[发明专利]基于最大新建速率的防火墙TCP并发连接数测试方法

说明书

技术领域

本发明涉及一种防火墙TCP并发连接数测试方法，尤其是涉及一种基于最大新建速率的防火墙TCP并发连接数测试方法。

背景技术

最大并发测试的主要目标是评价被测设备对TCP连接的管理和保持能力。一般来说，设备的内存越大，session表空间越多，对session的管理能力越强，则设备的TCP并发能力越高。

一般而言，TCP并发连接数有两种测试方法，一种为“只建不拆”法，另一种为“边建边拆”法。“只建不拆”的测试方法是指在建立TCP连接并获取到指定的页面后，连接一直保持，直到测试终了一次性关闭。而“边建边拆”的测试方法是指在测试开始的一段时间内，使设备达到指定的并发数，然后在接下来的一段时间内所有的连接池中一边拆线，一边新建，而总的连接数保持不变。相对而言，“只建不拆”测试方法能够较为快速地测出被测设备所可能达到的TCP并发连接数，但是这样的测试方法不能保证被测设备在测试过程中一直保持TCP连接，而“边建边拆”测试方法能够较为准确地反映被测设备在并发方面的稳定性能，因而应用较为广泛。

“边建边拆”测试方法一般分为4个阶段：

（1）协商阶段：该阶段用于测试链路的协商，一般持续时间在10秒钟以内。

（2）爬坡阶段：在该阶段中，被测设备的TCP并发连接数将在设定的时间Ts内达到设定的最大值Cm，新建速率Vs，设定的时间Ts应考虑被测设备的TCP最大新建速率Vm和Vs之间的关系，Vm、Vs、Ts与Cm之间的关系可用公式2-1、2-2表示：

Cm/Ts=Vs                   公式2-1；

Vs<Vm                     公式2-2；

（3）维持阶段：在该阶段中将不断地拆除旧的TCP连接并建立起新的TCP连接，而总的连接数将维持在第二阶段设定的最大值Cm；一般要求维持阶段的时间不少于60秒；

（4）释放阶段：该阶段拆除已建立的TCP连接，释放压力；释放阶段的时间一般不小于爬坡阶段。

附图展示了基于思博伦Avalanche测试仪的TCP最大并发连接测试中4个阶段的参数配置例子。在该例子中，协商阶段设置为5秒，爬坡时间设置为60秒，最大测试并发数设为60000，维持阶段时间设为60秒，释放阶段时间设为70秒。在此例子中，根据公式2-1，爬坡阶段新建速率为1000连接数/秒。

然而，在“边建边拆”测试过程中，防火墙的TCP并发性能反映在维持阶段，而这一阶段中，防火墙的系统资源不仅是用于TCP连接的维持，同时也用于大量的TCP拆除和新建，而这一阶段的TCP拆除和新建速率，实际上等同于爬坡阶段的TCP新建速率Vs，根据公式2-1，在一定的TCP连接数测试条件下，Vs取决于Ts，因此，如果对所有被测设备采用统一的Ts测试，则可能导致两个方面的问题：

（1）TCP最大并发连接性能测试结果将很大程度上受到该设备TCP新建性能的影响。比如，防火墙A最大TCP新建速率Vma为60000连接/秒，防火墙B最大新建速率Vmb为32000连接/秒。现用最大TCP连接数Cm=1200000对防火墙A和B进行测试，爬坡时间Ts均设置为60秒，根据公式2-1，在爬坡过程中防火墙A和B的新建速率Vsa=Vsb=30000连接/秒，在维持阶段这两者的TCP拆除和新建速率也为30000连接/秒。可以看出，此例子中防火墙B在维持阶段新建速率为其最大新建速率的93.75%，而防火墙A仅为50%。这说明防火墙B在此阶段用于拆除和新建TCP连接的系统资源比例远大于防火墙A，这也很大程度上影响了二者在并发性能的测试对比结果。

（2）难以保证预先设定的Ts值适用于所有待测设备。在被测设备较多且不在统一时间进行测试的情况下，根据公式2-2的要求，可能出现部分被测设备的TCP最大新建速率Vm小于Vs的情况，从而导致出现必须重新确定Ts值而影响已经完成的测试项目的情况。

从上面的分析可以看出，爬坡时间Ts值的设定，是整个TCP并发连接数测试较为重要的一个环节，而固定Ts值的测试方法，则难以解决上述的2个问题。：

发明内容

本发明所要解决的技术问题，就是提供一种基于最大新建速率的TCP并发连接数测试方法，该方法能使被测设备在一种相对“公平”的条件下进行测试比对，TCP并发连接数测试结果不受TCP新建性能影响，又能保证该条件适用于所有被测设备。

解决上述技术问题，本发明采用的技术方案如下：