网络通信 频道

安全高性能 H3C S1850-28P交换机评测

   前言:对于越来越多的中小企业而言,采购设备往往不仅要满足当前的需求,还需要考虑未来一段时间内业务规模的增长。随着这两年用户对网络安全的认知加大,“安全”也成了网络设备采购的一个潜在指标。尽管中小企业会对产品价格敏感,但这并不意味着用户会为了性价比而不关心技术细节。如何选择一款质优物美的产品,成为了大家更为关心的话题。 

可靠安全的高性能交换机H3C-S1850-28P

   【IT168 评测】H3C S1850系列以太网交换机是杭州华三通信技术有限公司(以下简称H3C公司)专为构建高性能网络需求而自主研发设计并推出的全千兆二层网管交换机,在满足高性能的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性;可广泛应用于政府、中小型企业、普职教、安防监控以及酒店等多行业的网络建设场景。

  H3C S1850系列共有4款产品,分别是10端口的S1850-10P,28端口的S1850-28P,28端口且带有POE供电功能的 S1850-28P-PWR,以及52端口的S1850-52P。本次评测的具体型号是S1850-28P,这款产品由于配置合理,同时也是选用频率较高的一款产品。

可靠安全的高性能交换机H3C-S1850-28P

可靠安全的高性能交换机H3C-S1850-28P

可靠安全的高性能交换机H3C-S1850-28P

可靠安全的高性能交换机H3C-S1850-28P

   产品外观

  S1850-28P是一款布局紧凑的交换机,它的外形尺寸是440×173×44(mm),其中前面板包含24个10/100/1000Base-T以太网端口,以及4个100/1000 Base-X SFP光口。

H3C-S1850-28P产品外观

  尽管体积较小,但这并不意味着S1850-28P功能缩水,它依然配有Console口,可以很快捷的针对交换机进行高级功能的配置,同时该机型也内置了Web界面,通过简单的方法启用该功能后,可以通过Web界面来完成后续的复杂配置。

H3C-S1850-28P产品外观

  另外,这是一款无风扇的交换机,所以我们可以将它安心的放置在办公区域,而不需要担心噪音打扰到同事。

  简单配置,急速上手

  通过Console连接到交换机,加电后依次进行开启http服务、配置IP地址、配置管理员账号、分配账号访问方式的配置,即可通过Web的方式针对交换机进行配置。真正做到傻瓜化配置。

  [H3C]ip http enable

  Info: HTTP server has been started!

  [H3C]interface Vlan-interface 1

  [H3C-Vlan-interface1]undo ip address

  [H3C-Vlan-interface1]ip address 192.168.10.44 255.255.255.0

  [H3C-Vlan-interface1]local-user admin

  [H3C-luser-admin]service-type telnet

  [H3C-luser-admin]password simple admin

  [H3C-luser-admin]super password level 3 cipher admin

  另外,S1850-28P还支持通过FTP、TFTP实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,使设备管理更方便。并且支持SSH2.0等加密方式,使得管理更加安全。

   功能丰富,策略全面

  首先在浏览器中输入我们刚才配置的交换机IP地址,登录到其Web界面。此处依次输入用户名和密码即可登录,同时在登录界面,我们可以选择中文或英文的界面语言。

H3C-S1850-28P产品外观

  登录到系统中后,会自动进入到“设备概览”选项卡,在该选项卡下,可以看到交换机的CPU与内存占用率,以及日志和交换机的基本信息。在“系统日志”处,可以很清晰的看到用户的登录情况,以及网卡的通断等操作详情。对于管理员排查问题故障有着积极的帮助作用。而右侧的“INFO”则可以通过写入描述信息,方便在海量设备需要维护时,确认设备的相应物理信息,如所在的办公室、设备维护人等。

H3C-S1850-28P产品外观

  修改INFO中的信息,实际上是修改的SNMP信息。在设备→SNMP下,对属性信息进行修改即可。不仅远端SNMP连接过来可以看到这些信息,在“设备概览”下,同样可以看到这些数据。

H3C-S1850-28P产品外观

  在“设备信息”选项卡下,可以通过查看交换机上不同端口的颜色,来确定端口的工作情况。例如,绿色标示工作正常,而灰色标示并未连接网线。

H3C-S1850-28P产品外观

  尽管在初次配置时需要使用Console进行连接,但在后续运维中,可以说基本上不再需要和Console打交道。例如在升级固件时,可以直接在设备→设备维护→软件升级下,从本地上传新的固件进行升级。

