pf和iptables的压力测试对比---所有测试结果统计和详细数据已整理完毕

hqpp

NAT性能测试
我想大家比较关心的就是这个测试。
通过测试可以看出来 windows2003一点也不差，并不是传说中的垃圾。
（单位Mbps）

[ 本帖最后由 hqpp 于 2008-3-17 22:44 编辑 ]

hqpp

接下来的是防火墙的测试

Freebsd+pf没有通过大流量的测试，用更改参数后脚本一测试，freebsd7立刻就当机了，连控制台都死了，热启键也没有用了。不管用4k条脚本还是用40k条规则脚本都一样，一测试就死机，也许还活着但我等了几分钟没反映，我认为它挂了。以前在网上有说pf流量大有可能会当掉，看来也是无风不起浪啊。
没办法我只能换默认的脚本测试，这次通过了，但是速度下降了很多很多，只有5m多点。用40k条规则脚本后速度更慢了，ping的延迟由以前的不到1ms增加到40多ms，速度下降到不到1兆，我看和坏了也差不多了。呵呵
（单位Mbps）

[ 本帖最后由 hqpp 于 2008-3-17 22:45 编辑 ]

hqpp

接下来是linux做同样的测试。

4k条规则下linux+iptables的转发性能同样下降很多，但比freebsd+pf高出近10倍左右 ，基本维持在60兆左右。并且通过了我修改参数后脚本的高负荷的测试。
Linux+iptables没有通过40k条规则的测试。
主要我实在不知道怎样把4万条规则加到iptables里面去。
Iptables 只能通过批处理来导入规则。但是我导的太多就提示
“memory allocationproblem ” 我也没有查到什么有用的资料或者解决办法。
网上有人说这是因为iptables在到如规则过快是有可能会出现死锁等问题，但也没有提出解决方法。我想可能也不会有人给iptables加几万条的过滤规则吧？

（单位Mbps）

[ 本帖最后由 hqpp 于 2008-3-17 22:45 编辑 ]

hqpp

楼主的2003是什么概念？用ISA做了4k条的policy?还是用RRAS里面的filter做了4k条？或者是没有策略的路由？我没有看清楚你的 2003怎么配置的，另外你刚刚发的那个图表的freebsd和linux仅仅routing?还是加了4k或者40k的策略的？？个人妄自猜测(你若给 isa挂4k条policy准挂，如果开日志，应该立即就挂，去掉日志不知道会怎么样，建议仁兄测试一下。)

Win2003启用的是自带的路由和nat功能。没有使用ISA，路由测试仅仅是做路由使用 没有任何策略

hqpp

明天将会放出具体的测试数据
主要有
       吞吐量（Throughput）

       响应时间（Response Time）

       交易速率（Transaction Rate）
会有更多的细节 大家可以留意


[ 本帖最后由 hqpp 于 2008-3-17 23:14 编辑 ]

platinum

柱状图蛮好看，用什么画的？

hlidea

NAT重点是高并发连接数下的测试，几个线程转发测没什么意义

ntt0729

期待。。。。。。。。期待。。。。。。

loveflag

期待。。。   图是用OFFICE表格生成的吧？

测试的很好！  支持后文。。。  个人觉得规则过多有点脱离实际，1k左右测试三种性能就不错吧。。：）

hqpp

柱状图蛮好看，用什么画的？

word

NAT重点是高并发连接数下的测试，几个线程转发测没什么意义

并发性我也想测试，但是我没有找见能真实模拟上万条并发连接的测试软件，用实际环境测试
规模太大，我暂时没有这个条件。
另外我认为转发能力是基础的，如果连单线成的转发都做不好，还谈什么并发。我认为它是有意义的。

个人觉得规则过多有点脱离实际，1k左右测试三种性能就不错吧。。：）

我前面有解释说明过，测试仅供参考，4k的规则测试并不代表实际会用到，只是为了更直观的测试数据包过滤效率。

其实实际应用中考虑到自定义链的加入和规则的优化，数据包的匹配次数我觉得最多也就几十次。

最后感谢大家的支持。