[发明专利]一种针对包过滤设备大容量规则表的自动化测试方法

说明书

本发明提供一种针对包过滤设备大容量规则表的自动化测试方法，涉及包过滤设备大容量规则表的测试领域，本发明通过脚本生成大规模随机网络五元组作为资源池；调用包过滤设备API接口从资源池中随机选择大量五元组进行规则配置，调用网络测试仪的自动化接口从资源池中随机选择大量五元组进行流量配置，根据过滤结果来验证包过滤设备在大容量规则表下的生效情况；从而使得测试场景充分的离散，以接近实际场景，同时可以准确的获取每个包的规则匹配情况，使结果的可信度增加。

技术领域

本发明涉及包过滤设备大容量规则表的测试方法，尤其涉及一种针对包过滤设备大容量规则表的自动化测试方法。

背景技术

包过滤设备大容量规则表的一般测试方法为：在网络测试仪上创建连续的IP段、固定的端口和协议的模拟流量，在包过滤设备上配置对应的规则表，然后发流量查看包过滤情况。这种方法的测试场景不够真实，无法发现真实环境下可能存在的问题，因为离散的流量与规律流量对包过滤设备匹配算法产生的压力是不同的。

发明内容

为了解决以上问题，本发明提出了一种针对包过滤设备大容量规则表的自动化测试方法。本发明通过脚本生成大规模随机网络五元组作为资源池；调用包过滤设备API接口从资源池中随机选择大量五元组进行规则配置，调用网络测试仪的自动化接口从资源池中随机选择大量五元组进行流量配置，根据过滤结果来验证包过滤设备在大容量规则表下的生效情况；从而使得测试场景充分的离散，以接近实际场景，同时可以准确的获取每个包的规则匹配情况，使结果的可信度增加。本发明介绍的方法包括：（1）大规模随机网络五元组生成方法（2）对包过滤设备大容量规则表的自动化测试总体方案。

包过滤设备，是指具有包过滤功能的网络设备。包过滤功能是指根据流经数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等包头信息来判断是否允许数据包通过。其规则表一般由源IP地址、目的IP地址、源端口、目的端口、传输层协议（网络五元组）组成。

网络五元组，是指源IP地址、目的IP地址、源端口、目的端口、传输层协议 五个量的集合。

网络测试仪，主要功能包括网络流量模拟和测试、数据拦截、IP查询、流量分析等。相应厂商如Spirent、Ixia等均提供了TCL语言的自动化接口供用户调用。

（1）大规模随机网络五元组生成方法

本方法是用python脚本语言进行编写，可以在Windows和Linux系统上方便的执行，主要分为生成各元组列表和组合各元组列表值两个部分。

源端口和目的端口可以重复，所以放在一个列表中，即0～65535，共65536个元素。传输层协议常见的有TCP、UDP，放在一个列表中，即6（TCP）和17（UDP），共2个元素。源IP和目的IP的列表生成方法如下：

首先接收用户输入的五元组总条数num_list、源IP起始地址sip_start、目的IP起始地址dip_start（点分十进制格式）；

然后计算源IP的最大步进值和最小步进值：将255.255.255.255（最大IP）和sip_start转换为整型(int_sip_start)，然后相减，再除以num_list并向下取整，得到最大步进值的值；最小步进值=1。目的IP的最大步进值和最小步进值的计算方法与源IP相同。

最后生成随机的源IP列表：源IP列表开头的元素即为sip_start，第二个元素为最小步进值与最大步进值*1.8之间的随机值加上一个元素的整型值，然后转换为点分十进制表示，依次类推得到num_list个元素，组成源IP列表。目标IP列表的生成方法与源IP相同。