为了赋能开放的云网络,您需要能够使用原始设备制造商的硬件之外,还必须能够在各种白盒、裸金属服务器、容器和多云上运行。您的测试内容和测试方法也要创新,以期抢在竞争对手之前将高质量、差异化的解决方案推向市场。本文重点介绍了对于支持边缘到云网络来说几个至关重要的网络测试领域。
在过去的十年间,网络行业的变革速度令人惊奇。软件定义网络、虚拟化、分布式和端到端自动化等重大技术创新重新定义了构建网络和管理网络的方式。变革的步伐看起来还没有放缓的迹象。5G 和Wi-Fi 6 将加快行业数字化转型的步伐,网络连接和安全性将与安全接入服务边缘(SASE)体系结构融合,从而在边缘到云之间提供无缝的连通性。
网络设备制造商(NEM)以空前的速度进行创新,在分布式、多厂商、多云网络的新常态中蓬勃发展。为了赋能开放的云原生网络,您所提供的解决方案除了需要能够使用原设备制造商的硬件之外,还必须能够在各种白盒、裸金属服务器、容器和多云上运行。
云原生是什么意思?
云原生是基于分布部署和统一运管的分布式云,以容器、微服务、DevOps等技术为基础建立的一套云技术产品体系。云原生是一种新型技术体系,是云计算未来的发展方向。
云原生网络架构
云原生是一种技术理念和架构方法,它充分利用云计算的优势,将应用程序和基础设施进行优化,以适应云环境的特性。云原生的设计原则主要包括弹性、韧性、安全性、可观测性、灰度等,旨在让企业在云环境中实现轻量、敏捷、高度自动化的运行方式。
云原生技术主要包括以下几个方面:
1.容器(Container):容器技术将应用程序和其依赖项打包在一起,实现应用程序的隔离和标准化部署。
2.服务网格(Service Mesh):服务网格解决微服务架构中的通信问题,实现服务之间的智能流量控制、故障注入和诊断等功能。
3.微服务(Microservice):微服务架构将应用程序拆分为多个较小的、独立的服务,便于团队协作、快速迭代和部署。
4.不可变基础设施(Immutable Infrastructure):不可变基础设施指的是通过自动化和持续交付,实现基础设施的静态管理和配置。
5.声明式 API(Declarative API):声明式 API 是一种基础设施编程方法,使企业能够以更简洁、可预测的方式管理云原生环境。
下图显示了组织目前正在构建的边缘到云网络的部分关键验证点。为了取得成功,无论是对技术指标进行基准测试还是在客户部署场所的复杂多厂商分布式开放网络中使用,都需要确保网络解决方案具有良好的互操作性和性能。有效的网络安全测试是确保客户取得成功的唯一途径。
边缘到云技术的关键验证点
测试一:5G前传的严格延时要求
采用5G运营商对于迁移到灵活的云无线接入网(C-RAN) 体系结构非常感兴趣。借助此类体系结构,他们能够将存储和计算资源部署到蜂窝基站底部或几百公里之外的中心枢纽站,从而满足新的应用需求。称为“xHaul”的新5G传输网络框架已成为平衡5G 应用的延时、吞吐量和可靠性需求的重要工具。
通过使用底层拆分技术,在分布式单元(DU)和无线单元(RU)之间划分无线堆栈,可以得到新的前传网络。它需要通过交换网络承载IQ无线数据。这些IQ样本具有严格的时间要求,会比用户数据消耗更多带宽。因此,前传网络必须在承载高带宽流量的同时尽量减少数据丢失、缩短时延。
IEEE 802.1CM标准建议使用严格的服务质量(QoS)优先级和时间敏感网络(TSN)帧抢占(802.1Qbu)方法来提供延时保证。交换单元认为前传流量或eCPRI用户数据流量需要“加急”处理,而网络中的其他流量则“可以被抢占”。
网络关键测试要求
网络设备制造商在前传交换机中实施了TSN帧抢占等技术方案。在采用该技术时,网络设计人员需要确保所有组件正常工作,首先是遵守QoS优先级或交换机的分段和重组功能。他们还必须考虑帧抢占能否确保端到端的有界延时。如果实施不当,可能会导致错误的片段危害网络稳定性,或者是因为重组效率低下而导致开销增加。
如需获得延迟保证,请使用严格的QoS 优先级和 TSN 帧抢占方法
时间敏感网络(Time Sensitive Network, TSN)是一种新型网络技术,在传统的以太网技术基础上,对关键数据的实时性、可靠性和安全性方面进行了增强,可满足工业互联网、自动驾驶等。
什么是TSN时间敏感网络?
