谈谈IXIA虚拟化测试解决方案如何能帮助“化云为

我们直接控制物理服务器里面的虚拟服务器，把虚拟服务器里面的虚拟NIC端口变成了跟IXIA硬件板卡端口一样的功能进行流量的产生和接收分析。这就是我们独立运行在VM环境的中的IxNetwork VM和Ixload VM.，其中IxNetwork VM focus在2－3层流量的模拟分析上而IxLoad VM则聚焦在实际应用的4－7层的流量上。本文我们主要谈谈Ixload VM的应用场景。IxLoad-VM-IXIA测试端口的虚拟化实施，用于模拟用户和服务。IxLoad模拟客户端请求和服务器响应的全部功能都可以从VM中获得。虚拟化环境可以将性能衡量从预部署实验室移到实时网络上进行。企业可以创建虚拟环境，以明确衡量经过配置的实时网络的性能，而不需要停机。使用IxLoad-VM可以进行多项重要的衡量工作：
        （1）当客户端与服务器位于同一台物理主机上时衡量KPI。这样做可以免去外部网络带来的开销，同时允许对虚拟交换机延迟和吞吐量进行衡量。
        （2）当客户端与服务器位于现用数据中心内的不同虚拟机上时衡量KPI。这样做允许直接衡量数据中心网络的延迟、吞吐量和响应情况。
        无论是使用光纤通道直接与服务器主机总线适配器连接的光纤通道系统还是通过CNA与FCoE交换机连接的系统，存储阵列的性能都对云性能有至关重要的影响。针对这一点，IXIA设计了一款IxLoad附加插件：IxLoad-I/O——属于IxLoad-VM的一项功能，用于向存储阵列生成I/O请求。这样做可以明确存储系统的特性，而不需要产生应用程序性能开销。IxLoad IO通过在IxLoad VM软件里面直接对一个本地或网络Mount的Drive进行IO的读，写操作可以测试多台虚拟机同时对本地硬盘进行读写命令时真实竞争本地资源，或对网络Drive的读写生成大量网络流量的场景，提供实时的统计数据，让用户清晰直观的看到虚拟系统的真实性能如何。
        把IXIA的软件虚拟化移植到虚拟服务器的要求其实很早就来自于长期使用我们测试套件的设备厂商的大量用户之中。由于像Cisco，Juniper，Brocade这一类走在虚拟化前沿的NEM客户都想为自己的数据中心客户提供一整套解决方案，他们就不得不除了研发网络设备以外也要投资研发自己的高端服务器。但是老兵遇到了新的问题。在他们现有的网络设备研发测试中，对IXIA的测试工具已经十分的依赖。可是到了服务器测试的领域，他们发现很多测试的内容是十分一致的，比如VM与VM之间还是有很多协议的交互，比如ICMP，IGMP，DHCP，ARP，HTTP，FTP等。也有很多流量的模型建立分析任务。最有意思的是像虚拟机中的vSwitch的测试内容，从MAC的学习，老化到对报文的转发几乎跟真实的交换机测试没有什么重大的差别。那么真实的交换机测试他们已经有很熟悉的IxNetwork，IxLoad软件，现在到了虚拟的服务器测试了，反而傻眼了。他们迫切希望能在虚拟化的场景里面有一套他们已经很熟悉的界面工具帮助加速自己新的服务器项目的研发，测试。当你看到IxLoad VM的界面，你不会感到丝毫的陌生，感觉跟IxLoad软件没有大的区别，实际上跟本就没有区别，就是同一个软件，只不过传统的板卡被VM虚机所取代，传统的物理测试端口被虚拟的NIC网口所取代，用户学习新的软件界面的时间几乎是零。除此之外，为了便于用户同时发现，管理在虚拟环境中会大量遇到的VM数目，我们还提供IXIA VM Discovery的服务（见图1），帮助用户集中的自动发现存在虚拟机中的VM，大大提高了管理，使用效率。
        
