	IP0409	9.76	61.93	96.89
Vigor	Pro 100	3	20.62	58.11
艾泰	Hiper 3310NB	36.68	100	100
Netcore	2805NR	10.38	55.59	88.72
阿尔法	1602	10.38	66.5	100
Asus	RX3041H	32.43	100	100

2006年PConline宽带路由器横向评测转发率结果

并发连接数与每秒新建连接数测试

　　并发连接数是指防火墙或代理服务器对其业务信息流的处理能力，是防火墙能够同时处理的点对点连接的最大数目，它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力，这个参数的大小直接影响到防火墙所能支持的最大信息点数。

　　并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到，从低端设备的500、1000个并发连接，一直到高端设备的数万、数十万并发连接，存在着好几个数量级的差异。那么，并发连接数究竟是一个什么概念呢？它的大小会对用户的日常使用产生什么影响呢？要了解并发连接数，首先需要明白一个概念，那就是“会话”。这个“会话”可不是我们平时的谈话，但是可以用平时的谈话来理解，两个人在谈话时，你一句，我一句，一问一答，我们把它称为一次对话，或者叫会话。同样，在我们用电脑工作时，打开的一个窗口或一个Web页面，我们也可以把它叫做一个“会话”，扩展到一个局域网里面，所有用户要通过防火墙上网，要打开很多个窗口或Web页面（即会话），那么，这个防火墙，所能处理的最大会话数量，就是“并发连接数”。

　　每秒新建连接数是指防火墙在单位时间内所能建立TCP/HTTP连接数量，这个参数的大小直接影响防火墙在单位时间内所能建立的最大连接数量，这也是考察防火墙性能的一个重要指标。

设备配置：

　　测试流量分别为TCP和HTTP。模拟200个客户端和2个server，TCP模拟三次握手然后不关闭连接，HTTP 使用1.1版本，模拟get 1byte的http页面，然后三次握手关闭链接。

　　使用软件为IXLoad 3.30版本。

　　使用TCP测试的新建连接速率为10000connections/s

并发连接数102,000.00

每秒新建连接数7241#/s

　　SR-330的并发连接数达到了100K之多，在这个档次的产品中算是上等表现了。而据我们获得的信息，100K的连接数还是设备本身设定的最高值，如果不加以限制，应该还会更高。之所以限制连接数，是因为过高的连接数会消耗更多的系统内存，同时会对CPU的压力增大，从而影响到其它应用的正常发挥，甚至发生雪崩效应，另外也会让远低于设备吞吐量的Internet链路变得更拥挤。

　　而每秒新建连接数取决于设备的内存容量和处理器，从测试结果来看，7000每秒的新建连接数还是对得起其800MHz的多核处理器和256MB的内存的。（低于其标称值10K，不过测试方法的不同会导致数据偏差）