时间敏感网络(Time Sensitive Network, TSN)是一种新型网络技术,在传统的以太网技术基础上,对关键数据的实时性、可靠性和安全性方面进行了增强。
时间敏感网络是一种基于IEEE 802.1系列标准的网络技术,它通过对网络流量的精确调度和同步管理,确保关键数据包的低延迟、无抖动传输。TSN不仅继承了以太网的高带宽、灵活性和低成本优势,还通过一系列增强技术,如时间同步、流量调度、队列管理等,实现了对时间敏感流量的严格控制。
TSN时间敏感网络核心特性
时间同步:TSN采用精确时间协议(PTP, Precision Time Protocol)或其他时间同步机制,确保网络内所有设备的时间基准高度一致,为时间敏感流量的调度提供基础。
流量调度:通过流量整形(Traffic Shaping)、信用调度(Credit-Based Shaper, CBS)等机制,TSN能够优先处理时间敏感流量,避免网络拥塞对实时性造成影响。
队列管理:TSN引入了队列和缓冲区管理机制,如严格优先级排队(Strict Priority Queuing, SPQ)和增强传输选择(Enhanced Transmission Selection, ETS),确保关键数据包能够快速通过网络。
帧抢占:允许高优先级的数据帧中断正在传输的低优先级数据帧,进一步缩短关键数据的传输延迟。
推荐阅读最新白皮书: 用于工业4.0的5G专网
测试二:通过分段路由网络实现网络切片
用户对低延时互联汽车、高带宽视频应用和丰富多样的物联网等新兴5G 业务的需求将急剧增加。这些业务有严格的服务等级要求,需要为每项业务提供专用的端到端信道。网络切片允许创建具有特定服务质量的端到端单独网络。虽然ISIS、OSPF 和BGP 等路由协议能够在传输网络的前传、中传或回传部分提供网络可达性,但分段路由(SR)在建设从 RU 到核心的切片基础设施中起到了关键作用。
SR-TE 和灵活算法(Flex Algo)是两种众所周知的网络切片方法。在前一种方法中,控制器通过在入口节点安装SR-TE 隧道来限制指定切片中的流量。控制器通过边界网关协议链路状态(BGP-LS)了解网络拓扑结构,并可能使用路径计算单元通信协议(PCEP)或BGP将策略安装到入口节点。安装在入口节点中的显式路径将流量限制在服务面内。
后一种方法(Flex Algo)不需要控制器来实现动态路径配置,而是在特定算法中配置每个节点或链路,由此为每个 Flex Algo 拓扑结构创建一个切片。
网络拓扑结构是指用传输媒体互连各种设备的物理布局(将参与LAN工作的各种设备用媒体互连在一起有多种方法,但是实际上只有几种方式能适合LAN的工作)。
网络拓扑图是指由网络节点设备和通信介质构成的网络结构图。拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等。
关键测试要求
交换机厂商对各种技术选择进行评估,以便在传输网络中实现网络切片。由于不同厂商采用了不同的SR标准而且标准还在不断演进,因此必须确保正确实施协议才能避免现场出现互操作性问题。网络工程师需要结合BGP-LS 和PCEP来验证SR 路径配置。最后,他们还必须验证SR 数据面和端到端服务,从而确保流量位于切片或服务面中。
测试三:通过MACsec加密实现xHaul传输的安全性
根据部署模式,前传、中传或回传网络可以在不受信任的域中进行配置。这样的网络需要通过端到端加密来保护数据流。按照eCPRI规范,厂商可以选择实施MACsec 或IPsec。他们通常会根据流量类型和网络开销来选择加密技术。选择实施MACsec的厂商更多一些。
关键测试要求
MACsec加密和解密都在硬件中执行,以支持高速以太网的线速加密吞吐量。许多芯片厂商将MACsec功能内置到PHY或交换芯片中。NEM在芯片中使用MACsec功能,并在系统级别上将它们与软件集成,从而管理连通性关联并分发安全关联密钥(SAK),供硬件用来加密和解密。硬件中内置的加密引擎是极其关键的组件,其功能和性能需要进行彻底的验证。
5G xHaul 使用的链路速度从前传的10/25GE到核心网的400GE 不等。它需要用到复杂的测试工具,在100GE或400GE等高速下对加密引擎进行极限测试。
测试解决方案
Keysight IxNetwork 与 AresONE硬件相结合,组成是德科技的MACsec验证解决方案,能够提供MACsec流量加密和解密验证等重要功能。它能对解密引擎进行极限测试,还能进行动态MKA密钥协商或静态SAK配置。
测试四:从移动边缘计算到核心的5G网络
5G核心网体系结构可以提高移动宽带数据速率,增加容量并减小延时。边缘计算(MEC)、基于业务的体系结构以及控制面与用户面分离(CUPS)都属于当前5G体系结构中的概念。它们的正确运行对服务保证至关重要。
