关注交换机的细节问题

我们又开始了交换机的公开比较测试。此次测试的重点在安全领域，比如交换机能够支持的认证方式，支持端口控制能力，厂商开发的一些标准或者非标准的安全功能。

性能测试不是此次测试的重点，但是我们还是做了两部分的测试，一个是简单的性能转发，一个是acl的性能转发。

简单性能转发测试里，我们进行了网状拓扑的转发测试，两个千兆分别和两组每组10个百兆端口进行双向的通信，余下的4个百兆端口进行全网状的通信，即一个对另外三个。

而后是延迟测试，测试交换机百兆端口和千兆端口的延迟。

这一测试完成之后是加ACL的测试。我们要求被测设备每个端口添加10条acl，要求交换机丢弃进入到交换机的udp目的端口号从1001到1010的数据包。这样的想法是来自于冲击波的病毒防范。一些工程师会采用这样的方法丢弃病毒数据包，保证网络的安全。这是一个比较初级的手段。重复进行吞吐量和延迟测试。

总体看增加了ACL之后的吞吐量测试和延迟测试结果，与前者差距不大，甚至有的产品的延迟还要低一些。究竟延迟测试需要多次取样，取平均值，我们测试的3次取平均值，还是可能会导致有一些结果的偏移，总体看应该是增加acl后延迟区别不大。

我们收到的交换机都支持2/3/4层的ACL，但是区别还是蛮大的。比如有的交换机或者版本上，只能支持总共不足100条ACL，这样提交给所有的端口，统一的10条acl就会不足。有的产品配置的时候看到acl的序列号有很多比如1-255，但是当提交到第10条的时候就会失败。

很多用户可能从来不在交换机上部署acl。但是假如网络出现异常，acl是一个应急的好方法（我不觉得会是长久之策）。但是，仅仅看厂商支持不支持可是不行，应该看看支持多少，其实也不难，添加几次就可以。区别还真挺大。

我们的测试还在继续，性能测试除了几家版本不对的产品，已经告一段落。我们接下来要测试acl的易用性、认证功能、以及其他的安全特性。这部分测试很多是有很大差异性的，厂家的理解不一样，做法也不同。