Найти в Дзене
14 подписчиков

Нагрузочное тестирование и уникальность инфраструктуры: преодоление маркетинговых абстракций


Одной из фундаментальных проблем при планировании сетевой архитектуры является разрыв между заявленными характеристиками оборудования и реальной производительностью в продуктивной среде (об этом мы уже писали в последних постах). Производители оборудования, стремясь продемонстрировать максимальные показатели, проводят измерения в условиях, далеких от реальности. Такие тесты демонстрируют «сырую» производительность коммутационной матрицы или процессора, но не отражают способность устройства обрабатывать сложный трафик прикладного уровня (L4-7).

В реальной эксплуатации профиль трафика кардинально отличается от синтетического. Современный корпоративный трафик характеризуется доминированием протоколов, требующих сохранения состояния сессий. Это означает, что NGFW или WAF должны не просто маршрутизировать пакеты, но и отслеживать состояние каждого TCP-соединения, проводить сборку фрагментированных пакетов, осуществлять терминацию/дешифровку SSL/TLS и инспектировать содержимое на наличие угроз. Каждая из этих операций требует значительных вычислительных ресурсов (в следующем посте мы это более подробно рассмотрим).

Каждая организация обладает уникальным цифровым отпечатком. В финансовом секторе преобладают короткие транзакционные сессии, критичные к задержкам и джиттеру, в то время как медиа индустрия генерирует длительные потоки данных с высокими требованиями к пропускной способности. Внедрение системы безопасности, протестированной на профиле одного типа, может привести к катастрофическим последствиям в другой среде.

Анализ данных показывает, что включение функций DPI и антивирусного сканирования на реальном смешанном трафике может снизить производительность шлюза в 5-10 раз по сравнению с заявленными цифрами. Кроме того, на производительность влияют специфические паттерны поведения пользователей и приложений, такие как микровсплески – кратковременные пики нагрузки, которые могут переполнять буферы сетевых карт и приводить к отбрасыванию пакетов, даже если средняя загрузка канала остается низкой.

Единственным способом нивелировать эти риски является проведение нагрузочного тестирования с эмуляцией профиля трафика, максимально приближенного к реальному. Использование продвинутых генераторов трафика, таких как CyPerf, позволяет моделировать миллионы одновременных соединений с реалистичным распределением протоколов (HTTP/2, HTTPS, DNS, SMB и др.) и поведением пользователей, создавая нагрузку, идентичную той, с которой устройство столкнется в "боевом" режиме.

Подписывайтесь на наш канал в ТГ, где мы регулярно публикуем материалы про нагрузочное и функциональное тестирование ИТ/ИБ решений и инфраструктуры.
Нагрузочное тестирование и уникальность инфраструктуры: преодоление маркетинговых абстракций Одной из фундаментальных проблем при планировании сетевой архитектуры является разрыв между заявленными...
2 минуты