CUPS可以根据网络需求单独扩展或收缩控制面和用户面资源。MEC支持在边缘卸载流量,节省网络带宽,还能满足低延时要求。
关键测试要求
用户面功能(UPF)是5G核心网的一项网络功能。UPF的验证过程应当考虑配置选项、节点性能和部署的拓扑结构。在实际部署中,网络上可以有多个UPF,以实现所需的容量(弹性扩展),或者是根据流量类型将流量引导到不同路径,又或者是实现低流量时延。
在确定节点性能时应当将所有公开的接口都纳入考虑。在控制面接口(N4)上,验证特定场景中使用的流程(如激活、停用和会话修改)、流程速率或同步活动会话(容量)。
确保用户面接口具备所需的吞吐量。发送接近线速率的无状态流量不足以测试UPF。测试需要能够反映网络状况的真实流量和吞吐量。验证应当包括在具有虚拟化网络功能的复杂环境中,对单一类型或混合类型流量(数据、语音、视频)、流量优先级和QoS进行聚合式测量或按UE吞吐量进行测量。
自从QoS开始将注意力放到常规电话的连接要求以来,其定义发生了巨大变化。如今,它通过为应用、用户或数据流设定不同的优先级来确保某些数据包优先得到处理。QoS还可以保证数据流具有一定的性能水平。5G引入了时延非常关键的保证比特率和反射QoS指标概念。这些变化需要进行测试才能实现成功部署。测试还应当考虑真实的用户设备(UE)行为(如切换)。
5G 验证的测试拓扑结构测试解决方案
Keysight LoadCore可以为测试5G核心网提供一站式服务。从端到端到节点隔离,该工具可以同时仿真多个节点和接口。如果您使用基于拓扑结构的互联网浏览器式用户界面在实验室中重建整个网络,它也非常有帮助。是德科技的5G 核心网测试解决方案使工程师能够验证关键的5G要求,从而最大限度地提高网络可靠性和性能。它们可以利用解决方案内置的按UE检测机制来验证UPF 在高性能水平上的QoS实施。
测试五:Wi-Fi 的性能和可靠性
如果无法对接入点(AP)进行极限测试,如何才能知道它在大规模通信时的性能表现?凭借正交频分多址(OFDMA),Wi-Fi AP可以同时向多个器件发送和接收数据。Wi-Fi 6的强大之处在于其形成的密集环境以及同时发送和接收帧的协调能力。时间就是一切。测试平台必须能够精确控制客户端、流量生成和捕获,以便开展详细分析。
在Wi-Fi 6 出现之前,传输不会经过协调,客户端使用载波侦听多点接入/冲突避免(CSMA/CA)机制来争夺介质。Wi-Fi 6使AP能够管理上行链路资源分配,从而提高上行链路的效率。在下行链路中,Wi-Fi 6 AP智能调度客户端并分配资源,实现多客户端同时传输。这些新特性极大地增加了AP调度程序的复杂性,需要使用很多可能的场景进行测试。
采用自动化方式全面验证AP调度程序的性能需要通过编程完全控制客户端特性,例如距离、客户端类型和Wi-Fi 6特性。单独使用真实客户端进行测试并不能提供这种程度的控制、能力和规模。
如果不使用混合流量从不同仿真距离测试OFDMA AP 调度程序,您如何确保AP能够在实际环境中发挥作用?
与所有开发流程一样,您需要进行详细的分析来评估性能、查验问题。如果不能使用详细的统计数据在协议层面上量化评测OFDMA 性能,您如何快速解决问题?对涉及多个并发真实客户端的测试会话进行调试和诊断涉不仅难度很大,还很耗时。从协议层面了解问题能够将解决问题的时间缩短一半。
正交频分多址(Orthogonal Frequency Division Multiple Access,OFDMA)是无线通信系统中的一种多重接取技术,WiMax、LTE都采用OFDMA。OFDMA与CDMA不同处在于OFDMA使用大量的正交窄带子载波(subcarrier)来承载数据,与CDMA用单一载波承载单一数据相比,OFDMA更能对抗多径效应。
OFDMA相比OFDM有如下优势:
更细的信道资源分配在部分节点信道状态不太好的情况下,可以根据信道质量分配发送功率,来更精细化的分配信道时频资源。
提供更好的QoS因为Wi-Fi 5及之前的标准都是占据整个信道传输数据的,如果有一个QoS数据包需要发送,其一定要等之前的发送者释放完整个信道才行,所以会存在较长的时延。在OFDMA模式下,由于一个发送者只占据整个信道的部分资源,一次可以发送多个用户的数据,所以能够减少QoS节点数据包发送的时延。
更多的用户并发及更高的用户带宽OFDMA是通过将整个信道资源划分成多个子载波(也可称为子信道),子载波又按不同RU类型被分成若干组,每个用户可以占用一组或多组RU以满足不同带宽需求的业务。Wi-Fi 6中最小RU尺寸为2MHz,最小子载波带宽是78.125KHz,因此最小RU类型为26子载波RU。以此类推,还有52子载波RU,106子载波RU,242子载波RU,484子载波RU和996子载波RU,下表显示了不同信道带宽下的最大RU数。RU数量越多,发送小包报文时多用户处理效率越高,吞吐量也越高。
那么,如何弥合Wi-Fi 6测试的差距?