H3C-S1850-28P产品外观

  如果担心配置出错导致产生严重故障,也可以在设备→配置管理→配置备份下,提前将现有配置保存成文件,方便在出现问题时回滚。

H3C-S1850-28P产品外观

  对于企业中日常性的设备盘点,也可以不需要事必躬亲,跑到交换机跟前挨个抄MAC地址和产品条码。通过设备→设备维护→电子标签,我们可以很方便的获得这些信息。

H3C-S1850-28P产品外观

  S1850-28P对端口的配置也可以在Web界面完成,通过设备→端口管理→设置/详情/显示,可以非常方便的对这些数值进行调整,要知道即使在Console下,这些配置的设置也是非常繁琐的。通过端口限速,可以防止恶意侵占网络带宽,也为网络带宽的精细化管理提供了手段。

H3C-S1850-28P产品外观

H3C-S1850-28P产品外观

  有些时候,我们需要对网络流量进行审计,这个时候就需要交换机需要拥有端口镜像功能,可以将一个或一组端口的流量镜像到某一个端口上进行sniffer。S1850-28P提供了一组镜像端口的能力,可以通过点选的方式,来设定哪些端口是监视口,哪些端口是镜像口。端口的启用、关闭,以及功能的启用、关闭都可以通过点击完成。

H3C-S1850-28P产品外观

  在设备→接口统计信息下,可以查看到每个端口的流量情况,通过简单的分析,这里的数据也可以方便网络工程师对网络故障进行排查。

H3C-S1850-28P产品外观

  至于像VLAN、VLAN虚接口、IPv4路由等基础功能,自然是必不可少的。而通过IGMP Snooping,则可以进行设置,为端口和组播MAC地址建立起映射关系。根据这样的映射关系,只向连有组成员的端口转发组播数据。这样在面对组播报文时,就不会转发给交换机的所有端口,从而节省大量的系统资源。

  对于规模量级较大的网络,可能需要配置生成树协议,在网络→MSTP下,可以在此进行配置。MSTP是IEEE 802.1s中提出的一种STP和VLAN结合使用的新协议,它既继承了RSTP端口快速迁移的优点,又解决了RSTP中不同VLAN必须运行在同一棵生成树上的问题。MSTP与STP/RSTP一脉相承,三者有很好的兼容性,从外部来看,一个MSTP域就相当于一个交换机,对不同的域、STP、RSTP交换机是透明的。

H3C-S1850-28P产品外观

 

   安全策略,保驾护航

  在设计之初,S1850-28P就考虑到了对安全策略功能的加强和和完善。其支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”。支持IP Source Guard特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。支持端口安全特性族,可以有效防范基于MAC地址的攻击,实现基于MAC地址允许/限制流量。

  S1850-28P提供802.1X和MAC认证方式对接入的用户进行认证,支持客户端软件版本检测、Guest VLAN等功能,和iMC配合还可以实现代理检测、双网卡检测等功能。通过这些功能的应用可以对用户的合法性进行充分的检查和控制,最大程度的减少非法用户对网络安全的危害。

  查询ARP和管理ARP的方法也非常简单,在网络→ARP管理下,可以看到已产生的ARP记录,包括VLAN和端口信息。

H3C-S1850-28P产品外观

  针对ARP防攻击,系统提供了三种报文检测方式:

  1、如果ARP报文中的源MAC地址和以太网报文头中的源MAC地址不一致,则丢弃此ARP报文

  2、如果ARP应答报文中的目的MAC地址是全0、全1或者和以太网报文头中的目的MAC地址不一致,则丢弃此ARP报文

  3、如果ARP应答报文的源IP地址和目的IP地址或ARP请求报文的源IP地址是全0、全1或者组播IP地址,则丢弃此ARP报文

  通过这些检查方式,可以对于一部分伪造的ARP报文直接排除。

H3C-S1850-28P产品外观

  开启DHCP Snooping,可以针对端口设置信任或非信任,以放行合法的DHCP服务器。

H3C-S1850-28P产品外观

  选中特定端口后,可以设置其信任属性和DHCP的82选项。

H3C-S1850-28P产品外观

  在认证安全方面,S1850-28P支持MAC认证和802.1X认证。一般来说两种方法分别有不同的适用范围,如果企业已经搭建了Radius服务器,则可以使用802.1X认证,如果没有的话,则可以使用MAC认证,两种方法都很灵活。可以针对特定的端口开启不同的认证方式。

