EX 4200在每個測試中都以行頻進(jìn)行傳輸，是所測試的交換機(jī)中唯一能做到這一點(diǎn)的。更重要的是，10G以太網(wǎng)延時是所有測試結(jié)果中的最低值。EX 4200的性能設(shè)置以及強(qiáng)大的JUNOS命令行接口也給人留下了深刻印象。

當(dāng)然，這里不是說思科和其他廠商不具備競爭力了。這是Juniper首次在企業(yè)交換機(jī)領(lǐng)域有所動作，從某些方面也看出了Juniper的一些不足。對多點(diǎn)傳送的支持還顯得有些粗糙，我們的測試也忽略了一些安全方面的考慮。不過，該設(shè)備令人印象深刻。

我們測試的是16，800EX 4200-48T，它提供了48個10/100/1000Mb/秒的千兆端口，兩個10G以太網(wǎng)端口，8個端口上的PoE功能和多達(dá)10個交換機(jī)的堆棧功能。Juniper也為EX 4200-48P 提供48個具備PoE功能的端口。兩種設(shè)備都提供了選擇性的多余電力供應(yīng)，且能稱所有交換機(jī)和路由協(xié)議。

在早前的接入交換機(jī)測試中，我們發(fā)現(xiàn)，隨著大部分交換機(jī)都以接近1%的行頻推入數(shù)據(jù)包，吞吐量不再像往常那樣作為區(qū)分因素了。

即便是Spirent TestCenter流量生成器拋出的最大負(fù)荷，Juniper EX 4200也可以應(yīng)付。該交換機(jī)在單點(diǎn)播放和多點(diǎn)播放測試中以線傳輸速率傳輸。其他交換機(jī)則不行。

延時通常是比速率更重要的指標(biāo)，尤其是對時間敏感的音頻和視頻流量來說更是如此，在所有測試中延時低且保持了一致性。以線傳輸速率測量的時候，Juniper交換機(jī)在10G以太網(wǎng)鏈接中在最低1.96毫秒到最高2.01毫秒的范圍里平均延遲了64字節(jié)幀。

這是所記錄的以太網(wǎng)交換機(jī)中最低的延時。事實上，即便是EX 4200的最大延時也比之前測量的平均延時要低。

10G以太網(wǎng)端口的延時在2到3毫秒之間徘徊，在千兆以太網(wǎng)端口上則是20到30毫秒。

多點(diǎn)播放的延時也很低，要優(yōu)于其他產(chǎn)品的測試結(jié)果。Juniper交換機(jī)不會長時間保留數(shù)據(jù)為企業(yè)應(yīng)用帶來負(fù)面影響。

多點(diǎn)播放的陣痛

雖然EX 4200給出了快速傳輸速度和延遲基準(zhǔn)，測試表明其多點(diǎn)播放代碼相較于其他系統(tǒng)部件要新一些，因此存在不可靠的地方。

交換機(jī)在多點(diǎn)播放組功能測試中表現(xiàn)優(yōu)良——它與IGMP組設(shè)備的兼容性最好。EX 4200 將數(shù)據(jù)傳輸?shù)?001 IGMPv2組中，這一數(shù)字雖然比排名第一的惠普ProCurve 3500yl少了500，但是仍然足以讓Juniper交換機(jī)排在第二的位置。

但是多點(diǎn)播放測試也表現(xiàn)出了不足之處。第一個也是最重要的一點(diǎn)是，在layer-3多點(diǎn)播放測試中，交換機(jī)自動重啟。Juniper系統(tǒng)當(dāng)然不是第一個出現(xiàn)這種情況的。但是其他產(chǎn)品在那段時間里超出了多點(diǎn)組的計算極限，且測試中使用的500個組對于Juniper交換機(jī)來說都不成問題。在任何情況下，交換機(jī)都不應(yīng)該自動重啟，不論是超負(fù)荷還是加載的時候。