关键测试要求
新Wi-Fi 6测试解决方案需要测量多用户OFDMA 在大规模通信时的性能提升。此外,该解决方案必须提供有状态的客户端,并考虑到在80 MHz 带宽中同时使用各种资源单元组合的用户。此外,硬件和软件都必须具有高性能。该解决方案必须在各种大小的帧上实现理论上的最大速率,提供时序极其准确的客户端生成和分析,并生成详细统计数据。
这里的关键在于通过距接入点不同距离的各种Wi-Fi 6 和传统客户端组合对真实网络进行建模,从而验证AP调度程序的性能。每个解决方案都必须能够完全控制Wi-Fi 客户端的特性。实时统计数据可以提供关键洞察,帮助您关联不同层的Wi-Fi 6 网络性能。单次捕获视图可以帮助您调试和诊断多用户OFDMA问题。全面的客户端和测试控制与高级分析相结合,可以加快解决问题和验证Wi-Fi 6 特性。
最后,该解决方案必须将客户端仿真、流量生成和分析以及多用户OFDMA数据包捕获功能整合到一个平台上,使其成为验证基于802.11标准的产品的理想一体化解决方案。
关键测试值包括:
Keysight WaveTest 6 是是德科技的一款能够对真实部署场景进行建模并衡量多用户 OFDMA 性能提升的专用解决方案。
每个 WaveTest 6 最多可以扩展到 2000 个有状态客户端(在多端口模式下),并且能够处理所有组合的并发 RU分配。这种专用硬件设计用于跨所有客户端配置对 AP进行基准测试。
测试六:400GE及更高速度
云计算、人工智能和5G 的大规模增长对支持400G 及更高速度的大带宽、可扩展解决方案提出了更大需求。400GE 已经开始普及并将在未来几年持续增长。即将到来的800GE 以新112 Gb/s 电气通道技术为基础,要求整体性能、可扩展性和互操作性等测试必须随之增强。您需要与测试厂商通力合作,才能确保在需要的时候获得所需的测试工具。这决定了您能否尽早将创新产品推向市场。
关键测试要求
为了应对交换机、路由器和其他器件不断增加的端口数,测试平台的端口密度也在不断增加。要想获得所需的端口密度来验证25.6 Tbps 及更高速率的交换平台,您需要高端口数的测试解决方案,以便能够生成多TB 数据并能同时分析最高400 万个流量流。在进行高性能测试时,请确保您的测试解决方案不会因为扇出到200GE、100GE 和50GE 而失去传输流能力和接收侧的测量跟踪和测量能力。
一. 灵活验证 PAM4 和 NRZ编码技术
采用400GE 的前提是必须有8 个56 Gb/s 电接口并且使用了PAM4 编码技术。当前的大多数交换机专用集成电路(ASIC) 都支持新PAM4 调制以及在低速技术中使用的传统非归零(NRZ) 编码,这让100GE 升级为400GE 变得更加简单。在这些平台上对从10GE 到400GE 的全部七种速度都进行测试比较有难度。互联网应用的带宽需求日益增长,为了满足这些需求,您必须对3.2、6.4、12.8、25.6 Tbps ASIC 线速流量都进行测试。
面向400GE系统的关键测试能力
推荐阅读最新文章:数据中心迈向400G及更高速率
“四电平脉冲幅度调制(PAM4)信令等新的突破性技术可以增加网络带宽,同时维持数据中心规模不变。”
二.BER和FEC性能测试
可靠的网络性能取决于您验证光模块、铜缆和链路层的能力。测试器件的功能互操作性及其长期比特误码率(BER) 和前向纠错(FEC) 符号性能。了解器件是否会随着时间和温度变化而产生突发错误,以及如何发现这些难以捉摸的突发错误,这些能力都非常重要。许多厂商还需要获得功能强大的测试解决方案,才能表征和量化评测硅器件、ASIC、光纤和铜缆互连、光收发信机以及端口电子器件的实际 BER 和 FEC 性能。
推荐阅读白皮书: 前向纠错解决方案 - 误码率测试
高数据速率、较小信号和压缩通道会因不可靠或嘈杂的通信通道而产生编码错误。了解如何使用前向纠错 (FEC) 解决方案来对抗这些错误。
三.通过现场升级满足不断提高的测试需求
在您设计新产品的过程中,很多测试解决方案都能够满足您对功能特性、容量或速度的需求。一些更灵活的测试解决方案甚至可以在现场升级,进一步提升您的测试能力。您将得到更经济高效的测试,满足当前的需求,另外还能够快速、轻松地为开发团队提供更快速、更丰富的测试,帮助他们开发未来的网络技术。