H3C-S1850-28P产品外观

H3C-S1850-28P产品外观

  另外还可以针对端口进行安全配置,在认证→端口安全下,拥有详细的配置选项。

H3C-S1850-28P产品外观

  绿色节能,链路聚合

  随着绿色节能的理念盛行,S1850-28P也秉承这个理念进行开发,其大幅度降低设备的功耗以及故障点,同时降低辐射,达到家用电器的辐射标准,对人体无伤害。设备采用多种绿色节能设计,满足材料环保与安全性的欧盟RoHS标准。

  另外,S1850-28P也在产品中提供了“绿色节能”的功能,通过设备→绿色节能进行配置,可以针对特定的端口,在特定的时间段进行限制是否关闭端口。该功能实现简单,且效果明显。例如可以针对一些设备所连接的端口,在非工作时段的配置端口关闭。

H3C-S1850-28P产品外观

  说起链路聚合,可能很多人并没有用过。然而这项功能随着虚拟化与云计算的盛行,开始渐渐的走进平常用户。例如群晖的NAS系统,多数都支持链路聚合,在交换机开启链路聚合的前提下,设备的传输速度可以达到1+1=2的效果。

  除却这种NAS系统,在Windows Server 2012 R2以及最新的ESXI中,系统也对链路聚合有了很好的支持。链路聚合不光为网络带来了“冗余”的特性,同时也带来了“聚合”的叠加效果。

  链路聚合的配置需要交换机、服务端的双方配合才能实现。说实话对于S1850-28P这个价位的交换机而言,能够支持多达8组的链路聚合,真的是非常超值。

  开启链路聚合只需要在网络→链路聚合下,先创建一个聚合接口,然后选择该接口所关联的物理成员端口即可。

H3C-S1850-28P产品外观

  以Windows Server 2012 R2为例,在服务端也要做一个小小的设置,通过使用“NIC”组合,将两个以上的网络接口成组,成组模式选择“LACP”,负载均衡选择“地址哈希”。

H3C-S1850-28P产品外观

  正确配置之后,可以看到网卡的带宽已经叠加。

H3C-S1850-28P产品外观

  而在交换机的链路聚合→显示页面下,也可以看到端口处于正常工作的“选中”状态。

H3C-S1850-28P产品外观

  在网络→LACP下也能够看到端口的工作状态以及对端状态。可以说链路聚合的配置方法在这里被极大的简化了。

H3C-S1850-28P产品外观


   高超性能,稳定表现

  为了准确获得S1850-28P的性能数据,我们将针对华三S1850-28P交换机的RFC2544, RFC2889性能进行全面测试,看看它的功能性能是否可以满足企业网络的需求。

  本次测试由IT168和北京信而泰评测实验室共同完成,本次测试仪器为BingTao200 机箱+T6108C板卡,TeleExplorer操作软件测试平台+TeleAPP软件测试套件,采用了以下标准:RFC2544/2889性能测试标准,GB/T 20281 信息安全技术,防火墙技术要求和测试评价方法,信产部YD/T 1287(具有路由功能的以太网交换机测试方法)。Frame Size(bytes)分别为:64、 128、256、512、1024、1280、1518。

H3C-S1850-28P产品外观

  北京信而泰科技股份有限公司,是中国市场上测试端口出货量最大的网络测试仪供应商,可实现以太网2~7层测试与协议仿真、IP网络验收与监测、IP网络及设备性能测试等各种功能。自2007年成立以来,信而泰BigTao(道)系列网络测试仪、iTester系列网络测试仪、Tlite手持网络测试仪、Teststorm2~7层测试平台被通信设备制造商、服务提供商、科研院所、高等院校、电力、交通等各领域客户广泛采用,实现对复杂网络及网络设备的各种测试。信而泰的全系列网络测试仪产品均为自主研发,可根据客户的特殊需求提供定制化服务,用户也可以基于信而泰的测试仪方便的进行二次开发。

