深信服超融合平臺-測試方案

1、PAGE 深信服超融合平臺測試方案 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc485738116 第1章測試概述 PAGEREF _Toc485738116 h 2 HYPERLINK l _Toc485738117 1.1概述 PAGEREF _Toc485738117 h 2 HYPERLINK l _Toc485738118 1.2測試環(huán)境準(zhǔn)備 PAGEREF _Toc485738118 h 2 HYPERLINK l _Toc485738119 1.3超融合系統(tǒng)安裝 PAGEREF _Toc485738119 h 3 HYPERLINK l _Toc485

2、738120 第2章測試內(nèi)容 PAGEREF _Toc485738120 h 3 HYPERLINK l _Toc485738121 2.1架構(gòu)環(huán)境的快速部署 PAGEREF _Toc485738121 h 3 HYPERLINK l _Toc485738122 2.2業(yè)務(wù)高可用場景測試 PAGEREF _Toc485738122 h 5 HYPERLINK l _Toc485738123 2.3虛擬網(wǎng)絡(luò)通信場景測試 PAGEREF _Toc485738123 h 10 HYPERLINK l _Toc485738124 2.4安全防護場景 PAGEREF _Toc485738124 h 14

3、 HYPERLINK l _Toc485738125 2.5運維管理場景測試 PAGEREF _Toc485738125 h 22 HYPERLINK l _Toc485738126 2.6性能測試 PAGEREF _Toc485738126 h 26 HYPERLINK l _Toc485738127 3. 測試方案特點 PAGEREF _Toc485738127 h 28測試概述概述深信服超融合架構(gòu)將X86服務(wù)器通過深信服超融合軟件定義的方式，提供虛擬化的計算資源，網(wǎng)絡(luò)資源，存儲資源，安全資源。通過將服務(wù)器物理資源轉(zhuǎn)化為一組可統(tǒng)一管理、分配和調(diào)度的邏輯資源，并基于這些邏輯資源在單個物理服務(wù)

4、器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境，同時配合軟件定義的網(wǎng)絡(luò)和網(wǎng)絡(luò)功能軟件化方式，最大限度的提高了資源的利用率，同時滿足應(yīng)用更加靈活的資源動態(tài)分配需求，譬如提供熱遷移、HA等高可用特性、業(yè)務(wù)的網(wǎng)絡(luò)邏輯快速部署，實現(xiàn)更低的運營成本、更高的靈活性和更快速的業(yè)務(wù)響應(yīng)速度。測試環(huán)境準(zhǔn)備硬件設(shè)備設(shè)備名稱詳細描述用戶提供的服務(wù)器至少服務(wù)器2臺（A機和B機滿足超融合推薦配置）千兆交換機千兆二層交換機2臺USB key（飛天key）開序列號USB key，需要支持vaf和vad的key應(yīng)用軟件和工具P2v轉(zhuǎn)換工具HD Tune 5.5 虛擬機Web服務(wù)器一臺（Webgoat），用于安全測試超融合系統(tǒng)

5、安裝特點：安裝簡單、快速，并且過程中采用中文提示操作無需安裝管理中心，部署完成虛擬化系統(tǒng)后，即可實現(xiàn)虛擬機的部署和管理測試內(nèi)容架構(gòu)環(huán)境的快速部署業(yè)務(wù)系統(tǒng)的遷移-P2V遷移測試測試目標(biāo)將客戶的物理業(yè)務(wù)系統(tǒng)快速遷移到服務(wù)器虛擬化平臺，業(yè)務(wù)不中斷注意事項預(yù)置條件1.待遷移服務(wù)器：現(xiàn)有業(yè)務(wù)系統(tǒng)的Windows服務(wù)器2.Sangfor_aSV_Converte工具已上傳到物理系統(tǒng)3.被遷移服務(wù)器與一體機管理網(wǎng)絡(luò)能互通，一體機存儲空間大于待遷移物理主機的磁盤數(shù)據(jù)空間測試步驟1.在物理服務(wù)器中運行Sangfor_aSV_Converte工具，閱讀并勾選軟件許可協(xié)議，立即安裝【遷移當(dāng)前主機】2.選擇要遷移的目

6、的一體機，輸入目的主機的admin賬戶密碼進行認證。 3.配置遷移目的虛擬機的名稱、存儲位置為目的共享存儲，運行位置為目的自動選擇，資源消耗為保持和物理服務(wù)器一致4.安裝成功后，選擇【關(guān)閉物理機，啟動虛擬機，由虛擬機接管業(yè)務(wù)】，重啟設(shè)備預(yù)期結(jié)果1.重啟后開始遷移，登錄服務(wù)器虛擬化一體機主機控制臺頁面的日志欄，可以看到當(dāng)前遷移的任務(wù)進度；完成遷移后，物理主機自動關(guān)機，遷移的目的虛擬機自動開機并正常運行，原業(yè)務(wù)可用。2.千兆網(wǎng)絡(luò)遷移速度可達70MB/S測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注業(yè)務(wù)高可用場景測試主要結(jié)合客戶的業(yè)務(wù)系統(tǒng)虛擬機進行相應(yīng)的高可用測試。主機故障遷移測試測試目