测试七:SONiC开源网络操作系统
开源和解耦对网络世界产生了巨大冲击。就像Linux和开放计算项目(OCP)永远改变了数据中心的操作系统和服务器硬件一样,在数据中心和超大规模网络中,类似的趋势也越来越明显。其中一个趋势是开源网络操作系统SONiC(云中开放网络软件)的普及度越来越高。SONiC起源于微软,目前是一个OCP项目,得到了越来越大生态系统的支持,包括ASIC厂商、NEM以及提供管理和应用工具的扩展生态系统参与者。得益于众多业内巨擘的支持以及超过400万个正在运行的端口,SONiC已成为一个日益成熟的真正选择。
围绕功能、规模、性能和弹性的关键性能指标(KPI)是数据中心取得成功的动力。在社区驱动的开发过程中,所有这些KPI都必须在集成的各个阶段进行验证,包括ASIC开发过程中的参考箱、原始设计制造/原始设备制造以及网络运营商部署。
关键测试要求
对如此复杂的生态系统展开测试也是社区在努力攻克的难题。但是,SONiC社区测试工具操作起来并不一定直观易用。为了满足具体使用场景的要求,它们可能需要大量定制。此外,在创建测试中参与程度最高的社区成员往往具有很大的影响力,因此一些测试最终变成厂商专用测试。
为了解决一致性和复杂性问题,打造SONiC 交换设备的NEM 需要一站式测试解决方案为其提供全面、简化的测试。这类解决方案专注于打造产品而不是零碎的测试解决方案,因此可以帮助用户加快将产品推向市场。一站式测试解决方案还将提供一种厂商中立的方法,确保测试方法可以形成行业标准,实现跨平台验证。
寻找针对整个交换结构的整体系统集成测试而不是针对单个器件的测试。如此一来,您就会知道您的网络解决方案是否真正做好了在SONiC 生态系统中运行的准备。
是德科技用于SONiC 的Ixia 开放NOS 验证套件是该公司与Aviz Networks 联合开发的一款简化型即插即用测试解决方案,填补了当今社区测试中的空白。
测试八:支持5G的云原生网络
应用正在快速转变为微服务集合,这些集合通常位于容器中,可以在各种环境、各种位置(核心、云或边缘)运行。用于NFVi 的超融合基础设施(HCI)、云原生网络功能(CNF) 以及支持SDN 的网络编排和自动化解决方案是实现5G 的云原生网络的关键支柱。
这些解决方案需要编排和优化私有云、多云和容器化基础设施。虚拟化的灵活性给建设计算基础设施的NEM 以及需要支持各种部署环境的虚拟网络功能(VNF) 和CNF 带来了重大测试挑战。
关键测试要求
超融合计算基础设施将会同时运行多种工作负载,而这些工作负载可能会进行大规模交互。测试需要能够对基础设施的恰当规模和配置进行验证。在扩建虚拟基础设施时,这个过程有助于提升性能和用户体验。它还可以帮助您的企业或服务提供商客户优化他们的投资,以及诊断负责运行工作负载的底层计算基础设施所存在的性能问题。
由于应用软件和数据广泛分布在多云、本地和分支边缘,网络解决方案需要提供无缝的端到端连通性以及一致的应用软件和安全策略管理。这些变化还给网络和安全体系结构的性能、可扩展性和威胁防护带来了巨大的未知性。有的厂商需要打造VNF、CNF 和HCI 解决方案以便在复杂的拓扑结构中使用,对他们而言,测试是在性能、用户体验和安全性之间取得平衡的关键。
测试拓扑结构必须覆盖大规模分布式网络测试解决方案
Keysight Ixia Cloud Peak 将真实的虚拟机或容器工作负载部署到超融合基础设施之上,从而对虚拟化网络基础设施的性能进行基准测试Keysight CyPerf 是是德科技第一款云原生网络安全软件有哪些测试解决方案,可以跨越物理环境和云环境全方位重现真实的工作负载,从而在用户体验和安全性之间保持平衡。
测试九:端到端应用QoE和网络安全性
网络运营商必须在网络性能、成本和安全性之间找到平衡。无论在哪一个指定网络中,他们都可以将访问控件、微分段和安全控件叠加起来。然而,每个额外的限制都有可能影响网络性能和最终用户体验。设备厂商如何确保他们的安全解决方案能够在安全性和性能之间找到最佳平衡?