第二點(diǎn)，我們用IGMPv3測試了其他的交換機(jī)。雖然測試的Juniper軟件支持IGMPv2，但是供應(yīng)商稱稍后對于IGMPv3的支持也沒有問題。如RFC 3376，Appendix B中所述，IGMPv3提供了大量改進(jìn)。主要涉及源過濾和監(jiān)控基于源和組地址的組狀態(tài)功能。后一個功能有助于不同組的轉(zhuǎn)換器或接收器共享交換機(jī)端口。

第三，初步測試中，交換機(jī)創(chuàng)建了多點(diǎn)播放流量的拷貝，這樣會使得結(jié)果無效。Juniper快速解決了交換機(jī)單獨(dú)運(yùn)行時新軟件的創(chuàng)建問題。我們認(rèn)為新滴軟件解除了復(fù)制。

隨著人們對多點(diǎn)播放越來越感興趣，特別是在某些垂直行業(yè)，如金融服務(wù)，這些遭遇可能令人擔(dān)憂。盡管如此，考慮到Juniper在復(fù)制問題上的快速響應(yīng)以及它正在進(jìn)行的多點(diǎn)播放開發(fā)工作，它這些漏洞還是不足為患的。#p#

環(huán)保方面

在設(shè)備測試常規(guī)部分，我們同樣衡量了EX 4200在閑置和全負(fù)荷運(yùn)行時的能耗。

用Fluke 335鉗表測量時，Juniper交換機(jī)閑時消耗185瓦，滿負(fù)荷運(yùn)行時消耗199瓦。比較而言，其他幾個10G以太網(wǎng)接入交換機(jī)的閑時和滿負(fù)荷的平均消耗值是分別為150和174瓦。

驗證支持

考慮到Juniper對NAC的長期鼓吹，EX 4200在驗證測試中表現(xiàn)優(yōu)良也就不出乎人意料了。交換機(jī)通過了六種情境，其中五種使用的是802.1X。這些測試監(jiān)測了靜態(tài)定義的虛擬LAN，多客戶端的認(rèn)證，動態(tài)分配VLAN的驗證，動態(tài)訪問控制列表驗證以及驗證失敗后受限VLAN中的放置。

在訪問控制列表測試中，交換機(jī)應(yīng)用的是之前在交換機(jī)中定義的規(guī)則。這樣就使得操作比其他交換機(jī)要容易。

交換機(jī)通過媒體訪問控制地址通過了第六個驗證測試;在第六個測試中，終端站，如打印機(jī)，缺少802.1X申請軟件。交換機(jī)的CLI不會顯示MAC地址驗證的當(dāng)前客戶，因為它會顯示802.1X驗證過的客戶。

Juniper交換機(jī)用小的配置更改通過了所有接入控制測試。相比之下，思科Catalyst 3750E 要求不出現(xiàn)配置更改。再者，思科交換機(jī)沒有通過多驗證測試，只驗證了第一個用戶然后就將未經(jīng)驗證的數(shù)據(jù)傳遞給第二個和之后的用戶。

風(fēng)暴控制

和其他部署在企業(yè)網(wǎng)絡(luò)邊緣的交換機(jī)一樣，EX 4200提供了風(fēng)暴控制功能來限制潛在的惡意代碼。我們用兩個拒絕服務(wù)(DoS)攻擊來測試這以功能，一個廣播風(fēng)暴和一個SYN攻擊，發(fā)現(xiàn)該交換機(jī)封鎖了廣播但是卻沒有對SYN實施限制。

對于兩項測試，我們配置了一個Mu Dynamics Mu-4000安全分析器來生成每秒10萬幀的DoS攻擊，然后將Juniper交換機(jī)流量限制在1%線傳輸速率，或每秒1500幀。用Spirent TestCenter的實時速率計數(shù)器，我們證明了Juniper交換機(jī)對廣播流量的限制。

然而，該交換機(jī)不能控制Mu SYN攻擊。Juniper稱當(dāng)前的JUNOS還只對廣播和未知單點(diǎn)播放推行速率控制。這使得風(fēng)暴控制有利于挫敗隨機(jī)的，無目的的僵尸攻擊，但是不利于組織目的性的，或指定服務(wù)器的攻擊。

