思科注意到:瞻博网络EX全新4200交换机不仅填补了领先竞争对手的产品线孔,但也代表了企业接入交换的可靠办法。
在网络足球竞猜app软件世界独有的明智选择测试中,我们经受的EX 4200-48T交换机,我们用于评估其他7家厂商的10G以太网接入今年早些时候切换基准的同样严格的电池。(参见比较10G以太网交换机测试。)
结论:这是一个快速的盒子。EX 4200在每种情况下都提供了线路速率吞吐量,这是我们今年测试的唯一一个这样做的交换机。此外,10G以太网延迟是我们测量过的最低延迟。我们也对ex4200的特性集和强大的JUNOS命令行界面(CLI)印象深刻。
不过,这并不是说思科和其他公司应该收起他们的“帐篷”。这是Juniper在企业转换方面的第一次尝试,从一些地方可以看出其缺乏经验。多播支持仍然有些粗糙,我们的测试也揭示了一些安全问题。不过,这仍然是一款令人印象深刻的设备,尤其是第一次尝试。(比较的产品。)
我们测试了US $ 16,800 EX 4200-48T,它提供了48个10/100 / 1000Mbps的千兆端口,2个10G以太网端口,8个端口的PoE功能,以及多达10个交换机堆叠功能。瞻博网络还提供EX 4200-48P与从$ 18,400单电源供电的能力48个端口。这两款器件提供可选的冗余电源和支持几乎所有的交换和路由协议。
还要更快
在今年早些时候的访问交换测试中,我们发现吞吐量不再像以前那样是区别的因素,大多数机箱发送的数据包要么接近线路速率,要么不到线路速率的1%。
对于Juniper的EX 4200,没有必要说“接近”。即使在我们的Spirent TestCenter流量生成器施加的最大负载下,交换机在每一个单播和组播测试中都提供线路速率吞吐量,这两种测试都采用了2层和3层配置。没有其他开关能做到这一点。
延迟——通常是比吞吐量更重要的度量,特别是对于对时间敏感的语音和视频流量——在所有测试中都很低且一致。以线路速率测量,Juniper交换机在10G以太网链路上延迟64字节帧的平均时间为1.96微秒,最大值为2.01微秒。
这是我们在以太网交换机中记录的最低延迟。事实上,即使是EX 4200的最大延迟也小于我们在前一轮测试中测量的最低平均结果。
对于较大的1,518字节帧,在10G以太网端口上的延迟在2到3微秒范围内,在千兆以太网端口上的延迟在20到30微秒范围内。千兆比特数可以与我们测试过的大多数其他交换机相比,或者更好;10G以太网延迟再次创下新低。
组播延迟也在较低的微秒内徘徊,而在以前的测试中,在某些情况下,延迟数会高出几十倍。Juniper交换机不会占用通信流足够长的时间,从而对任何企业应用程序的性能产生负面影响。
多播成长的烦恼
虽然EX 4200在吞吐量和延迟基准测试中表现出色,但测试也清楚地表明,它的组播代码较系统的其他部分更新,而且不够健壮。
首先是好消息。所述开关的多播组容量的试验表现良好 - IGMP组的最大数量的设备可以同时支持。在EX 4200感动流量到1001个IGMPv2的群体 - 大约500小于之前的测试中,惠普的ProCurve 3500yl交换机,但仍不够好排名瞻博网络接入之间切换第二多播组容量的交换机的领导者,我们已经在今年进行测试。
但多播测试也暴露出一些问题。首先,也是最重要的一点,交换机在第三层组播测试期间自动重新启动一次。当然,这些都是压力测试,而Juniper的系统肯定不是我们在运行多播基准时导致重新启动的第一个系统。但是其他的已经超过了他们的组播组数限制,而在这个测试中使用的500组对于Juniper交换机来说应该没有问题。在任何情况下,开关都不应该自动重新启动,不管负载有多沉重。
其次,我们使用该协议的当前版本IGMPv3测试其他交换机。我们测试的Juniper软件版本支持IGMPv2,不过供应商表示将在今年晚些时候增加对IGMPv3的支持。如RFC 3376附录B中所述,IGMPv3提供了对IGMPv2的许多改进。其中最主要的是源过滤和基于源和组地址监视组状态的能力。后一种特性在不同组的发射器或接收器共享公共交换机端口的情况下非常有用。
第三,在最初的测试创建了一些组播流量的重复副本的开关,使结果无效。瞻博网络迅速发布了修正的问题提供了新的软件版本(截至记者发稿时已经提供给客户)时,在独立,而不是堆叠模式切换跑去。我们验证了新的软件消除重复。
随着人们对多播的兴趣日益增长,特别是在某些垂直行业,如金融服务,这些灾难可能会引起人们的关注。尽管如此,考虑到Juniper在复制问题上的快速反应和正在进行的多播开发,我们并不认为这些错误会成为阻碍。
亮绿色
在设备测试中,我们还测量了EX 4200在闲置和耗尽时的能耗。
使用Fluke 335钳位仪表,Juniper开关在空闲时消耗185瓦,在其控制和数据平面完全加载时消耗199瓦。相比之下,其他7个10G以太网接入交换机的空闲和满载的平均消耗分别是150瓦和174瓦。
这就把Juniper开关放在了耗电的那一边。它远不能接近316瓦的最大draw(从全负荷铸造FastIron Edge X448),但也远远低于微不足道的79瓦消耗的Alcatel-Lucent OmniSwitch 6850闲置。
认证支持
考虑到瞻博长期以来对网络访问控制(NAC)的支持,EX 4200在我们的身份验证测试中表现出色就不足为奇了。开关通过了所有六种方案,其中五种使用了802.1X。这些测试检查静态定义的虚拟LAN的身份验证;每个端口的多个客户端认证;认证到一个动态分配的VLAN;动态应用访问控制列表(ACL)的身份验证;并在身份验证失败时放置到受限制的VLAN中。