安全性不会随着时间的推移变得更简单。您的产品必须能够识别传统黑客和个人或组织不严密的犯罪威胁行为人。它们还必须能够发现越来越复杂的高级持续性威胁(APT),这些威胁能够在数据中心内部、分布式拒绝服务(DDoS)和勒索软件攻击中横向移动。国家级的APT尤其令人忧心,因为它们更悄无声息、更持之以恒。
关键测试要求
创建网络安全解决方案的NEM需要借助测试工具来验证性能、功能和安全功效,从而防范可能升级为大型DDoS攻击的真实应用和安全流量。他们还需要为流量特性最相关的潜在客户执行概念验证(PoC)。在这些使用场景中,真实性对于保证测试有效性非常关键。
一.真实的应用流量
在验证安全设备时,您选择仿真的工作负载和流量组合要能够代表真正的生产网络。正确地打造这种组合有助于了解安全解决方案对特定类型客户起到的作用。
二.真实的内容
确保工作负载仿真中的有效负载包含真实的动态内容,因为这样可以验证安全解决方案的深度数据包检查、内容规则和数据防泄漏等功能。此外,仿真流量的真实性会对观察到的安全设备的CPU 和存储器性能产生巨大影响。不真实的仿真流量也可能无法以公平的方式显示器件的隐蔽特性。有效负载中的一串零可能会导致入侵防御系统引擎认为存在可疑情况,从而增加应用软件延迟并降低整体性能。
三.真实的威胁
威胁的种类比以前更加多样,数量和速度不断提高,这让您很难正确地衡量安全解决方案的有效性。为了真正验证安全效果,您需要通过威胁仿真来模拟各种各样的真实技术、威胁向量和整合了合法用户和应用特性的杀伤链模型。每天的恶意软件更新还让您的测试始终能够检测到新出现的威胁。
测试解决方案
Keysight BreakingPoint 应用软件和安全测试解决方案是仿真合法真实流量、DDoS、漏洞利用、恶意软件和模糊测试,从而赋能安全基础设施验证的佼佼者之一。
Keysight CyPerf 是是德科技第一款云原生软件测试解决方案,可以跨越物理环境和云环境全方位重现真实的工作负载,从而在用户体验和安全性之间保持平衡。
是德科技的威胁仿真器端点安全验证功能可以检验您的安全控件,验证其防御签名和基于行为的攻击的安全效果。是德科技的应用和威胁情报研究中心确保您能够访问我们的安全解决方案组合中的最新应用、流量概况、威胁向量和漏洞仿真功能。
Keysight Breaking Point是一款功能强大的网络安全测试工具,可以模拟和评估网络设备和应用程序在复杂网络环境下的性能和安全性。
云网络常用术语
一、关于虚拟化
1.虚拟化 Virtualization - 虚拟化是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
2.计算虚拟化 Computational Virtualization - 计算虚拟化通常包括三方面的内容:
(1)CPU虚拟化:由于多个 VM(Virtual Machine虚拟机) 共享 CPU 资源,需要对 VM 中的敏感指令进行截获并模拟执行。
(2)内存虚拟化:由于多个 VM 共享同一物理内存,需要相互隔离。
(3)I/O虚拟化:由于多个 VM 共享一个物理设备,如磁盘、网卡,一般借用 TDMA 的思想,通过分时多路技术进行复用。
著名的虚拟化软件(hypervisor)有ESXI、xen、KVM等。
4.网络虚拟化 Network Virtualization - 网络虚拟化是对物理网络机器组件比如交换机、端口以及路由器进行抽象(和转义表示)。采用网络虚拟化,用户可以将多个物理网络抽象为一个虚拟网络,或者将一个物理网络分割为多个逻辑网络。
5.桌面虚拟化 Desktop Virtualization - 桌面虚拟化是指计算机的桌面进行虚拟化,以达到桌面使用的安全性和灵活性。支持企业级实现桌面系统的远程动态访问与数据中心统一托管的技术。
二、关于云计算技术
5.软件定义网络(SDN)Software Defined Network - 一种网络虚拟化方法,致力于优化网络资源,使网络快速适应不断变化的业务需求、应用程序和流量。SDN可分离网络的控制平面和数据平面,通过软件接口动态调整控制平面,使得软件管理网络基础设施成为可能。
常用的SDN架构方案包括软件和硬件两种,软件架构方案主要采用开源的OpenFlow控制平面协议和Open vSwitch虚拟交换机来实现,配合通用物理网络设备和VLAN、VxLAN等物理网络即可实现基于叠加网络的SDN网络功能;而硬件架构方案则需要采购专门的SDN交换机设备,配合专用的SDN控制器来实现SDN网络功能;目前主流的云计算平台均主推软件方案。
三、关于云计算概念
1.资源池 Resources Pool - 资源池是被虚拟化了的基础设施——服务器、存储、网络等的集合。由于物理计算资源在被虚拟化后,原有的物理隔离被打破,从而可以集合到一起共同对外提供服务,如同水滴汇聚为池塘。
2.云计算 Cloud Computing - 一种无处不在、方便、可按需访问共享计算资源的有偿服务模式。这种模式提供可用的、便捷的、按需的网络访问, 进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。云计算通常分为三个基本服务级别IaaS、PaaS、SaaS,可部署在组织内(私有云),用于任何组织和个人(公有云)或者其它组合模式(混合云)。