7、標(biāo)主機故障時，對應(yīng)虛擬機上的業(yè)務(wù)系統(tǒng)不中斷注意事項預(yù)置條件業(yè)務(wù)系統(tǒng)虛擬機啟用了HA功能測試步驟1.業(yè)務(wù)系統(tǒng)虛擬機，運行在主機A上2.辦公網(wǎng)絡(luò)一pc長ping “業(yè)務(wù)系統(tǒng)虛擬機”3.將主機A斷電4.檢查步驟2 中pc ping情況預(yù)期結(jié)果1.主機故障時，ping不通，5min內(nèi)可繼續(xù)ping通，說明虛擬機被拉起，運行在B主機上，業(yè)務(wù)恢復(fù)測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注業(yè)務(wù)網(wǎng)絡(luò)故障遷移測試測試目標(biāo)業(yè)務(wù)網(wǎng)絡(luò)故障時虛擬機的高可用功能注意事項預(yù)置條件1、虛擬機啟用了HA功能2、網(wǎng)絡(luò)參照下圖部署測試步驟1.“業(yè)務(wù)系統(tǒng)虛擬機”，運行在主機A上2.辦公網(wǎng)絡(luò)一pc長ping 業(yè)務(wù)系統(tǒng)

8、虛擬機3.拔掉主機A 業(yè)務(wù)口 網(wǎng)線（eth2口）4.檢查步驟2 中pc ping情況預(yù)期結(jié)果1.業(yè)務(wù)網(wǎng)絡(luò)故障時，ping不通，5min內(nèi)可繼續(xù)ping通，說明虛擬機被拉起至B主機，業(yè)務(wù)恢復(fù)測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注備份恢復(fù)測試測試目標(biāo)一鍵備份虛擬機注意事項無預(yù)置條件測試步驟1.在業(yè)務(wù)虛擬機中新建文件test.txt2.設(shè)備備份策略，選擇要步驟1中的虛擬機備份3.超過備份開始時間后查看情況4.刪除備份虛擬機的中test.txt5.選擇一個時間點的備份恢復(fù)預(yù)期結(jié)果1在設(shè)置的時間按照備份策略備份，可以看到虛擬機的最后一次備份時間2.恢復(fù)成功，test.txt文件被恢

9、復(fù)測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注快照恢復(fù)測試測試目標(biāo)通過快照來恢復(fù)虛擬機上的業(yè)務(wù)數(shù)據(jù)注意事項無預(yù)置條件測試步驟1.在虛擬機中新建文件test.txt2.設(shè)置快照策略，選擇要快照的虛擬機3.超過快照開始時間后查看情況4.刪除備份虛擬機的中test.txt5.選擇一個時間點的快照恢復(fù)預(yù)期結(jié)果1.在設(shè)置的時間按照快照策略備份，可以看到虛擬機的快照2.恢復(fù)成功，test.txt文件被恢復(fù)測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注虛擬網(wǎng)絡(luò)通信場景測試虛擬網(wǎng)絡(luò)通信測試，為更加直觀的測試效果，本次虛擬機采用額外創(chuàng)建新測試虛擬機的方式（可提前按照虛擬機模版部署好

10、測試虛擬機）虛擬網(wǎng)絡(luò)部署測試目標(biāo) 虛擬網(wǎng)絡(luò)可視化部署（所畫即所得），簡單快速，鏈路流量可視注意事項pc端先關(guān)閉防火墻（ 虛擬機為新建測試虛擬機”VM1”和“VM2”，提前創(chuàng)建）預(yù)置條件測試步驟1.進入編輯虛擬網(wǎng)絡(luò)模式2.從左側(cè)圖標(biāo)中分別拖入一個物理出口、2個交換機、1個路由器、2臺虛擬機到畫布中3.為物理出口配置 連接的2臺實體主機網(wǎng)口eth24.路由器增加2個子接口5.鼠標(biāo)切換到連線模式，為物理出口，虛擬路由器，虛擬交換機，虛擬機連接好虛擬網(wǎng)線，2個交換機分別在路由器的2個子接口6.根據(jù)網(wǎng)絡(luò)環(huán)境設(shè)置各設(shè)備網(wǎng)口IP7.檢查網(wǎng)絡(luò)連通性，vm1 ping vm2，vm1和vm2分別ping辦公區(qū)網(wǎng)