        图1  IXIA VM Discovery的服务

 
        很多人关心虚机迁移的测试，我们知道在VM的环境中能做到及时的备份，实时的维护和检修。这其中VM的快速部署和迁移的性能就至关重要了。我们有了IxLoad VM这种植入到虚机内部的探针后，试想一下，如果我们在一台物理服务器的其中一个VM里面作为一个客户端去访问同个物理服务器里面的另一个VM的Web Sever，去下载一个比较大的比如5MB大小的网页或文件，正常情况可能要用60s。但是如果我们要对这个Web Sever的虚机做维护或升级，我们又不想断开这个客户端的访问链接体验。那么我们用Live Migration的手段将Web Server的虚机移到另外一个虚机上面去，这样一个过程对我们用户观看页面的体验（QoE）究竟是怎样的，我们会明显感觉到停顿，还是整个网页要从头下载，还是下载时间从之前的60s变成了1′30〃？没有测试过，光靠厂商提供的“理想”数据，在实际的压力环境中，没有人敢拍胸脯来保证一个精准的数据。而通过我们IxLoad VM模拟的客户端或服务器软件来模拟这整个迁移的过程，并且提供精准的TCP Connection Latency，Time to First Byte和Time to Last Byte这些综合的指标参数，我们就能比较自信的评估出客户在真实的应用场景下实际的体验是什么样子。
        最后一个也往往是最令广大企业担心的话题就是信息安全问题。对当今企业来说，关键业务，客户数据的流失，泄密意味的就是巨大的经济损失，旷日持久的法律诉讼，品牌价值的贬值。据统计，每位企业的客户的信息泄漏对该企业有大约142美金的损失，每次重大的信息泄漏，会造成平均每个企业3.42百万美金的经济损失。当企业把自己的关键业务，大量的客户信息，保密数据托管到云端时，能获得什么样的保证，这些数据是安全的，不会轻易的被骇客，竞争对手恶意的获得或损坏？任何企业在跟云托管服务提供商谈论服务水平协议（SLA）的时候，不去讨论有关信息安全的保证是不可想像的。这就给这些服务提供商提出了新的挑战，怎么能提供让人安心的服务，有没有办法能定量定性的让人感知到总体系统在被攻击的情形下，能既有效的隔离危害，又确保关键业务的带宽和性能不受太大的影响。这就迫切的需要测试工具能又产生正常合法的业务流量，又能模拟大量的攻击包括病毒，木马，后门，蠕虫，漏洞，恶意软件，垃圾邮件等的入侵。不论安全机制是物理形态还是虚拟形态，也不论其用在数据中心的哪个位置，都要在三个方面对其进行全面彻底的测试
        （1）有效性：安全机制是否有效地防止了其专门要应对的攻击。
        （2）准确性：是否出现了误报。
        （3）性能：安全机制传递的流量总量是否可以接受?这方面非常重要。
        安全设备要执行的任务非常艰巨：监控高速链路上的所有流量、检查是否存在恶意软件、抵御拒绝服务攻击等。它们必须能在处理大量流量时发现和阻止攻击。同样，它们也必须在攻击较猛烈的情况下传递总量可以接受的“正常”流量。无法在满负载的情况下阻止渗透的安全设备很容易就能被攻破，而在受到攻击时阻挡关键业务应用程序的安全设备可以视为实际已被攻破。IXIA的IxLoad Attack由此因运而生。我们的目标就是帮助验证“将网络危害阻挡在传播阶段”。Ixload Attack包含对以下几方面测试内容的覆盖：
        ●已知漏洞测试是网络安全设备测试的基石。使用包含已知恶意软件、入侵和其 他攻击在内的大型数据库针对安全机制发起攻击。许多组织都维护此列表。一个处于领先地位的组织是由美国国家标准技术研究院（National Institute of Standards and Technology,NIST）维护的美国国家漏洞数据库（U.S.National Vulnerability Database）。Mitre Corporation提供对此数据库的访问，该数据库称为CVE（Common Vulnerabilities and Exposures,公共漏洞和风险）。截至2010年5月，该列表中列出了4.2万多个漏洞，每天添加15个以上。此外，必须使用各种规避技术应用已知漏洞。数千个已知漏洞与数十个规避技术结合使用要求所有可能性的子集均用于测试。测试工具提供有代表性的样本，其中包括新发布漏洞的特殊案例。
        ●分布式拒绝服务。拒绝服务攻击通常使用大量已被黑客接管的计算机。这些计算机被称为“僵尸”（zombie），它们使用数十种攻击技术，旨在让网络和安全设备不堪重负。此类型的测试要求测试设备能够模拟数千台计算机。设备必须进行测试，以确保没有拒绝服务攻击（不管是单一攻击还是联合攻击）能使设备失效。此外，必须衡量DUT接受新连接并提供可接受的性能级别的能力。
        ●加密的流量。随着企业转为将多个站点、移动和远程用户一起连接到公司的虚拟专网（VPN），数据加密变得日益重要。在性能测试期间,必须实际将加密流量与未加密的流量混合在一起。建立加密连接的速率特别重要，这表示网络在中断后恢复正常运行的速度。
        ●数据泄漏测试。数据泄漏测试需要“由内而外”传输数据，以确定数据丢失防护设备是否能检测到禁止外泄信息的泄漏。所有出站途径都必须经过测试，其中包括电子邮件、电子邮件附件、基于Web的邮件、Web窗体数据、FTP和即时消息。
4  结束语
        每当有新的热门技术出现在历史舞台上的时候，人们难免都会产生这样和那样的担忧。对云计算也不例外。第一波的试点热度过后，很多现实的问题，经验教训都会浮出水面。人们会更理性的去看待云能给自己的企业带来的价值和隐患。 那么在下一波更大规模的实际部署之前，必然对专业的测试方案和工具的需求更加迫切。IXIA借着本身在IP以太网10多年的丰富测试经验和积累陪同大家一起成长，通过不断丰富云相关的测试解决方案，相信我们能帮助加速云时代的到来，看到云技术在企业中能真正的“化云为雨，落地应用”。