EX 4200在每個(gè)測(cè)試中都以行頻進(jìn)行傳輸，是所測(cè)試的交換機(jī)中唯一能做到這一點(diǎn)的。更重要的是，10G以太網(wǎng)延時(shí)是所有測(cè)試結(jié)果中的最低值。EX 4200的性能設(shè)置以及強(qiáng)大的JUNOS命令行接口也給人留下了深刻印象。

當(dāng)然，這里不是說(shuō)思科和其他廠商不具備競(jìng)爭(zhēng)力了。這是Juniper首次在企業(yè)交換機(jī)領(lǐng)域有所動(dòng)作，從某些方面也看出了Juniper的一些不足。對(duì)多點(diǎn)傳送的支持還顯得有些粗糙，我們的測(cè)試也忽略了一些安全方面的考慮。不過(guò)，該設(shè)備令人印象深刻。

我們測(cè)試的是16，800EX 4200-48T，它提供了48個(gè)10/100/1000Mb/秒的千兆端口，兩個(gè)10G以太網(wǎng)端口，8個(gè)端口上的PoE功能和多達(dá)10個(gè)交換機(jī)的堆棧功能。Juniper也為EX 4200-48P 提供48個(gè)具備PoE功能的端口。兩種設(shè)備都提供了選擇性的多余電力供應(yīng)，且能稱所有交換機(jī)和路由協(xié)議。

在早前的接入交換機(jī)測(cè)試中，我們發(fā)現(xiàn)，隨著大部分交換機(jī)都以接近1%的行頻推入數(shù)據(jù)包，吞吐量不再像往常那樣作為區(qū)分因素了。

即便是Spirent TestCenter流量生成器拋出的最大負(fù)荷，Juniper EX 4200也可以應(yīng)付。該交換機(jī)在單點(diǎn)播放和多點(diǎn)播放測(cè)試中以線傳輸速率傳輸。其他交換機(jī)則不行。

延時(shí)通常是比速率更重要的指標(biāo)，尤其是對(duì)時(shí)間敏感的音頻和視頻流量來(lái)說(shuō)更是如此，在所有測(cè)試中延時(shí)低且保持了一致性。以線傳輸速率測(cè)量的時(shí)候，Juniper交換機(jī)在10G以太網(wǎng)鏈接中在最低1.96毫秒到最高2.01毫秒的范圍里平均延遲了64字節(jié)幀。

這是所記錄的以太網(wǎng)交換機(jī)中最低的延時(shí)。事實(shí)上，即便是EX 4200的最大延時(shí)也比之前測(cè)量的平均延時(shí)要低。

10G以太網(wǎng)端口的延時(shí)在2到3毫秒之間徘徊，在千兆以太網(wǎng)端口上則是20到30毫秒。

多點(diǎn)播放的延時(shí)也很低，要優(yōu)于其他產(chǎn)品的測(cè)試結(jié)果。Juniper交換機(jī)不會(huì)長(zhǎng)時(shí)間保留數(shù)據(jù)為企業(yè)應(yīng)用帶來(lái)負(fù)面影響。

多點(diǎn)播放的陣痛

雖然EX 4200給出了快速傳輸速度和延遲基準(zhǔn)，測(cè)試表明其多點(diǎn)播放代碼相較于其他系統(tǒng)部件要新一些，因此存在不可靠的地方。

交換機(jī)在多點(diǎn)播放組功能測(cè)試中表現(xiàn)優(yōu)良——它與IGMP組設(shè)備的兼容性最好。EX 4200 將數(shù)據(jù)傳輸?shù)?001 IGMPv2組中，這一數(shù)字雖然比排名第一的惠普ProCurve 3500yl少了500，但是仍然足以讓Juniper交換機(jī)排在第二的位置。

但是多點(diǎn)播放測(cè)試也表現(xiàn)出了不足之處。第一個(gè)也是最重要的一點(diǎn)是，在layer-3多點(diǎn)播放測(cè)試中，交換機(jī)自動(dòng)重啟。Juniper系統(tǒng)當(dāng)然不是第一個(gè)出現(xiàn)這種情況的。但是其他產(chǎn)品在那段時(shí)間里超出了多點(diǎn)組的計(jì)算極限，且測(cè)試中使用的500個(gè)組對(duì)于Juniper交換機(jī)來(lái)說(shuō)都不成問(wèn)題。在任何情況下，交換機(jī)都不應(yīng)該自動(dòng)重啟，不論是超負(fù)荷還是加載的時(shí)候。

第二點(diǎn)，我們用IGMPv3測(cè)試了其他的交換機(jī)。雖然測(cè)試的Juniper軟件支持IGMPv2，但是供應(yīng)商稱稍后對(duì)于IGMPv3的支持也沒(méi)有問(wèn)題。如RFC 3376，Appendix B中所述，IGMPv3提供了大量改進(jìn)。主要涉及源過(guò)濾和監(jiān)控基于源和組地址的組狀態(tài)功能。后一個(gè)功能有助于不同組的轉(zhuǎn)換器或接收器共享交換機(jī)端口。

