從比特到場(chǎng)景，從簡(jiǎn)單模擬到現網(wǎng)重現

作者/孫震 Keysight Technology , Ixia Solutions Group應用和安全業(yè)務(wù)發(fā)展總監

　　通信技術(shù)自以太網(wǎng)和IP技術(shù)出現以來(lái)，針對網(wǎng)絡(luò )設備以及網(wǎng)絡(luò )，包括現在的虛擬網(wǎng)絡(luò )，云平臺的測試技術(shù)也在一直發(fā)展中。其工作原理，簡(jiǎn)單來(lái)說(shuō)就是通過(guò)專(zhuān)用儀表模擬產(chǎn)生并發(fā)送網(wǎng)絡(luò )數據包來(lái)對網(wǎng)絡(luò )設備和網(wǎng)絡(luò )架構進(jìn)行性能，壓力，以及安全型測試。在這里儀表起到的作用是模擬現實(shí)網(wǎng)絡(luò )流量環(huán)境，用于網(wǎng)絡(luò )設備的研發(fā)，網(wǎng)絡(luò )性能和安全的驗證，各種網(wǎng)絡(luò )通信技術(shù)實(shí)驗室評估，以及各種檢測機構的日常測試工作。這種用儀表來(lái)模擬網(wǎng)絡(luò )環(huán)境流量的方式，在成本，技術(shù)實(shí)現，和測試可重復性方面都有著(zhù)巨大的優(yōu)勢。

　　1流量仿真測試技術(shù)的發(fā)展

　　測試儀表往往是隨著(zhù)網(wǎng)絡(luò )設備的研發(fā)和演進(jìn)而發(fā)展的。九十年代初以太網(wǎng)交換機剛剛出現時(shí)，美國的一位以太網(wǎng)交換機研發(fā)者為驗證其交換機的性能，專(zhuān)門(mén)制作了一臺能夠發(fā)送以太網(wǎng)數據幀的數據包發(fā)生器，依據的測試方法主要是RFC1944以及后來(lái)的RFC2544，測試吞吐量，時(shí)延，丟包率等指標;

　　到九十年代末期，防火墻等網(wǎng)絡(luò )安全產(chǎn)品成為網(wǎng)絡(luò )技術(shù)的新關(guān)注點(diǎn)。同樣的，對于防火墻這種新型的網(wǎng)絡(luò )設備，采用何種方法來(lái)進(jìn)行其性能測試也成了防火墻設備研發(fā)者面臨的一道課題。為此，思科公司PIX防火墻系列研發(fā)團隊經(jīng)過(guò)種種努力制作了一臺能夠測試防火墻并發(fā)連接數以及模擬用戶(hù)上網(wǎng)行為的設備，它能夠支持的應用協(xié)議包括HTTP, FTP，DNS, Email等十幾種。這也促成了RFC3511在2003年推出。其規定的HTTP新建/并發(fā)等測試指標，目前仍然是測試有狀態(tài)流量設備的必測試項目。

　　時(shí)間進(jìn)入二十一世紀，網(wǎng)絡(luò )設備硬件處理技術(shù)不斷提高。多核, NP技術(shù)的出現使得網(wǎng)絡(luò )設備數據處理應用業(yè)務(wù)的能力大大提高。應用層識別技術(shù)成為焦點(diǎn)，尤其是DPI(深度報文檢測)與內容感知(Content Aware)等技術(shù)的應用。 “普通報文檢測”僅分析IP包的4層以下的內容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類(lèi)型，而深度報文檢測和內容感知技術(shù)除了對前面的層次分析外，還要分析識別各種應用及其內容;另外，網(wǎng)絡(luò )安全成為人們的關(guān)注的另一個(gè)焦點(diǎn)。各種網(wǎng)絡(luò )攻擊此起彼伏，重要資料密碼的失竊率大大提高，攻擊技術(shù)通過(guò)偽裝可以繞過(guò)防火墻和防護技術(shù)，攻擊特征更難被發(fā)現，更難進(jìn)行檢測。面對出現的安全漏洞新類(lèi)型，IT和安全管理人員需要不斷用最新的補丁修補這些漏洞。面對這樣的狀況，需要一款新型儀表來(lái)來(lái)測設備和網(wǎng)絡(luò )的內容識別和安全能力。2005年BreakingPoint的誕生，就是為了解決這個(gè)問(wèn)題。

　　BreakingPoint率先把流量場(chǎng)景概念引入到了測試中，并且可以仿真出現網(wǎng)一樣的高性能高帶寬。流量場(chǎng)景是網(wǎng)絡(luò )中各種應用，傳輸內容，流量形態(tài)按一定比例的混合。BreakingPoint通過(guò)自己的研究和第三方合作，已經(jīng)在產(chǎn)品中內置了上百種典型的流量場(chǎng)景，如企業(yè)網(wǎng)流量場(chǎng)景，數據中心流量場(chǎng)景，校園網(wǎng)流量場(chǎng)景，移動(dòng)網(wǎng)流量場(chǎng)景，等等。方便用戶(hù)可以實(shí)驗室里進(jìn)行選擇和測試。另外，用戶(hù)也可以根據自己的研究和理解來(lái)實(shí)現自己想要的流量場(chǎng)景。BreakingPoint平臺目前支持(截止2017年9月)： 400多種典型應用，3700多種典型應有庫，8000多種特征攻擊手法，180多種逃避技術(shù)，30000多種病毒和惡意軟件，以及其它典型的Botnet，DDOS攻擊手法。 為了實(shí)時(shí)跟蹤網(wǎng)絡(luò )中的最新動(dòng)態(tài)，這些應用和攻擊庫還可以每2周得到一次更新。 有了這些應用和攻擊庫的支撐，BreakingPoint就可以方便的構建出各種復雜的應用場(chǎng)景，攻擊場(chǎng)景，并通過(guò)高性能測試儀表把發(fā)送出來(lái)。其基本過(guò)程如圖1所示。