管理性和使用性

評估交換機(jī)管理性要分為主客觀兩個部分。客觀部分很容易，因為它是以客觀試驗為依據(jù)：我們通過SNMP，遠(yuǎn)程登錄，Secure Shell，Web，SSL和系統(tǒng)記錄幾個方面驗證了EX 4200對IPv4網(wǎng)絡(luò)的管理支持。值得稱贊的是，所有的這些方法都是默認(rèn)啟用的，且每種方法都可以單獨(dú)進(jìn)行切換和關(guān)閉。

使用性方面，JUNOS CLI非常易于操作，即便JUNOS的使用還存在局限性。

Unix極客會非常喜歡JUNOS的FreeBSD傳統(tǒng);的確，該系統(tǒng)的CLI是運(yùn)行于C Shell之上的進(jìn)程。CLI也支持針對常規(guī)表達(dá)的輸出匹配，許多配置參數(shù)的句法類似于Unix配置文件。

IPv6還不能完全支持EX線路。該交換機(jī)不能支持IPv6數(shù)據(jù)的路由，當(dāng)然L2轉(zhuǎn)換是可以的?？梢詫崿F(xiàn)IPv6網(wǎng)絡(luò)的交換機(jī)管理，但是不支持Web和SSL訪問方法。#p#

不完全是重置

我們對設(shè)備管理的最后檢測是一項工廠重置，通常在淘汰一件設(shè)備的時候，認(rèn)為這是最好的一種方法。

Juniper提供四種重置方法，包括：面板LED選項，一個CLI命令，USB和一個新圖像的TFTP文件傳輸器。

遺憾的是，使用面板LED菜單這一最簡單的方法不能完全將交換機(jī)恢復(fù)到出廠設(shè)置。重置之后，我們找到了先前保存的SSH鑰匙和配置文件。USB和TFTP下載真正復(fù)寫了已有的文件系統(tǒng)。我們建議用戶在任何情況下都要驗證重置裝置是否都已經(jīng)被清除干凈。

即便是在考慮到其中的一些不足時，我們?nèi)匀话l(fā)現(xiàn)EX 4200是可靠的。雖然Juniper還存在努力的空間，尤其是在其多點(diǎn)播放代碼方面，但是EX 4200確實是對思科企業(yè)接入交換機(jī)產(chǎn)品提出了一大挑戰(zhàn)。

我們怎樣測試Juniper交換機(jī)

我們用相同的方法評估了Juniper的新型企業(yè)交換機(jī)。唯一的例外是我們這次沒有使用IGMPv3而是使用的IGMPv2。

這一套方法包括涵蓋了L2和L3單點(diǎn)播放性能的10套測試;IGMP組多點(diǎn)播放功能;L2和L3多點(diǎn)播放性能;網(wǎng)絡(luò)訪問控制/802.1X;風(fēng)暴控制;能耗;交換機(jī)管理性，安全性和實用性以及交換機(jī)特性。

在L2單點(diǎn)播放性能測試中，我們?yōu)槊總€交換機(jī)配置了一個單獨(dú)的虛擬LAN。我們將一個Spirent TestCenter生成器/分析器 附加到48個千兆以太網(wǎng)和兩個10G端口，然后運(yùn)行三套測試：所有端口，僅使用千兆端口和僅使用10G端口。我們?yōu)榍д锥丝谔峁┩耆靵y的數(shù)據(jù)，為10G端口提供混亂數(shù)據(jù)。在每個測試中，以每秒分別運(yùn)行64，256，1518字節(jié)幀方式運(yùn)行，測量了每種情況的速率，平均延時，最大延時。

L3單點(diǎn)播放性能測試與L2的類似，不同之處在于我們將每個端口配置為使用不同VLAN和IP子網(wǎng)。

在IGMP組性能測試中，我們轉(zhuǎn)換到了一個L2配置，啟動了IGMP巡視并設(shè)定交換機(jī)執(zhí)行IGMP問詢。在這個測試中，47/48的TestCenter 千兆以太網(wǎng)端口加入了IGMPv2組中;剩下的那個端口作為監(jiān)控器存在以便發(fā)現(xiàn)攻擊。