第三，初步測(cè)試中，交換機(jī)創(chuàng)建了多點(diǎn)播放流量的拷貝，這樣會(huì)使得結(jié)果無(wú)效。Juniper快速解決了交換機(jī)單獨(dú)運(yùn)行時(shí)新軟件的創(chuàng)建問(wèn)題。我們認(rèn)為新滴軟件解除了復(fù)制。

隨著人們對(duì)多點(diǎn)播放越來(lái)越感興趣，特別是在某些垂直行業(yè)，如金融服務(wù)，這些遭遇可能令人擔(dān)憂。盡管如此，考慮到Juniper在復(fù)制問(wèn)題上的快速響應(yīng)以及它正在進(jìn)行的多點(diǎn)播放開(kāi)發(fā)工作，它這些漏洞還是不足為患的。#p#

環(huán)保方面

在設(shè)備測(cè)試常規(guī)部分，我們同樣衡量了EX 4200在閑置和全負(fù)荷運(yùn)行時(shí)的能耗。

用Fluke 335鉗表測(cè)量時(shí)，Juniper交換機(jī)閑時(shí)消耗185瓦，滿負(fù)荷運(yùn)行時(shí)消耗199瓦。比較而言，其他幾個(gè)10G以太網(wǎng)接入交換機(jī)的閑時(shí)和滿負(fù)荷的平均消耗值是分別為150和174瓦。

驗(yàn)證支持

考慮到Juniper對(duì)NAC的長(zhǎng)期鼓吹，EX 4200在驗(yàn)證測(cè)試中表現(xiàn)優(yōu)良也就不出乎人意料了。交換機(jī)通過(guò)了六種情境，其中五種使用的是802.1X。這些測(cè)試監(jiān)測(cè)了靜態(tài)定義的虛擬LAN，多客戶端的認(rèn)證，動(dòng)態(tài)分配VLAN的驗(yàn)證，動(dòng)態(tài)訪問(wèn)控制列表驗(yàn)證以及驗(yàn)證失敗后受限VLAN中的放置。

在訪問(wèn)控制列表測(cè)試中，交換機(jī)應(yīng)用的是之前在交換機(jī)中定義的規(guī)則。這樣就使得操作比其他交換機(jī)要容易。

交換機(jī)通過(guò)媒體訪問(wèn)控制地址通過(guò)了第六個(gè)驗(yàn)證測(cè)試;在第六個(gè)測(cè)試中，終端站，如打印機(jī)，缺少802.1X申請(qǐng)軟件。交換機(jī)的CLI不會(huì)顯示MAC地址驗(yàn)證的當(dāng)前客戶，因?yàn)樗鼤?huì)顯示802.1X驗(yàn)證過(guò)的客戶。

Juniper交換機(jī)用小的配置更改通過(guò)了所有接入控制測(cè)試。相比之下，思科Catalyst 3750E 要求不出現(xiàn)配置更改。再者，思科交換機(jī)沒(méi)有通過(guò)多驗(yàn)證測(cè)試，只驗(yàn)證了第一個(gè)用戶然后就將未經(jīng)驗(yàn)證的數(shù)據(jù)傳遞給第二個(gè)和之后的用戶。

風(fēng)暴控制

和其他部署在企業(yè)網(wǎng)絡(luò)邊緣的交換機(jī)一樣，EX 4200提供了風(fēng)暴控制功能來(lái)限制潛在的惡意代碼。我們用兩個(gè)拒絕服務(wù)(DoS)攻擊來(lái)測(cè)試這以功能，一個(gè)廣播風(fēng)暴和一個(gè)SYN攻擊，發(fā)現(xiàn)該交換機(jī)封鎖了廣播但是卻沒(méi)有對(duì)SYN實(shí)施限制。

對(duì)于兩項(xiàng)測(cè)試，我們配置了一個(gè)Mu Dynamics Mu-4000安全分析器來(lái)生成每秒10萬(wàn)幀的DoS攻擊，然后將Juniper交換機(jī)流量限制在1%線傳輸速率，或每秒1500幀。用Spirent TestCenter的實(shí)時(shí)速率計(jì)數(shù)器，我們證明了Juniper交換機(jī)對(duì)廣播流量的限制。

然而，該交換機(jī)不能控制Mu SYN攻擊。Juniper稱當(dāng)前的JUNOS還只對(duì)廣播和未知單點(diǎn)播放推行速率控制。這使得風(fēng)暴控制有利于挫敗隨機(jī)的，無(wú)目的的僵尸攻擊，但是不利于組織目的性的，或指定服務(wù)器的攻擊。

