車載防火墻NAT的性能測試方法

一前言

車載防火墻是針對城市軌道交通車載TCMS系統和信號系統等設計開發的邊界隔離和安全防護產品。產品采用工業級ARM多核處理器芯片的硬件架構和自主知識產權的智能工控安全操作系統（IICS-OS），基于優化的軟硬件架構提高報文的處理能力，對主流工業協議進行深度報文解析（DPI，Deep Packet Inspection），運用“白名單+智能學習”技術建立車載數據通信及車載控制網絡區域間通信模型，保證只有可信任的流量可以在網絡上傳輸。車載防火墻部署在軌交系統關鍵環節，并且在涉及車輛和地面通信時使用到防火墻NAT技術。因此，對于防火墻NAT除了全面的功能測試外，其性能測試也是不容小覷的。

二NAT對防火墻性能的影響

一條完整NAT工作流程大致可分為如下幾個步驟：當一個內網主機經過防火墻主動向外發起連接時，防火墻NAT模塊會將報文IP頭部源IP地址轉換為公網地址、同時為了提高防火墻資源利用率，還會對報文TCP/UDP頭部源端口號進行轉換。如此一來，就需要一個NAT轉換表來維護這些連接的狀態，即在業務首包通過NAT時建立相應的轉換表項，該連接的后續報文通過快速查找該表項直接進行相應的轉換。當一個連接關閉后，相關轉換表項將被刪除，回收所占用的資源。

由此可見， NAT對防火墻性能的影響主要表現在以下幾個方面：各個字段的轉換（包括IP地址、端口號、校驗和）、轉換表項的建立、轉換表項的查找。對于防火墻NAT的性能測試，也將從這幾方面進行。

三防火墻NAT性能測試方法

本文中的測試方法以源NAT為例，從NAT吞吐量測試和NAT關聯表容量測試兩個方面對防火墻NAT進行性能測試，目的NAT方法類似。圖3-1為本次測試所使用的組網拓撲圖，其中被測防火墻配有ACL策略（如果不配置ACL策略，那么所有報文都會被攔截）和源NAT策略、完成對測試報文的地址轉換，輔助防火墻配置ACL策略，用于只放行源NAT轉換成功的報文。

圖3-1 NAT性能測試組網

3.1 吞吐量性能測試

吞吐量是指在沒有丟包的情況下，設備能夠承受的最大速率。采用二分法來測試設備的性能，具體如下：在測試中以一定速率發送一定數量的幀，并計算被測設備傳輸的幀。如果丟包率為0（或者小于指定的可接受值），那么就將發送速率提高到“當前值與最大值的中間值”，并將最小值大小更新為當前值的大小。（例:當前是40%，最大是100%，那么下一個應該測試70%）。如果丟包率不為0（或者大于指定的可接受值），那么就將發送速率降低到“當前值與最小值的中間值”，并將最大值大小更新為當前值的大小，逐漸調整發送速率直至滿足沒有丟包時的最大發送速率，得出最終結果。這項測試用來確定防火墻NAT在接收和發送數據包而沒有丟失情況下的最大數據傳輸速率，是測試防火墻在正常工作時的數據傳輸處理能力。

車載防火墻NAT同時支持路由模式NAT和透明模式NAT，相應的兩種模式下吞吐量性能測試都需要驗證，本文將以路由模式為例，透明模式類似、感興趣的同學可以實操練習一下。

被測防火墻關鍵配置

（1）如圖3-2所示，1條ACL規則：源安全域-any、目的安全域-any、源MAC-00:00:00:00:00:00、目的MAC-00:00:00:00:00:00、源IP-any、目的IP-any、開始時間-any、結束時間-any、方向-雙向、動作-通過、協議-ALL。

圖3-2 被測防火墻ACL策略

（2）如圖3-3~圖3-5所示，依次配置資產、資產池和源NAT策略。

圖3-3 被測防火墻資產配置

圖3-4 被測防火墻資產池配置

圖3-5 被測防火墻源NAT配置

（3）根據實際組網連接情況，配置一條靜態路由（目標網段-106.120.100.0/24、出接口-與測試儀2口互聯接口、下一跳-測試儀2口IP地址），保證基礎路由轉發可達。

輔助防火墻關鍵配置

輔助防火墻工作在透明模式，如圖3-6、圖3-7所示，依次配置資產、ACL策略，設置ACL策略精確匹配、只放行源NAT轉換成功的報文。

圖3-6 輔助防火墻資產配置

圖3-7 輔助防火墻ACL配置

測試儀關鍵配置

在測試儀1口構造如下報文發往2口，單向流：

Protocol：UDP

Source IP：10.0.0.1，遞增N個

Destination IP：106.120.100.210

Source Port：1024

DestinationPort：1025

報文長度：分別測試64,256,512,1518字節

報文速率：采用二分法逐漸調整報文發送速率，以確定吞吐量

報文流數：調節N值，分別測試1,100,1000條流場景下的NAT吞吐量

3.2 關聯表容量測試

對于關聯表容量測試，對于1:1的源NAT和N:1的源NAT稍有不同，需要分別測試。其中1:1源NAT轉換過程中對于轉換后公網IP只需消耗1個源端口資源即可，而對于N:1源NAT轉換過程中轉換后公網IP則需要消耗N個源端口資源（通常是非知名端口1024-65535）。

1:1源NAT關聯表容量測試

被測防火墻、輔助防火墻不變，只需要簡單調整測試儀關鍵配置即可：

Protocol：TCP

Source IP：10.0.0.1，遞增N個

Destination IP：106.120.100.210

Source Port：1024

DestinationPort：1025

報文長度：512字節

報文速率：1000pps（可視具體情況動態調整，不大于設備新建能力即可）

報文流數：采用二分法逐漸調整N值，以確定可正確完成地址轉換時的IP數量。

N:1源NAT關聯表容量測試

相對于1:1源NAT，N:1源NAT轉換后源IP為同一個，因此需要調整被測防火墻地址池和源NAT策略。

被測防火墻關鍵配置

如圖3-8、圖3-9所示，修改被測防火墻相關資產池和源NAT策略配置。

圖3-8 被測防火墻資產池配置

圖3-9 被測防火墻源NAT配置

測試儀關鍵配置

方法同“1:1源NAT關聯表容量測試”。

四結語

防火墻NAT性能測試的重點在于流量模型的構建，如何調整參數使得被測設備得到一個更高的性能值是測試中的關鍵。 因此，在實際測試過程中應當做好參數設置和測試結果的詳細記錄。 此外，為避免出現一次測試的偶然性，在實際測試過程中還應當多次測試取平均值，這樣的結果才會更加準確。