3.私有云 Private Cloud - 私有云是专供一个企业或组织使用的云计算资源,因而提供对数据、安全性和服务质量的最有效控制。一般部署在自家数据中心上,也可以付费给第三方的提供商托管。私有云极大的保障了安全问题,目前有很多企业已经开始构建自己的私有云。
4.公有云 Public Cloud - 公有云或公共云是基于标准云计算的一个模式,在其中,服务供应商创造资源,如应用和存储,公众可以通过网络获取这些资源。业界比较有名的公有云厂商有:Amazon AWS、Microsoft Azure、Google Cloud、阿里云、腾讯云等。
5.混合云 Hybrid Cloud - 混合云是两种或两种以上(公有云、私有云)云服务方式的结合,通过技术手段支持数据和应用程序在两者之间迁移,能够为企业提供更大的灵活性和更多的部署选项。由于安全和控制的原因,并非所有的企业信息都能放置在公有云上,这样大部分已经应用云计算的企业将会使用混合云模式。很多都会选择同时使用公有云和私有云。
6.云备份 Cloud Backup - 云备份是指将数据备份到基于云的远程服务器的过程。
7.云迁移 Cloud Migration - 云迁移是指将公司的所有或一部分数据、应用程序和服务从本地迁移到云端的过程,它还可以包括将数据从一个云环境移动到另一个云环境。
8.云安全 Cloud Security - 云安全是网络时代信息安全的最新体现。它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络软件行为的异常检测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发给每一个客户端。
9.云存储 Cloud Storage - 云存储是一种计算机存储模式,数据存储在由一家托管公司(云服务提供商)管理的设施(常常是多个设施),用户通过网络来远程访问这些数据。
10.云操作系统 CloudOS - 云操作系统,又称云OS,是云计算后台数据中心的整体管理运营系统。它是指架构于服务器、存储、网络等基础硬件资源和单机操作系统、中间件、数据库等基础软件管理海量的基础硬件、软资源之上的云平台综合管理系统。Windows Azure、BingoCloudOS就是云操作系统的例子。该术语有时还用来指基于云的客户端操作系统,比如谷歌的Chrome OS。
11.弹性计算云(EC2)Elastic Compute Cloud - 弹性(Elasticity)是指一个软件系统可以根据自身需求动态的增加和释放其所使用的计算资源。弹性云服务,例如,亚马逊弹性计算云(Amazon Elastic Computing Coud, 简称Amazon EC2)。
12.虚拟私有云(VPC)Virtual Private Cloud - 在有些场合也被翻译成私有网络或者专有网络等。在公有云上构建隔离的、用户自主配置和管理的虚拟网络环境,用户在使用的时候不受其他用户的影响,感觉像是在使用自己的私有云一样。
13.VisionStack统一云管理平台(私有云)- VisionStack是杭州云容科技基于OpenStack自主研发的一款私有云产品,具有简单、易用、稳定的特点,仅1台中等配置服务器也可完成部署,并且支持随时扩容,适用于各行各业的私有云需求场景,极大提升企业整体IT的运维效率,降低IT运维成本。
四、关于云计算服务模式
1.基础设施即服务(IaaS)Infrastructure-as-a-service - 通过软件平台提供类似物理IDC的基础设施资源池,并从中分配主机、网络、存储等资源,使得基础设施资源具备弹性扩展能力,大幅提升资源交付效率和密度,降低IT成本。
2.平台即服务(PaaS)Platform-as-a-Service - 可基于IaaS平台或物理基础设施提供各种软件开发组件,如数据库、消息队列、负载均衡、缓存服务等中间件平台。近年来PaaS的定义范围也扩展到了业务编排、调度服务,与微服务架构配合用来实现业务的自发现、自运维、自恢复等功能。
3.软件即服务(SaaS)Software-as-a-Service - 通过网络为用户直接提供软件服务,而用户不需要关心软件运行在何处、如何部署维护,代表平台为Google doc、office 365等。
4.后端即服务(BaaS) Backend-as-a-Service - 后端即服务(BaaS)或移动后端即服务(mBaaS)是一种云计算模式,提供商为Web和移动应用程序开发人员提供为应用程序创建云后端的工具和服务。BaaS提供商通常使用自定义的SDK和API,让开发人员能够将其应用程序连接到后端云存储和众多功能,比如用户管理、推送通知以及与社交网络整合。
5.功能即服务(FaaS) Functions-as-a-Service - 这是支持无服务器的app管理、开发的云服务,常见的FaaS提供者包括AWS Lambda、Azure函数和谷歌云函数。
五、关于云计算特性
1.业务连续性 Business Continuity - 业务连续性是计算机容灾技术的升华概念,一个由计划和执行过程组成的策略,其目的是为了保证企业包括生产、销售、市场、财务及其他各种重要的功能完全在内的运营状况百分之百可用。可以说,业务连续性是覆盖整个企业的技术及操作方式的集合,其目的是保证企业信息流在任何时候以及任何需要的状况下都能保持业务连续运行。