管理性和使用性

評(píng)估交換機(jī)管理性要分為主客觀兩個(gè)部分?？陀^部分很容易，因?yàn)樗且钥陀^試驗(yàn)為依據(jù)：我們通過(guò)SNMP，遠(yuǎn)程登錄，Secure Shell，Web，SSL和系統(tǒng)記錄幾個(gè)方面驗(yàn)證了EX 4200對(duì)IPv4網(wǎng)絡(luò)的管理支持。值得稱贊的是，所有的這些方法都是默認(rèn)啟用的，且每種方法都可以單獨(dú)進(jìn)行切換和關(guān)閉。

使用性方面，JUNOS CLI非常易于操作，即便JUNOS的使用還存在局限性。

Unix極客會(huì)非常喜歡JUNOS的FreeBSD傳統(tǒng);的確，該系統(tǒng)的CLI是運(yùn)行于C Shell之上的進(jìn)程。CLI也支持針對(duì)常規(guī)表達(dá)的輸出匹配，許多配置參數(shù)的句法類似于Unix配置文件。

IPv6還不能完全支持EX線路。該交換機(jī)不能支持IPv6數(shù)據(jù)的路由，當(dāng)然L2轉(zhuǎn)換是可以的?？梢詫?shí)現(xiàn)IPv6網(wǎng)絡(luò)的交換機(jī)管理，但是不支持Web和SSL訪問(wèn)方法。#p#

不完全是重置

我們對(duì)設(shè)備管理的最后檢測(cè)是一項(xiàng)工廠重置，通常在淘汰一件設(shè)備的時(shí)候，認(rèn)為這是最好的一種方法。

Juniper提供四種重置方法，包括：面板LED選項(xiàng)，一個(gè)CLI命令，USB和一個(gè)新圖像的TFTP文件傳輸器。

遺憾的是，使用面板LED菜單這一最簡(jiǎn)單的方法不能完全將交換機(jī)恢復(fù)到出廠設(shè)置。重置之后，我們找到了先前保存的SSH鑰匙和配置文件。USB和TFTP下載真正復(fù)寫了已有的文件系統(tǒng)。我們建議用戶在任何情況下都要驗(yàn)證重置裝置是否都已經(jīng)被清除干凈。

即便是在考慮到其中的一些不足時(shí)，我們?nèi)匀话l(fā)現(xiàn)EX 4200是可靠的。雖然Juniper還存在努力的空間，尤其是在其多點(diǎn)播放代碼方面，但是EX 4200確實(shí)是對(duì)思科企業(yè)接入交換機(jī)產(chǎn)品提出了一大挑戰(zhàn)。

我們?cè)鯓訙y(cè)試Juniper交換機(jī)

我們用相同的方法評(píng)估了Juniper的新型企業(yè)交換機(jī)。唯一的例外是我們這次沒(méi)有使用IGMPv3而是使用的IGMPv2。

這一套方法包括涵蓋了L2和L3單點(diǎn)播放性能的10套測(cè)試;IGMP組多點(diǎn)播放功能;L2和L3多點(diǎn)播放性能;網(wǎng)絡(luò)訪問(wèn)控制/802.1X;風(fēng)暴控制;能耗;交換機(jī)管理性，安全性和實(shí)用性以及交換機(jī)特性。

在L2單點(diǎn)播放性能測(cè)試中，我們?yōu)槊總€(gè)交換機(jī)配置了一個(gè)單獨(dú)的虛擬LAN。我們將一個(gè)Spirent TestCenter生成器/分析器 附加到48個(gè)千兆以太網(wǎng)和兩個(gè)10G端口，然后運(yùn)行三套測(cè)試：所有端口，僅使用千兆端口和僅使用10G端口。我們?yōu)榍д锥丝谔峁┩耆靵y的數(shù)據(jù)，為10G端口提供混亂數(shù)據(jù)。在每個(gè)測(cè)試中，以每秒分別運(yùn)行64，256，1518字節(jié)幀方式運(yùn)行，測(cè)量了每種情況的速率，平均延時(shí)，最大延時(shí)。

L3單點(diǎn)播放性能測(cè)試與L2的類似，不同之處在于我們將每個(gè)端口配置為使用不同VLAN和IP子網(wǎng)。

在IGMP組性能測(cè)試中，我們轉(zhuǎn)換到了一個(gè)L2配置，啟動(dòng)了IGMP巡視并設(shè)定交換機(jī)執(zhí)行IGMP問(wèn)詢。在這個(gè)測(cè)試中，47/48的TestCenter 千兆以太網(wǎng)端口加入了IGMPv2組中;剩下的那個(gè)端口作為監(jiān)控器存在以便發(fā)現(xiàn)攻擊。