　　圖1 BreakingPoint平臺可以方便的構建出各種復雜的應用場(chǎng)景

　　流量場(chǎng)景測試可以產(chǎn)生接近于真實(shí)網(wǎng)絡(luò )流量形態(tài)，能夠保證被測設備的測試指標與實(shí)際使用中的性能指標相符合，是衡量設備或網(wǎng)絡(luò )在典型真實(shí)環(huán)境流量里表現的重要方法。也是目前業(yè)界進(jìn)行安全和應用層測試的主流方法，和重要指標。比如，NSSLAB也在其系列測試方法學(xué)中規定了不同流量場(chǎng)景測試的具體方法。

　　BreakingPoint目前是最為常用的實(shí)驗室進(jìn)行流量場(chǎng)景仿真測試平臺，但仍沒(méi)有解決一個(gè)問(wèn)題：就是如何針對一個(gè)具體客戶(hù)，一個(gè)具體網(wǎng)絡(luò )的流量情況在實(shí)驗室能夠完整的重現? 而不僅僅是發(fā)送一些典型的流量場(chǎng)景。 近期，TrafficRewind技術(shù)的出現，幫助用戶(hù)實(shí)現了這樣的要求。

　　2在實(shí)驗室內再現生產(chǎn)網(wǎng)絡(luò )真實(shí)流量場(chǎng)景

　　在實(shí)驗室環(huán)境內完整反映某特定生產(chǎn)網(wǎng)絡(luò )流量在某個(gè)時(shí)間段的流量過(guò)程，被認為是一個(gè)相當有挑戰和棘手的問(wèn)題。各種機構和實(shí)驗室為嘗試復現真實(shí)網(wǎng)絡(luò )流量狀況也一直投入大量的時(shí)間和資源。早期的做法是，使用高性能網(wǎng)卡+大存儲去捕捉生產(chǎn)網(wǎng)流量，然后通過(guò)網(wǎng)卡高性能的進(jìn)行回放。這種方法的主要問(wèn)題是，花費高，回放流量無(wú)狀態(tài)，測試不靈活，內容不可修改，結果也不可重復。

　　TrafficREWIND融合了Ixia流量可視化方案和專(zhuān)業(yè)測試工具能力，通過(guò)記錄和再現生產(chǎn)網(wǎng)絡(luò )流量，提供更加高效的服務(wù)與網(wǎng)絡(luò )部署。具體的實(shí)現是將對生產(chǎn)網(wǎng)絡(luò )流量形式的監聽(tīng)和記錄轉化為高度真實(shí)的測試流量配置, 所生成的測試配置文件用在BreakingPoint測試平臺上，然后對產(chǎn)品和網(wǎng)絡(luò )方案進(jìn)行評估和測試。對生產(chǎn)網(wǎng)絡(luò )的監聽(tīng)會(huì )充分利用應用與安全威脅情報處理器(Application and Threat Intelligence Processor，ATIP)技術(shù)，通過(guò)獨特的NetFlow擴展來(lái)記錄豐富的元數據，涉及各種網(wǎng)絡(luò )應用，協(xié)議分布，流量行為，帶寬變化等內容。

　　TrafficREWIND可在任意生產(chǎn)網(wǎng)絡(luò )任意位置輕松部署，提供了可擴展的實(shí)時(shí)系統架構，以記錄并合成較長(cháng)時(shí)間段內(長(cháng)達7天)的流量特征。由于不記錄數據的Payload實(shí)際負載，所以不存在任何法律或合規問(wèn)題。TrafficREWIND不僅能夠復制現實(shí)世界中應用的流量狀況，而且還前所未有地增加了在一定時(shí)期內流量構成動(dòng)態(tài)變化的測試維度，進(jìn)而對網(wǎng)絡(luò )及應用的實(shí)時(shí)特征進(jìn)行建模。

　　圖2 TrafficREWIND利用ATIP元數據在BreakingPoint測試臺內重建生產(chǎn)網(wǎng)絡(luò )流量形態(tài)

　　圖2展示了整個(gè)TrafficREWIND系統的工作過(guò)程: 左邊的應用流量處理器大量實(shí)時(shí)偵聽(tīng)生產(chǎn)網(wǎng)絡(luò )里的流量并記錄流量形態(tài)，然后將流量形態(tài)的實(shí)時(shí)發(fā)送給中間的虛擬設備，虛擬設備經(jīng)過(guò)過(guò)濾和選擇來(lái)形成需要測試的流量摘要，然后以配置文件的形式發(fā)送給右邊的BreakingPoint測試儀表，測試儀表重建流量模型，對 被測設備/系統/網(wǎng)絡(luò ) 進(jìn)行測試。

　　從流量仿真測試技術(shù)的發(fā)展來(lái)看，其特點(diǎn)從最早的簡(jiǎn)單Bit級的測試，已經(jīng)逐步過(guò)渡到了可以真實(shí)反映某個(gè)特定網(wǎng)絡(luò )特定時(shí)間的流量情況測試。其更大的技術(shù)背景是：以太網(wǎng)和IP技術(shù)作為基礎架構的網(wǎng)絡(luò )，從原來(lái)的簡(jiǎn)單數據傳送管道，已逐步過(guò)渡到一個(gè)安全的，業(yè)務(wù)識別的，高效的智能管道。流量仿真測試技術(shù)，不管是過(guò)去，現在，還是在未來(lái)，都是保障這個(gè)管道更加智能更加健壯的重要技術(shù)手段。