從比特到場景，從簡單模擬到現網重現

作者/孫震 Keysight Technology , Ixia Solutions Group應用和安全業務發展總監

　　通信技術自以太網和IP技術出現以來，針對網絡設備以及網絡，包括現在的虛擬網絡，云平臺的測試技術也在一直發展中。其工作原理，簡單來說就是通過專用儀表模擬產生并發送網絡數據包來對網絡設備和網絡架構進行性能，壓力，以及安全型測試。在這里儀表起到的作用是模擬現實網絡流量環境，用于網絡設備的研發，網絡性能和安全的驗證，各種網絡通信技術實驗室評估，以及各種檢測機構的日常測試工作。這種用儀表來模擬網絡環境流量的方式，在成本，技術實現，和測試可重復性方面都有著巨大的優勢。

　　1流量仿真測試技術的發展

　　測試儀表往往是隨著網絡設備的研發和演進而發展的。九十年代初以太網交換機剛剛出現時，美國的一位以太網交換機研發者為驗證其交換機的性能，專門制作了一臺能夠發送以太網數據幀的數據包發生器，依據的測試方法主要是RFC1944以及后來的RFC2544，測試吞吐量，時延，丟包率等指標;

　　到九十年代末期，防火墻等網絡安全產品成為網絡技術的新關注點。同樣的，對于防火墻這種新型的網絡設備，采用何種方法來進行其性能測試也成了防火墻設備研發者面臨的一道課題。為此，思科公司PIX防火墻系列研發團隊經過種種努力制作了一臺能夠測試防火墻并發連接數以及模擬用戶上網行為的設備，它能夠支持的應用協議包括HTTP, FTP，DNS, Email等十幾種。這也促成了RFC3511在2003年推出。其規定的HTTP新建/并發等測試指標，目前仍然是測試有狀態流量設備的必測試項目。

　　時間進入二十一世紀，網絡設備硬件處理技術不斷提高。多核, NP技術的出現使得網絡設備數據處理應用業務的能力大大提高。應用層識別技術成為焦點，尤其是DPI(深度報文檢測)與內容感知(Content Aware)等技術的應用。 “普通報文檢測”僅分析IP包的4層以下的內容，包括源地址、目的地址、源端口、目的端口以及協議類型，而深度報文檢測和內容感知技術除了對前面的層次分析外，還要分析識別各種應用及其內容;另外，網絡安全成為人們的關注的另一個焦點。各種網絡攻擊此起彼伏，重要資料密碼的失竊率大大提高，攻擊技術通過偽裝可以繞過防火墻和防護技術，攻擊特征更難被發現，更難進行檢測。面對出現的安全漏洞新類型，IT和安全管理人員需要不斷用最新的補丁修補這些漏洞。面對這樣的狀況，需要一款新型儀表來來測設備和網絡的內容識別和安全能力。2005年BreakingPoint的誕生，就是為了解決這個問題。

　　BreakingPoint率先把流量場景概念引入到了測試中，并且可以仿真出現網一樣的高性能高帶寬。流量場景是網絡中各種應用，傳輸內容，流量形態按一定比例的混合。BreakingPoint通過自己的研究和第三方合作，已經在產品中內置了上百種典型的流量場景，如企業網流量場景，數據中心流量場景，校園網流量場景，移動網流量場景，等等。方便用戶可以實驗室里進行選擇和測試。另外，用戶也可以根據自己的研究和理解來實現自己想要的流量場景。BreakingPoint平臺目前支持(截止2017年9月)： 400多種典型應用，3700多種典型應有庫，8000多種特征攻擊手法，180多種逃避技術，30000多種病毒和惡意軟件，以及其它典型的Botnet，DDOS攻擊手法。 為了實時跟蹤網絡中的最新動態，這些應用和攻擊庫還可以每2周得到一次更新。 有了這些應用和攻擊庫的支撐，BreakingPoint就可以方便的構建出各種復雜的應用場景，攻擊場景，并通過高性能測試儀表把發送出來。其基本過程如圖1所示。

　　圖1 BreakingPoint平臺可以方便的構建出各種復雜的應用場景

　　流量場景測試可以產生接近于真實網絡流量形態，能夠保證被測設備的測試指標與實際使用中的性能指標相符合，是衡量設備或網絡在典型真實環境流量里表現的重要方法。也是目前業界進行安全和應用層測試的主流方法，和重要指標。比如，NSSLAB也在其系列測試方法學中規定了不同流量場景測試的具體方法。

　　BreakingPoint目前是最為常用的實驗室進行流量場景仿真測試平臺，但仍沒有解決一個問題：就是如何針對一個具體客戶，一個具體網絡的流量情況在實驗室能夠完整的重現? 而不僅僅是發送一些典型的流量場景。 近期，TrafficRewind技術的出現，幫助用戶實現了這樣的要求。

　　2在實驗室內再現生產網絡真實流量場景

　　在實驗室環境內完整反映某特定生產網絡流量在某個時間段的流量過程，被認為是一個相當有挑戰和棘手的問題。各種機構和實驗室為嘗試復現真實網絡流量狀況也一直投入大量的時間和資源。早期的做法是，使用高性能網卡+大存儲去捕捉生產網流量，然后通過網卡高性能的進行回放。這種方法的主要問題是，花費高，回放流量無狀態，測試不靈活，內容不可修改，結果也不可重復。

　　TrafficREWIND融合了Ixia流量可視化方案和專業測試工具能力，通過記錄和再現生產網絡流量，提供更加高效的服務與網絡部署。具體的實現是將對生產網絡流量形式的監聽和記錄轉化為高度真實的測試流量配置, 所生成的測試配置文件用在BreakingPoint測試平臺上，然后對產品和網絡方案進行評估和測試。對生產網絡的監聽會充分利用應用與安全威脅情報處理器(Application and Threat Intelligence Processor，ATIP)技術，通過獨特的NetFlow擴展來記錄豐富的元數據，涉及各種網絡應用，協議分布，流量行為，帶寬變化等內容。

　　TrafficREWIND可在任意生產網絡任意位置輕松部署，提供了可擴展的實時系統架構，以記錄并合成較長時間段內(長達7天)的流量特征。由于不記錄數據的Payload實際負載，所以不存在任何法律或合規問題。TrafficREWIND不僅能夠復制現實世界中應用的流量狀況，而且還前所未有地增加了在一定時期內流量構成動態變化的測試維度，進而對網絡及應用的實時特征進行建模。

　　圖2 TrafficREWIND利用ATIP元數據在BreakingPoint測試臺內重建生產網絡流量形態

　　圖2展示了整個TrafficREWIND系統的工作過程: 左邊的應用流量處理器大量實時偵聽生產網絡里的流量并記錄流量形態，然后將流量形態的實時發送給中間的虛擬設備，虛擬設備經過過濾和選擇來形成需要測試的流量摘要，然后以配置文件的形式發送給右邊的BreakingPoint測試儀表，測試儀表重建流量模型，對 被測設備/系統/網絡 進行測試。

　　從流量仿真測試技術的發展來看，其特點從最早的簡單Bit級的測試，已經逐步過渡到了可以真實反映某個特定網絡特定時間的流量情況測試。其更大的技術背景是：以太網和IP技術作為基礎架構的網絡，從原來的簡單數據傳送管道，已逐步過渡到一個安全的，業務識別的，高效的智能管道。流量仿真測試技術，不管是過去，現在，還是在未來，都是保障這個管道更加智能更加健壯的重要技術手段。