(1)解决网络拥塞问题,服务就近提供,实现地理位置无关性
(2)为用户提供更好的访问质量
(3)提高服务器响应速度
(4)提高服务器及其他资源的利用率
(5)避免了网络关键部位出现单点失效
3.高可用HA High Availability - 通常来描述一个系统经过专门的设计,从而减少宕机时间,而保持其服务的高度可用性。计算机系统的高可用性是通过系统的可靠性(Reliability)和可维护性(Maintainability)来度量的。工程上,通常用平均无故障时间(MTTF)来度量系统的可靠性,用平均维修时间(MTTR)来度量系统的可维护性。于是可用性被定义为:MTTF/(MTTF+MTTR)*100%。几种较为常见的手段和方式(但不限于):
•复制与备份 Replication And Backup - 这主要是从存储的角度保证状态的可用性,比如采用RAID(冗余磁盘阵列)通过冗余的数据备份存储保证数据的高可用性;比如,异地数据中心之间的数据备份与灾难恢复。
•失败自动切换 Failover - 为了保证系统的高可用性,还可以引入Failover机制,比如应用程序运行期间的热插拔(hot swap),或者虚拟IP(Virtual IP)之间的切换等,都属于Failover的范畴。
•集群 Cluster - 众多相同的业务,部署在众多不同机器上。如果某个节点失效,它的备援节点将在几秒钟的时间内接管它的职责,从而实现高可用。
•负载均衡 Load balance - 正如上文提到的,负载均衡通过设置的策略分发负载压力,避免单点故障。
4.可伸缩性/可扩展性 Scalability - 可伸缩性(可扩展性)是一种对软件系统计算处理能力的设计指标,高可伸缩性代表一种弹性,在系统扩展成长过程中,软件能够保证旺盛的生命力,通过很少的改动甚至只是硬件设备的添置,就能实现整个系统处理能力的线性增长,实现高吞吐量和低延迟高性能。
六、关于容器
七、其他
1.中间件 Middleware - 中间件是处于操作系统和应用程序之间的软件,它经常作为一种通信服务,使应用程序可以连接。
2.应用程序接口(API)Application Programming Interface - 提供应用程序与开发人员基于某软件或硬件可访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。
3.内容分发网络(CDN)Content Delivery Network - 内容分发网络,是一种物理分布式服务器,可为每个用户提供内容路径优化(通常为静态的),减少传输时间和网络负载。简单来说,可以理解为分布在每个县城的火车票代售点,用户在浏览网站的时候,CDN会选择一个离用户最近的CDN边缘节点来响应用户的请求,这样海南移动用户的请求就不会千里迢迢跑到北京电信机房的服务器(假设源站部署在北京电信机房)上了。
4.地域 Region - 物理区域概念,比如华中地址、华东地址。一般一个VPC租户选择在一个Region里面,不会跨Region。如果用户的业务需要跨Region,目前方案需要在不同的Region创建不同的VPC。在公有云中把Keystone(身份认证和授权)和Glance(镜像管理)定义为Region级别的组件,同一个Region共享Keystone和Glance。用户选Region,创建VPC,选择了Region就选择了部署的位置。比如业务主要在华东地址,就选择华东地区的Region。
5.服务等级协议(SLA)Service-Level Agreement - 服务等级协议是关于网络服务供应商和客户间的一份合同,其中定义了服务类型、服务质量和客户付款等术语。典型的SLA 包括以下项目:分配给客户的最小带宽;客户带宽极限;能同时服务的客户数目;在可能影响用户行为的网络变化之前的通知安排;拨入访问可用性;运用统计学;服务供应商支持的最小网络利用性能,如99.9%有效工作时间或每天最多为1分钟的停机时间;各类客户的流量优先权;客户技术支持和服务等。
6.厂商锁定 Vendor lock-in - 客户依赖于单一的云提供商技术,在大量成本、法律约束或技术不兼容性等问题的影响下,在未来无法向其它厂商迁移的状况。基于开源OpenStack开发的私有云平台VisionStack没有被厂商锁定的风险。
7.总拥有成本(TCO)Total Cost of Ownship - 是一项帮助组织来考核、管理和削减在一定时间范围内组织获得某项资产的相关联的所有成本的技术。计算TCO的因素包括软件解决方案成本(购买或开发),硬件(购买或租赁,以及持续维护),系统工具和公用设施以及人员成本。
应用层
HTTP 是 WWW 浏览器和服务器之间的应用层通信协议,所传输数据的主要格式是 HTML 。HTTP 定义高级命令或者方法供浏览器用来与Web服务器通信。
POP3 - 简单邮件传输协议,邮件客户端和邮件服务器使用。
TELNET 和 SSH - 远程终端协议,用于远程管理网络设备。TELNET 是明文传输, SSH 是加密传输。
SNMP - 简单网络管理协议,用于网管软件进行网络设备的监控和管理。
是德科技 Keysight www.keysight.com.cn
