超大规模网络需要进行的六项测试

[{"attributes":{"bold":true},"insert":"引言"},{"insert":"\n分布式解耦型数字化转型涉及到了所有网络元素。云迁移、软件定义广域网(SD-WAN)、数据中心升级、先进的网络安全功能、物联网和应用软件扩散无一不在证明技术正在发生重大变革。组织通过数字化转型来拥抱变革，而数字化转型本身就会带来巨大的技术挑战。 \n融合数据中心以及通过超大规模数据中心网络的虚拟化来进行按需扩展的重要性日益凸显，使得构建这些网络的基本方法发生了改变。机器学习和人工智能等新应用改变了使用数据中心资源的方式。业界在对融合以太网上的远程直接存储器访问第2 版 (RoCEv2) 和媒体访问控制安全性(MACsec) 等技术重新进行设计，以解决存储负载转移增加以及基于IP 的加密方法无法适应现代数据中心的流量需求等一系列新问题。\n "},{"insert":{"image":"https://files.eteforum.com/article/202302/06f0ddf4e0d69fab.png"}},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"图 1. 超大规模数据中心技术的关键验证点 "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":" "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"网络设备制造商 (NEM)以空前的速度进行创新，从而提供构建超大规模数据中心网络所需的解决方案。其中也包括测试对象和测试方法的创新，以期先于竞争对手向市场推出高质量的解决方案。图 1 显示了组织目前正在构建的数据中心网络的关键验证点。若要取得成功，无论是对技术指标进行基准测试，还是在客户部署场所的复杂多厂商分布式开放网络中操作，您都需要确保网络解决方案具有良好的互操作性和性能。有效的测试是确保客户取得成功的唯一途径。 \n这本电子书重点介绍了对超大规模数据中心和网络设备厂家的关键网络测试领域。针对每个领域，我们都提供了简要介绍、关键测试要求、测试解决方案以及其他资源链接。\n \n"},{"attributes":{"bold":true},"insert":"第一章、融合数据中心存储"},{"insert":"\n引言 \n计算、网络和存储的融合能大幅节省设备成本、能耗和硬件占用的空间。它还能提供实现机器学习、人工智能和存储网络规模扩展所需的基础设施。\nRoCEv2和 NVMe over Fabric (NVMe-oF) 是两种旨在通过融合以太网架构满足现代存储性能要求的技术。 \nRoCEv2承诺为许多现代数据中心应用所需的大规模数据传输提供高吞吐量和低延迟。但是，它需要无损以太网做为基础，这可以通过将RoCEv2与数据中心桥接标准相结合来实现。如果数据中心以太网交换结构的配置不正确、缓冲区未经优化或者是出现其他瞬态不佳特性，应用性能会下降，在高负载下尤其明显。\n \nNVMe-oF中心传输存储工作负载的另一种高性能、低延迟的解决方案。随着 支持在主机和存储系统之间传输存储工作负载。它已成为在数据NVMe 固态硬盘的速度不断提升，传输网络逐渐成为超大规模数据中心的瓶颈，这个问题在网络拥塞期间尤为突出。\n在当今的高性能应用场景中，拥塞和丢包引起的动态时延对整体性能造成的影响要大得多。\n "},{"insert":{"image":"https://files.eteforum.com/article/202302/96f96a820ee9115a.png"}},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"图2.各种事件/操作的时延分布（图片来源：中国移动）"},{"attributes":{"align":"center"},"insert":"\n"},{"insert":" "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"关键测试要求 \n由于缺乏能够仿真存储网络工作负载的商业测试工具，导致测试时间一再延长，您不得不自己开发基于服务器的测试平台。这类测试平台的扩展和管理都很困难，并且无法提供一致、可重复的工作负载模式。您用来验证交换机和交换结构RoCE应用工作负载性能的解决方案需要衡量各种流量控制方法（PFC、ECN、DCQCN）的效果。它还必须评估对端到端应用性能和延迟（尤其是拥塞场景中）的影响。您还需要每个队列对(QP)的详细统计信息，此类信息有助于对被测系统(SUT)存在的问题进行诊断。