Secoway USG9310

华为赛门铁克Secoway USG9300率先采用控制模块、接口模块以及业务处理模块相互独立的架构。接口模块基于双NP处理器，保证接口流量线速转发；业务处理模块基于多核多线程架构，确保NAT、ASPF、Anti-DDoS、VPN等多种业务高速并行处理。

性能：网络应用的基础

本次测试中，《网络世界》评测实验室有幸以高级合作伙伴的身份，成为思博伦概念验证实验室(SPOC Labs)中第一个进行正式产品测试的用户。利用其TestCenter和 Avalanche 2900测试仪表为Secoway USG9310进行万兆网络的网络层及应用层测试。测试中Secoway USG9310配置了两块万兆接口模块及两块业务模块。（测试拓扑图参见图1、图2）

一、网络性能测试

1.吞吐量

通过吞吐量测试，可以考查被测设备是否具备真实的万兆网络处理能力。

测试结果显示，Secoway USG9310配置单块业务板，在64Byte小包、双向全双工透明模式下，吞吐量为25.82%（5.16Gbps），路由模式下吞吐量为27.26%(5.45Gbps)，路由模式下加载1000条防火墙策略下同样为27.26%(5.45Gbps)，512Byte以上包长时吞吐量均可到达50%（10Gbps）。在配置两块业务板时，在64Byte小包单向均可以达到线速处理，双向全双工透明模式吞吐量为50.09%（10.02Gbps），路由模式下吞吐量为54.09%(10.82Gbps)，路由模式下加载1000条防火墙策略下同样为54.09%(10.82Gbps)，512Byte以上包长时吞吐量均可到达100%(20Gbps)。（测试结果参见图3）

2.数据包转发速率

Secoway USG9310在数据包转发速率测试中成绩出色。配置单块业务板在64Byte小包、双向全双工透明模式下，数据包转发速率达到768万（7683890 PPS）数据包每秒，路由模式下为811万（8112589 PPS）数据包每秒，路由模式加载千条防火墙策略结果与未加防火墙策略相同。在配置双业务板卡 64Byte小包下，透明模式的数据包转发速率可以达到1488万以上（14880952 PPS）。路由模式下数据包处理速率更高，可以达到1609万以上（16098214PPS）。路由模式加载千条防火墙策略结果与未加防火墙策略相同。

从测试结果来看，Secoway  USG9310吞吐量随业务板数量的增加而增加，数据包处理能力同样呈线性增长，足以满足目前万兆核心网络的数据传输需求，在攻击爆发小包较多的极端情况下，仍可应对自如。

3.延时

测试结果显示，Secoway USG9310时延测试性能出色。最低时延为10%吞吐量状态下64Byte时的55.71微秒，最高时延为90%吞吐量状态下1518Byte时的71.72微秒。轻载时延与重载时延的差距十分小，基本在1～2微秒之间，只有1518Byte时才有10微秒的差距。这可以反映出Secoway USG9310在数据流量变化时，可以有效地保证数据传输的稳定性。

二、应用性能测试

本次测试中采用了一对Avalanche 2900应用性能测试仪表，对Secoway USG9310的并发连接数及新建连接速率进行了测试。

1.并发连接数

测试结果显示，无论在透明还是路由模式下，Secoway USG9310（双业务板）的并发连接数均可以达到500万并发连接以上，而500万并发连接已是一对Avalanche 2900所可以达到的测试极限。这表明Secoway USG9310的实际并发连接能力应远高于500万并发连接。

2.新建连接速率

测试结果表明，Secoway USG9310（双业务板）具有十分强大的应用处理能力，透明及路由模式下最大新建均在46万以上，最大新建连接处理速率为480948连接/秒。这一成绩同样也达到了一对Avalanche 2900的测试极限。

防护：安全的保障

一、防攻击功能测试

本次测试采用了Synflood和UDPflood攻击，对Secoway USG9310的防攻击功能进行了测试。在未打开防攻击功能时，服务器受到攻击，文件无法下载，打开防攻击功能后，攻击流量被阻止，但正常访问不受影响，可以正常下载文件。

二、IPSec测试

本次对Secoway USG9310的IPSec并发隧道数同样进行了测试。测试中利用测试仪表生成了并保持了16万条IPSec IKE V2隧道。本次测试还对Secoway USG9310所支持的ISAKMP自协商、Manaul手工协商、Template模板方式及IKE V2等IPSec相关功能进行了测试，所有测试项目均一次性顺利通过。

功能多样 性能强健

以上测试结果显示：Secoway USG9310具备强悍的网络处理性能，高精确度的攻击防护能力。其基于模块化多核处理器的硬件构架，提供了十分优异的数据处理能力，并能通过增加处理模块的形式，使处理性能再进一步提升，完全可以为Internet服务提供商、大型企业、园区网、数据中心的核心网络提供高性能的安全防御。尤其是Secoway USG9310所具备的超高应用层并发连接及新建连接能力，充分为未来的网络应用做好了准备，可以有效地保障核心网络的稳定运行。