在ACL测试开关施加先前的交换机上定义的规则;这比一些其他交换机,其中的ACL必须进入RADIUS服务器认证,然后在返回给请求者所采取的做法远不如繁琐。
该交换机还通过了涉及媒体访问控制(MAC)地址认证的第六次测试;这一场景表示终端站(如打印机)缺少802.1X辅助软件的情况。这里的一个问题是,交换机的CLI没有显示当前通过MAC地址认证的客户端,就像它显示802.1 x认证的客户端一样。Juniper表示,预计将在8月份发布软件来弥补这一问题。
Juniper交换机通过了所有访问控制测试,每个场景都需要进行少量配置更改。相比之下,除了多认证之外,思科的Catalyst 3750E不需要对我们的任何场景进行配置更改。然后,思科交换机再次未能通过多身份验证测试,仅对第一个用户进行身份验证,并转发来自第二个和后续用户的未经身份验证的流量。我们测试的其他交换机很少(Extreme的Summit X450和Foundry的FastIron Edge X448是例外)通过了所有这些测试用例,无论配置是否更改。
风暴控制
像其他部署在企业网络边缘的企业交换机一样,EX 4200提供了“风暴控制”功能,以限制潜在的恶意流量率。我们使用两次拒绝服务(DoS)攻击、一次广播风暴(broadcast storm)和一次SYN泛滥(SYN flood)测试了该特性,发现交换机阻止了广播,但转发了SYN。
对于这两种测试中,我们以每秒100000帧构成的动态沐沐-4000安全分析器生成DoS攻击,然后配置具有Juniper开关来限制这样的流量线速度,或大约每秒1500帧的1%。使用Spirent TestCenter的实时速率计数器,我们验证了瞻博网络交换机做了速率限制广播流量。
然而,交换机没有控制穆的SYN Flood攻击的速度。瞻博网络称仅在广播和未知单播流量当前JUNOS版本强加率控制(即,在交换机的MAC地址表中没有现有条目流量)。这使得风暴控制挫败对随机的未知目的地“僵尸”的攻击是有用的。这不是在阻止攻击者针对特定的服务器非常有用。
可管理性和可用性
评估交换机的可管理性分为两部分,包括客观和主观两部分。目标部分很简单,因为它基于经验观察:我们验证了EX 4200通过SNMP、telnet、Secure Shell、Web、SSL和syslog支持对IPv4网络的管理。值得注意的是,这些方法都不是默认启用的,而且每个方法(以及一个FTP服务器)都可以单独开关。
在易用性方面,JUNOS CLI非常容易操作,即使我们与JUNOS的经验是有限的,日期为进入本次测试。
Unix极客一定会欣赏JUNOS的FreeBSD传统;实际上,系统的CLI是一个运行在C外壳上的进程,用户可以直接进入这个外壳。CLI还支持根据正则表达式匹配输出,而且许多配置参数的语法类似于许多Unix配置文件。任何在Unix或Linux shell上花费了大量时间的人可能会对JUNOS CLI感到很自在。
IPv6的尚未完全在EX系列的支持。交换机还不支持IPv6流量的路由(这是定于在今年年底释放),但当然L2交换成为可能。交换机管理通过IPv6网络是可能的,但不支持Web和SSL访问方法。
不重置
我们的设备管理的最终检查涉及恢复出厂设置,这被普遍认为是最佳实践退役设备(这也是在某些行业监管要求)时。
Juniper提供了四种重置方法:前置LED选项、CLI命令、USB和TFTP文件传输。不幸的是,最简单的方法——使用前置面板LED菜单——并不能完全恢复开关的出厂设置。重置之后,我们找到了之前存储的SSH密钥和配置文件。USB和TFTP下载实际上覆盖了现有的文件系统。在任何情况下,用户最好验证任何重置设备是否真的已被清除。
即使考虑到我们发现的一些缺点,EX 4200也为新产品带来了稳定的结果——事实上,比其他厂商的第三或第四产品更加稳定。虽然Juniper显然还有很多工作要做,尤其是在多播代码方面,但EX 4200在企业接入交换方面对思科构成了真正的挑战。
我们的测试Juniper的交换机
我们对Juniper的新企业交换机进行了评估,所用的方法与我们之前测试其他供应商的访问交换机所用的方法相同。下面提到的一个例外是,这次我们使用的是IGMPv2而不是IGMPv3。
这种方法包括10组测试覆盖L2和L3的单播性能;IGMP组的组播能力;L2和L3组播性能;网络访问控制(NAC)/802.1X;风暴控制;能量消耗;切换管理性,安全性,和可用性;和开关功能。详细的,完整的方法可用在这里。
在L2单播性能测试中,我们配置有一个虚拟LAN(VLAN)包括所有端口,每个开关。只有所有端口,千兆端口,只有10万兆端口:我们附有的Spirent TestCenter发生器/分析仪到交换机上的所有48个千兆以太网和两个万兆端口和奔三组测试。我们提供流量的千兆端口的全网状图案,并在网格状的万兆端口。对于每个测试,我们进行了独立的60秒的运行与64,256和1518字节的帧,以及测量的吞吐量,平均等待时间和最大等待时间针对每个帧的长度。
L3单播性能测试与L2单播测试类似,只是在本例中,我们将每个交换机端口配置为使用不同的VLAN和IP子网。
在IGMP组容量测试中,我们恢复到L2配置,启用了IGMP窥探,并设置开关作为IGMP查询器。在这个测试中,48个TestCenter千兆以太网端口中的47个加入了一些IGMPv2组;第48测试中心的港口起到了监测洪水的作用。