在融合网络中，除了RoCE 之外还存在大量 \nTCP流 量，因此您需要评估SUT同时处理两种流量并确定处理优先级、实现最高效率的能力。 \n同样，如果没有能够仿真NVMe主机系统和大规模用户的测试解决方案，NVMe-oF想要扩展到真实测试场景会很困难。为此，您需要将被测网络及其组件推到拥塞点并提供相关指标。故障恢复场景也是验证的重要环节。\n \n是德科技解决方案 \nKeysight Ixia数据中心存储 100GE 测试负载模块能够以线速生成逼真的RoCEv2流量，用于表征各种存储工作负载的性能和延迟影响，并调谐交换结构参数。\n \n"},{"attributes":{"bold":true},"insert":"第二章、MACsec 加密"},{"insert":"\n引言 \n虽然加密动态数据的方法有很多种，但 MACsec 让线速加密高速以太网成为可能，这对于云和数据中心互连操作至关重要。MACsec可以加密以太网网络上两个或多个节点之间的流量。它在OSI第 2 层运行，与IPsec 和传输层安全性（TLS）以及安全套接字层等其他更常用的高层加密方法相比有许多优势。虽然MACsec标准已经使用了很多年，但现在正经历某种“复兴”。该标准加大了对合规性、数据隐私和安全性的关注力度，这就使得保护动态数据和数据中心数据变得更重要。此外，由于对以太网WAN 和 SD-WAN带宽的需求增加，加密很难跟上加密链路的原始速度。\n \nMACsec提供了一种行之有效的方法来保护特定网络链路上的所有流量，并且不受IPsec或 TLS 的性能限制。硬件驱动的 MACsec 以线速运行，确保安全性不会造成性能瓶颈。采用其他一些方法也可以在达到全线速之前提供当今所需的更快速连接。 \n "},{"insert":{"image":"https://files.eteforum.com/article/202302/4d61b3becb5c07a9.png"}},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"图 3.第 1 层 MACsec填补了链路速度超过第3层到第7 层加密速度导致的缺口（来源：思科《用于保障高速 (1-100GE)WAN部署的以太网加密创新(802.1AE-MACsec》，2019 年6月19 日更新"},{"attributes":{"align":"center"},"insert":"\n"},{"insert":" "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"关键测试要求 \n由于市面上没有有效的工具，因此MACsec验证通常采用背靠背测试方法。网络厂商连接两个能进行MACsec加密的器件，然后验证流量是否按预期流动。但是，这种方法存在严重的局限。与其他黑盒测试方法一样，背靠背测试无法提供像真实网络条件那样足够广阔的测试覆盖范围，也无法查看被测器件的加/解密状态。覆盖范围不够大以及缺乏可视性可能导致在进行外场测试时发生虚假合格、互操作性和其他问题。 \n另一个倍受关注的领域是不同类型流量下的性能。您的加密引擎处理线速流量的能力如何？处理小数据包或 IMIX 的能力如何？QoS（服务质量）、队列和缓冲有什么相互影响？如何应对突发流量？\n其他测试应当包括各种密码套件（GCM-AES-128、GCM-AES-256）的实施；加密偏移量；加密对吞吐量、时延和延迟的影响；重新生成密钥的影响；以及MACsec和非 MACsec 混合流量场景。 \n \n是德科技解决方案 \nKeysight IxNetwork MACsec测试解决方案是是德科技首款MACsec高速以太网测试解决方案，可以在逼真的混合流量环境中提供线速100GE验证。\n \n"},{"attributes":{"bold":true},"insert":"第三章、400GE 及以上"},{"insert":"\n引言 \n技术演进导致网络变得越来越复杂。400GE的普及已经开始并将在未来几年持续增长。即将到来的800GE 以新112 Gb/s电气通道技术为基础，要求整体性能、可扩展性和互操作性等测试必须随之增强。您需要与测试厂商通力合作，才能确保在需要的时候获得所需的测试工具。这决定了您能否尽早将创新产品推向市场。 \n \n关键测试要求 \n为了应对交换机、路由器和其他器件不断增加的端口数，测试平台的端口密度也在不断增加。要想获得所需的端口密度来验证25.6 Tbps 及更高速率的交换平台，您需要高端口数的测试解决方案，以便能够生成多TB 数据并能同时分析最高 400万个流量流。在进行高性能测试时，请确保您的测试解决方案不会因为扇出到 200GE、100GE 和 50GE 而失去传输流能力和接收侧的测量跟踪和测量能力。 \n \n灵活验证PAM4和 NRZ编码技术\n采用400GE的前提是必须有8 个 56 Gb/s电接口并且使用了PAM4编码技术。当前的大多数交换机专用集成电路(ASIC)都支持新PAM4 调制以及在低速技术中使用的传统NRZ编码，这让100GE升级为 400GE变得更加简单。在这些平台上对从10GE到 400GE的全部七种速度都进行测试比较有难度。互联网应用的带宽需求日益增长，为了满足这些需求，您必须对3.2、6.4、12.8、25.6 Tbps ASIC 线速流量都进行测试。 \n \n第 1 层 BER 和 FEC 性能测试 \n可靠的网络性能取决于您验证光收发模块、铜缆和链路层性能的能力。测试器件的功能互操作性及其长期比特误码率(BER) 和前向纠错(FEC) 符号性能。了解器件是否会随着时间和温度变化而产生突发错误，以及如何发现这些难以捉摸的突发错误，这些能力都非常重要。许多厂商还需要获得功能强大的测试解决方案，才能定性和定量评测硅器件、ASIC、光纤和铜缆互连、光收发信机以及端口电子器件的实际BER 和 FEC 性能。\n "},{"insert":{"image":"https://files.eteforum.com/article/202302/a6423de74a49accf.png"}},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"图 4. 面向 400GE 系统的关键测试能力"},{"attributes":{"align":"center"},"insert":"\n"},{"insert":" "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"为满足测试需求而在外场进行升级 \n在您扩大产品线时，很多测试解决方案能够满足您的功能特性、性能或速率需求。最灵活的测试解决方案甚至可以在外场进行升级，立即提升您的测试能力。您将得到更经济高效的测试，满足当前的需求，另外还能够快速、轻松地为开发团队提供更快速、更丰富的测试，帮助他们开发未来的网络技术。 \n \n是德科技解决方案 \n是德科技的Ixia AresONE-S、AresONE 高性能、AresONE 等测试系统提供了规模更大的 400GE \n测试流量生成和网络协议仿真能力。Keysight Ixia A400GE-QDD是一套专用的BERT 和 FEC 测试系统，可以更轻松、更经济地克服 400GE 电子器件BER 测试的挑战。 \neysight IxNetwork是一款全面的网络基础设施性能测试解决方案，能够生成几TB数据并能同时分析最高 400 万个流量流。 \nKeysight IxVerify是是德科技第一款也是唯一一款专为流片前验证而打造并且支持 800GE 的测试解决方案。 \n"},{"attributes":{"bold":true},"insert":" "},{"insert":"\n"},{"attributes":{"bold":true},"insert":"第四章、SONiC 开源网络操作系统"},{"insert":"\n引言 \n开源和解耦对 IT 世界产生了巨大冲击。就像 Linux 和开放计算项目(OCP)永远改变了数据中心的操作系统和服务器硬件一样，在数据中心和超大规模网络中，类似的趋势也越来越明显。其中一个趋势是开源网络操作系统 SONiC（云中开放网络软件）的普及度越来越高。\nSONiC起源于微软，目前是一个OCP项目，得到了越来越大生态系统的支持，包括ASIC 厂商、NEM 以及提供管理和应用工具的扩展生态系统参与者。得益于众多业内巨擘的支持以及超过400万个正在运行的端口，SONiC已成为一个日益成熟的真正选择。 \n围绕功能、规模、性能和弹性的关键性能指标(KPI)是数据中心取得成功的动力。在社区驱动的开发过程中，所有这些KPI都必须在集成的各个阶段进行验证，包括ASIC 开发过程中的参考箱、原始设计制造/原始设备制造以及网络运营商部署。\n "},{"insert":{"image":"https://files.eteforum.com/article/202302/2777182e8b2fafe0.png"}},{"attributes":{"align":"center"},"insert":"\n"},{"insert":" "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"关键测试要求 \n对如此复杂的生态系统展开测试也是社区在努力攻克的难题。但是SONiC社区测试工具操作起来并不一定直观易用。为了满足具体使用场景的要求，它们可能需要大量定制。