在給組成員發(fā)送完信息并等待了至少兩次交換機(jī)IGMP查詢之后，TestCenter的ScriptMaster軟件會為交換機(jī)的第一個10G端口提供多點(diǎn)播放數(shù)據(jù)，數(shù)據(jù)會被運(yùn)往所有的多點(diǎn)播放組。每個RFC 3918,如果所有的組都收到了至少一幀，測試迭代會認(rèn)可通過。如果出現(xiàn)丟失或有攻擊出現(xiàn)，迭代會認(rèn)為操作失敗。使用二進(jìn)制搜尋法則，我們可以重復(fù)這一過程以確定多點(diǎn)播放組功能。

在L2多點(diǎn)性能測試中，我們將所有交換機(jī)端口配置成加入一個單獨(dú)VLAN，以便使用IGMP巡視和執(zhí)行IGMP詢問。TestCenter的48個千兆端口加入了500 IGMPv2 組。Juniper交換機(jī)在測試中不支持IGMPv3，它要求使用IGMPv2。

至少等待了兩次交換機(jī)IGMP查詢后，TestCenter的ScriptMaster軟件會為交換機(jī)的第一個10G端口提供多點(diǎn)播放數(shù)據(jù)，數(shù)據(jù)會被運(yùn)往所有的多點(diǎn)播放組。使用二進(jìn)制搜尋法則，TestCenter會確定速率。在單獨(dú)測試中，TestCenter測量了既定速率下的平均和最大延時。

在L3多點(diǎn)播放速率和延時測試中，我們將交換機(jī)設(shè)置成使用單獨(dú)VLAN和IP子網(wǎng)，允許協(xié)議獨(dú)立型多點(diǎn)傳送稀疏型模式向每個端口發(fā)送數(shù)據(jù)，將交換機(jī)設(shè)置為PIM匯合點(diǎn)。測試安裝和數(shù)據(jù)模式與L2多點(diǎn)傳送測試中的類似。我們再次確定了速率并測量了該速率下的平均和最大延時。

為了評估802.1X/NAC支持，我們制定了六種情境來描述交換機(jī)作用。在這一步，我們將交換機(jī)附著到運(yùn)行于Juniper Steel-Belted Radius Enterprise Edition 6.1(SBR)之上的Windows 2003服務(wù)器中。SBR配置使用的是Windows Active Directory證書來驗證用戶。

在第一個情況下，交換機(jī)將一個認(rèn)證的客戶放到之前配置好的VLAN中。第二種情況與第一種類似。第三種情況是驗證后，交換機(jī)為VLAN進(jìn)行了動態(tài)分配。第四種情況，交換機(jī)動態(tài)應(yīng)用了一個訪問控制列表。第五種情況，驗證失敗后，交換機(jī)將一個客戶放到了客戶或限制的VLAN。最后，第六種情況確定交換機(jī)端口是否同時支持802.1x和媒體訪問控制的驗證支持。

為了評估風(fēng)暴控制，我們使用了常見的攻擊技巧，如廣播和TCP SYN工具。我們將Juniper交換機(jī)配置為限制攻擊的速率，并且用實時速率計算器來驗證了這種限制。

我們用Fluke322 和Fluke 335 鉗表測量了能耗。該測試包括三個方面：AC線路電壓，閑置和滿負(fù)荷運(yùn)行時的AC電流。我們通過配置Spirent TestCenter完全加載了交換機(jī)控件和數(shù)據(jù)傳輸，以便提供線傳輸數(shù)據(jù)。

對于管理性，安全性和使用性的測試存在客觀和主觀兩方面的因素?？陀^方面，我們確定了交換機(jī)在IPv4和IPv6網(wǎng)絡(luò)支持的管理方法，以及最佳的安全方案。我們還檢測了默認(rèn)啟用的管理方法。此外，還檢測了 啟用/禁用 文件是否會刪除所有個性化確認(rèn)信息，常規(guī)請求和最佳安全方案。主觀方面也就是我們在本文中所談及的評論。

【編輯推薦】

1. Juniper Networks推出下一代分布式企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)
2. 分析師認(rèn)為EX交換機(jī)是Juniper成功的關(guān)鍵