在給組成員發(fā)送完信息并等待了至少兩次交換機(jī)IGMP查詢之后，TestCenter的ScriptMaster軟件會(huì)為交換機(jī)的第一個(gè)10G端口提供多點(diǎn)播放數(shù)據(jù)，數(shù)據(jù)會(huì)被運(yùn)往所有的多點(diǎn)播放組。每個(gè)RFC 3918,如果所有的組都收到了至少一幀，測(cè)試迭代會(huì)認(rèn)可通過(guò)。如果出現(xiàn)丟失或有攻擊出現(xiàn)，迭代會(huì)認(rèn)為操作失敗。使用二進(jìn)制搜尋法則，我們可以重復(fù)這一過(guò)程以確定多點(diǎn)播放組功能。

在L2多點(diǎn)性能測(cè)試中，我們將所有交換機(jī)端口配置成加入一個(gè)單獨(dú)VLAN，以便使用IGMP巡視和執(zhí)行IGMP詢問(wèn)。TestCenter的48個(gè)千兆端口加入了500 IGMPv2 組。Juniper交換機(jī)在測(cè)試中不支持IGMPv3，它要求使用IGMPv2。

至少等待了兩次交換機(jī)IGMP查詢后，TestCenter的ScriptMaster軟件會(huì)為交換機(jī)的第一個(gè)10G端口提供多點(diǎn)播放數(shù)據(jù)，數(shù)據(jù)會(huì)被運(yùn)往所有的多點(diǎn)播放組。使用二進(jìn)制搜尋法則，TestCenter會(huì)確定速率。在單獨(dú)測(cè)試中，TestCenter測(cè)量了既定速率下的平均和最大延時(shí)。

在L3多點(diǎn)播放速率和延時(shí)測(cè)試中，我們將交換機(jī)設(shè)置成使用單獨(dú)VLAN和IP子網(wǎng)，允許協(xié)議獨(dú)立型多點(diǎn)傳送稀疏型模式向每個(gè)端口發(fā)送數(shù)據(jù)，將交換機(jī)設(shè)置為PIM匯合點(diǎn)。測(cè)試安裝和數(shù)據(jù)模式與L2多點(diǎn)傳送測(cè)試中的類似。我們?cè)俅未_定了速率并測(cè)量了該速率下的平均和最大延時(shí)。

為了評(píng)估802.1X/NAC支持，我們制定了六種情境來(lái)描述交換機(jī)作用。在這一步，我們將交換機(jī)附著到運(yùn)行于Juniper Steel-Belted Radius Enterprise Edition 6.1(SBR)之上的Windows 2003服務(wù)器中。SBR配置使用的是Windows Active Directory證書來(lái)驗(yàn)證用戶。

在第一個(gè)情況下，交換機(jī)將一個(gè)認(rèn)證的客戶放到之前配置好的VLAN中。第二種情況與第一種類似。第三種情況是驗(yàn)證后，交換機(jī)為VLAN進(jìn)行了動(dòng)態(tài)分配。第四種情況，交換機(jī)動(dòng)態(tài)應(yīng)用了一個(gè)訪問(wèn)控制列表。第五種情況，驗(yàn)證失敗后，交換機(jī)將一個(gè)客戶放到了客戶或限制的VLAN。最后，第六種情況確定交換機(jī)端口是否同時(shí)支持802.1x和媒體訪問(wèn)控制的驗(yàn)證支持。

為了評(píng)估風(fēng)暴控制，我們使用了常見(jiàn)的攻擊技巧，如廣播和TCP SYN工具。我們將Juniper交換機(jī)配置為限制攻擊的速率，并且用實(shí)時(shí)速率計(jì)算器來(lái)驗(yàn)證了這種限制。

我們用Fluke322 和Fluke 335 鉗表測(cè)量了能耗。該測(cè)試包括三個(gè)方面：AC線路電壓，閑置和滿負(fù)荷運(yùn)行時(shí)的AC電流。我們通過(guò)配置Spirent TestCenter完全加載了交換機(jī)控件和數(shù)據(jù)傳輸，以便提供線傳輸數(shù)據(jù)。

對(duì)于管理性，安全性和使用性的測(cè)試存在客觀和主觀兩方面的因素?？陀^方面，我們確定了交換機(jī)在IPv4和IPv6網(wǎng)絡(luò)支持的管理方法，以及最佳的安全方案。我們還檢測(cè)了默認(rèn)啟用的管理方法。此外，還檢測(cè)了 啟用/禁用 文件是否會(huì)刪除所有個(gè)性化確認(rèn)信息，常規(guī)請(qǐng)求和最佳安全方案。主觀方面也就是我們?cè)诒疚闹兴劶暗脑u(píng)論。

【編輯推薦】

1. Juniper Networks推出下一代分布式企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
2. 分析師認(rèn)為EX交換機(jī)是Juniper成功的關(guān)鍵