  BigTao系列测试仪是一款统一的网络产品测试平台,能够满足研发、实验、网络监控、质量控制、生产环节等过程中的对测试的要求,提供完美的专业测试解决方案。BigTao系列测试仪支持100G、40G、万兆、10/100/1000M测试模块,可实现全网络的协议测试及仿真。BigTao测试仪支持IPv4和IPv6协议栈,单个端口能够仿真数十万个接口、模拟数千万真实用户连接,提供全球最佳性价比2-7层复杂协议的测试、仿真及一致性测试解决方案。

H3C-S1850-28P产品外观

H3C-S1850-28P产品外观
▲华三S1850-28P交换机测试连接环境

  RFC2544

  1. 1对1吞吐量

  吞吐量,即在设备不丢包时达到的最大转发速率,吞吐量的结果越大,则说明设备性能越好;

  测试仪端口T1 接交换机Port1,T2交换机Port2……;

H3C-S1850-28P产品外观

  测试结果:吞吐量达到线速转发

  2. 时延

  时延,即在设备不丢包的情况下,转发报文的时间,数值越小,则说明性能越好;

H3C-S1850-28P产品外观

  测试结果:时延比较小而且稳定.

  3. 丢包率测试

  丢包率旨在测试路由器在不同帧长不同速率时的丢包情况,丢包率越小,设备性能越好;

H3C-S1850-28P产品外观

  测试结果:从测试结果看,没有丢包

  4. 背对背测试

  以所能够产生的最大的速率,发送一定长度的数据包,并不断改变一次发送的数据包数目,直到被测设备能够完全转发所有发送的数据包,这个包数就是此设备的背对背值。反映被测设备的缓存能力。

  测试结果:

H3C-S1850-28P产品外观

  从测试结果看,没有丢包

   RFC2889

  1. 全网状吞吐量

  吞吐量,即在设备不丢包时达到的最大转发速率,吞吐量的结果越大,则说明设备性能越好;

  测试仪端口T1 接交换机Port1,T2交换机Port2……;

H3C-S1850-28P产品外观

  测试结果:吞吐量达到线速转发

  2. 部分网状吞吐量one-to-many

  确定当从多个端口传输到一个端口或从一个端口传输到多个端口时的吞吐量。和全网状吞吐量测试一样,这个测试是一个度量在无帧丢失时交换帧的性能。这个测试的结果可以被用来确定DUT当交换通信量来自多个以太网端口时,利用一个以太网端口的能力。

H3C-S1850-28P产品外观

  测试结果:吞吐量达到线速转发

  3. 拥塞控制

  拥塞控制测试是为了确定一个DUT如何处理拥塞。一个设备是否执行拥塞控制,一个拥塞的端口是否会影响到一个没有拥塞的端口。

H3C-S1850-28P产品外观

  测试结果:拥塞端口未影响没有拥塞的端口

  4. 地址缓存能力

  地址缓存能力测试是为了确定LAN交换设备地址缓冲能力。

H3C-S1850-28P产品外观

  测试结果:端口地址缓存能力为8192,符合端口设定值

  5. 地址学习速率

  地址学习速率测试是为了确定LAN交换设备地址学习速率。

H3C-S1850-28P产品外观

  测试结果:地址学习速率符合设定

  6. 错误帧过滤

  错误帧过滤测试的目的是为了确定DUT在错误或反常帧情况下的行为。测试结果说明DUT/SUT是过滤出错误的帧还是仅仅继续传播错误帧到目的地址。

H3C-S1850-28P产品外观

  测试结果:过滤超短帧和超长帧以及错误帧,正常帧放过

  7. 广播帧转发吞吐

  广播转发测试是为了确定DUT/SUT当转发广播通信时的吞吐量。

H3C-S1850-28P产品外观

  测试结果:吞吐量达到线速转发

  8. 广播帧转发时延

  广播时延测试是为了确定DUT/SUT当转发广播通信时的延迟。

H3C-S1850-28P产品外观

  测试结果:时延比较小而且稳定

  总结:

  总体来看,在性能方面,S1850-28P的表现符合预期,性能优异,系统稳定。在易用性方面,Web界面的功能与配置可以说是诚意满满,针对安全策略方面,S1850-28P提供了非常多的选择和功能保障。ARP入侵检测、DHCP Snooping以及80.21X与MAC认证,都是非常不错且实用的功能。通过这些功能,做到让最终用户可靠、安全的使用网络。


0
相关文章