此外，在创建测试中参与程度最高的社区成员往往具有很大的影响力，因此一些测试最终变成厂商专用测试。 \n为了解决一致性和复杂性问题，打造 SONiC 交换设备的 NEM 需要一站式测试解决方案为其提供全面、简化的测试。这类解决方案专注于打造产品而不是零碎的测试解决方案，因此可以帮助用户加快将产品推向市场。一站式测试解决方案还将提供一种厂商中立的方法，确保测试方法可以形成行业标准，实现跨平台验证。 \n寻找针对整个交换结构的整体系统集成测试而不是针对单个器件的测试。如此一来，您就会 知道您的网络解决方案是否真正做好了在SONiC 生态系统中运行的准备。\n \n是德科技解决方案 \n是德科技用于SONiC的 Ixia 开放 NOS 验证套件是是德科技与Aviz Networks 联合开发的一款简化型即插即用测试解决方案，填补了当今社区测试中的空白。\n \n"},{"attributes":{"bold":true},"insert":"第五章、超融合、混合云数据中心"},{"insert":"\n引言 \n应用正在快速转变为微服务集合，这些集合通常位于容器中，可以在各种环境、各种位置（核心、云或边缘）运行。SDN 控件和超融合基础设施 (HCI) 解决方案是超大规模数据中心的关键支柱。这些数据中心解决方案需要编排和优化本地基础设施、多个云和容器化应用软件。虚拟化的灵活性给NEM 建设计算基础设施和虚拟网络功能 (VNF) 带来了重大测试挑战，这些基础设施和功能需要支持各种部署环境，例如本地虚拟机和公共云中的容器。\n \n关键测试要求 \n超融合计算基础设施将会同时运行多种工作负载，而这些工作负载可能会进行大规模交互。测试需要能够对基础设施的恰当规模和配置进行验证。在扩展基础设施规模时，这个过程有助于提高性能和用户体验。它还可以帮助您的企业或服务提供商客户优化他们的投资，以及诊断负责运行工作负载的底层计算基础设施所存在的性能问题。 \n由于应用软件和数据广泛分布在多云、本地和分支边缘，网络解决方案需要提供无缝的端到端连通性以及一致的应用软件和安全策略管理。这些变化还给网络和安全体系结构的性能、可扩展性和威胁防护带来了巨大的未知性。有些厂商需要打造网络和HCI解决方案以便在这类复杂拓扑结构中使用，对他们而言，测试是在性能、用户体验和安全性之间取得平衡的关键。\n "},{"insert":{"image":"https://files.eteforum.com/article/202302/9b123601baae256c.png"}},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"图 6. 分布式网络的测试拓扑结构"},{"attributes":{"align":"center"},"insert":"\n"},{"insert":" "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"是德科技解决方案 \nKeysight Ixia Cloud Peak将真实的虚拟机或容器工作负载部署到超融合基础设施之上，从而对虚拟化网络基础设施的性能进行基准测试。 \nKeysight CyPerf是是德科技第一款云原生软件测试解决方案，可以跨越物理环境和云环境全方位重现真实的工作负载，从而在用户体验和安全性之间保持平衡。\n \n"},{"attributes":{"bold":true},"insert":"第六章、超大规模网络安全"},{"insert":"\n引言 \n超大规模网络运营商必须在网络性能、成本和安全性之间找到平衡。无论在哪一个指定网络中，他们都可以将访问控件、微分段和安全控件叠加起来。然而，每个额外的限制都有可能影响网络性能和最终用户体验。设备厂商如何确保他们的安全产品能够在安全性和性能之间找到最佳平衡？ \n安全性不会随着时间的推移变得更简单。您的产品必须能够识别传统黑客和个人或组织不严密的犯罪威胁行为人。它们还必须能够发现越来越复杂的高级持续性威胁(APT)，这些威胁能够在数据中心内部、分布式拒绝服务(DDoS) 和勒索软件攻击中横向移动。国家级的APT 尤其令人忧心，因为它们更悄无声息、更持之以恒。\n \n关键测试要求 \n创建网络安全解决方案的NEM 需要借助测试工具来验证性能、功能和安全功效，从而防范可能升级为大DDoS 攻击的真实应用和安全流量。他们还需要为流量特性最相关的潜在客户执行概念验证。在这些使用场景中，真实性对于保证测试有效性非常关键。 \n真实的应用流量\n在验证安全设备时，您选择仿真的工作负载和流量组合要能够代表真正的生产网络。正确地打造这种组合有助于了解安全解决方案对特定类型客户起到的作用。 \n真实的内容\n确保工作负载仿真中的有效负载包含真实的动态内容，因为这样可以验证安全解决方案的深度数据包检查、内容规则和数据防泄漏等功能。此外，仿真流量的真实性会对观察到的安全设备的CPU 和存储器性能产生巨大影响。不真实的仿真流量也可能无法以公平的方式显示器件的隐蔽特性。有效负载中的一串零可能会导致入侵防御系统引擎认为存在可疑情况，从而增加应用软件延迟并降低整体性能。 \n真实的威胁\n威胁的种类比以前更加多样，数量和速度不断提高，这让您很难正确地衡量安全解决方案的有效性。为了真正验证安全效果，您需要通过威胁仿真来模拟各种各样的真实技术、威胁向量和整合了合法用户和应用特性的杀伤链模型。每天的恶意软件更新还让您的测试始终能够检测到新出现的威胁。\n "},{"insert":{"image":"https://files.eteforum.com/article/202302/afc653820cb300b3.png"}},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"图 7. 安全性测试要求"},{"attributes":{"align":"center"},"insert":"\n"},{"insert":" "},{"attributes":{"align":"center"},"insert":"\n"},{"insert":"是德科技解决方案 \nKeysight BreakingPoint应用软件和安全测试解决方案是仿真合法真实流量、DDoS、漏洞利用、恶意软件和模糊测试，从而赋能安全基础设施验证的佼佼者之一。 \nKeysight CyPerf是是德科技第一款云原生软件测试解决方案，可以跨越物理环境和云环境全方位重现真实的工作负载，从而在用户体验和安全性之间保持平衡。 \n是德科技的威胁仿真器端点安全验证功能可以检验您的安全控件，验证其防御签名和基于行为的攻击的安全效果。 \n是德科技的应用和威胁情报研究中心确保您能够访问我们的安全解决方案组合中的最新应用、流量概况、威胁向量和漏洞仿真功能。\n \n"},{"attributes":{"bold":true},"insert":"结论：先进测试赋能高品质创新"},{"insert":"\n对超大规模数据中心来说，变化是永恒的主题。数据的绝对数量和传输速度在不断增加。与此同时，我们还看到技术、体系结构、计算和存储都在发生变化，工作负载与网络的交互方式也在变化。由于数据中心发生了这些变化，您在测试这些新技术和新方法以及诊断相关问题时所采取的方式理所当然也会改变。要让所有这些组件都正常运转，您需要掌握真正的平衡，而只有通过系统化的强大测试策略以及与值得信赖的伙伴合作，您才能做到这一点。 \n虽然本电子书中涵盖的测试领域存在相当大的细节差异，但在某些方面也有很多共同点。其中最重要的一点就是真实性至关重要。您的测试流量和测试方法越真实，您得到的结果就越准确、越有意义，您的产品质量也就越高。 \n另一个需要考虑的因素是，无论您进行哪种测试，都有可能在产品上市速度上承受一定的压力。虽然SONiC 等解决方案提供各种免费的开源测试解决方案，但从测试时间、易用性、功能、广度、性能、密度和按需支持的可用性等方面来看，它们的成本都非常高。 \n另外需要考虑的是，它们能否与您现有的测试自动化框架进行整合。您关注的测试解决方案是否支持您需要的API，从而有助于您实现持续整合/持续交付工作流程？ \n另外，您还需要考虑自身的API 性能验证。数据中心自动化和分析技术是IT战略的重要组成部分。因此，厂商需要确保管理和编排混合数据中心的API具有出色的稳健性、可扩展性和性能。 \n虽然成败取决于您能否快速有效地进行测试，但其他因素也很重要。除了本文档中重点介绍的是德科技产品外，我们还提供了以下资源，显著简化了与客户开展业务的方式： \n• 令人心动的融资——利用 KeysightAccess 提供的灵活且吸引力十足的融资服务，您将可以在预算范围内完成需要进行的测试。即使是在通常需要使用CAPEX预算的情况下，它也可以最大限度利用OPEX预算。 \n• 专业服务——是德科技拥有一支经验丰富的团队，随时准备提供培训、咨询、常驻专家和其他服务（包括网络测试即服务），帮助您降低风险、补充人员、加快您的项目进度。 \n• 换购升级——如果某些设备已经过时且不再享受支持服务，您也无需担心。您可以用旧设备折抵费用，用来采购新的设备。符合此促销条件的是德科技/ Ixia设备包括配有Acceleron\n、NGY、XMV 和其他负载模块的XM、XG和 XGS-HS机箱。详情请咨询是德科技公司。\n——内容来源于是德科技"},{"attributes":{"align":"right"},"insert":"\n"}]