11、絡(luò)預(yù)期結(jié)果1以上1，2，3，4，5 ，6步驟中整個網(wǎng)絡(luò)部署過程可視，簡單方便2.以上第7步驟中連通的設(shè)備會直觀展示出來，虛擬機之間能相互ping通，虛擬機和物理網(wǎng)絡(luò)中pc可以相互ping通，網(wǎng)絡(luò)流量可視測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注分布式交換機測試目標(biāo)分布式交換機，集群斷掉一臺主機不影響網(wǎng)絡(luò)連通性在虛擬服務(wù)器中組建虛擬網(wǎng)絡(luò)，可以互相通信注意事項1、互ping的pc先關(guān)閉防火墻預(yù)置條件測試步驟1.在 上例“虛擬網(wǎng)絡(luò)部署” 中繼續(xù)測試2.辦公區(qū)網(wǎng)絡(luò)pc長ping vm13.遷移vm1運行位置到另一個主機4.檢查步驟2辦公pc ping情況預(yù)期結(jié)果2.能ping通4.整個

12、過程只丟=3個ping包測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注鏈路探測測試目標(biāo)鏈路探測功能方便定位鏈路故障節(jié)點注意事項預(yù)置條件沿用拓撲如下測試步驟1.在虛擬網(wǎng)絡(luò)頁面，打開連通性探測2.選擇VM1虛擬機，目的地址到VM2虛擬IP，開始探測3.去掉vr2靜態(tài)路由，再次按照步驟探測預(yù)期結(jié)果1.鏈路暢通2.鏈路不通，可方便的定位在vr2節(jié)點處不通測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注鏈路流量實時顯示測試目標(biāo)鏈路流量實時顯示，方便用戶實時掌握業(yè)務(wù)網(wǎng)絡(luò)流量情況注意事項預(yù)置條件沿用拓撲如下測試步驟1.在虛擬網(wǎng)絡(luò)頁面，打開流量顯示功能2. 觀察拓撲中的鏈路流量預(yù)期結(jié)果

13、1.鏈路流量實時顯示2.可通過流量顯示開關(guān)實時開啟或者關(guān)閉測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注安全防護場景通過部署虛擬機防火墻的方式，實現(xiàn)業(yè)務(wù)的安全防護（無需借助物理硬件的安全設(shè)備），該測試為功能測試，采用新建測試虛擬機（VM1和VM2）進行測試。2.4.1vaf防火墻實現(xiàn)虛擬機的安全防護測試目標(biāo)利用虛擬防火墻對虛擬機上運行的web服務(wù)器進行安全防護，在WEB服務(wù)器遭受到外部攻擊時，vaf能進行阻斷，并記錄相應(yīng)的安全日志信息注意事項預(yù)置條件測試邏輯拓撲如下圖在拓撲圖的編輯模式已經(jīng)開通vaf序列號Vm虛擬機運行遠程連接測試步驟1.從畫布左側(cè)拖入vaf，設(shè)置好vaf網(wǎng)口數(shù)據(jù)，

14、硬件配置，存儲位置，運行位置等各項參數(shù)，點立即生效2.對vaf進行授權(quán)3.按照上圖拓撲連好網(wǎng)線4.登錄vaf控制臺配置連接vsw1，vsw2 ，vr的口為透傳模式，連接方式為access，并按照5.辦公區(qū) pc 遠程一臺vm16.在vaf中放通控制策略，辦公區(qū)pc 遠程 vm17.在vaf中啟用waf功能，按照默認設(shè)置即可8.使用sql注入工具pangolin掃描web服務(wù)器預(yù)期結(jié)果1以上1，2，3，4都可部署成功2.無法遠程3.可以遠程4.被vaf拒絕，在vaf日志中有拒絕記錄測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.2 SQL注入攻擊防護測試目標(biāo)測試WAF對SQL

15、注入攻擊的防護注意事項開通vAF防火墻序列號預(yù)置條件1.測試邏輯拓撲參照2.4.12.配置vAF為路由模式3.虛擬機vm1安裝IISweb服務(wù)器，安裝webgoat測試步驟 1、辦公區(qū)pc作為客戶端訪問被測網(wǎng)站：HYPERLINK /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A8 /dvwa/vulnerabi

16、lities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A82、檢查是否可以獲取到相應(yīng)的數(shù)據(jù)庫信息3、開啟vAF的sql注入防護功能4、再次訪問如下url:HYPERLINK /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20inform

17、ation_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A8 /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A85、查看是否可以成功獲取到數(shù)據(jù)庫信息預(yù)期結(jié)果1.可以成功獲取數(shù)據(jù)庫的表信息2無法獲取到數(shù)據(jù)庫的表信息，且

18、被測設(shè)備有日志記錄測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.3 XSS跨站腳本攻擊防護測試目標(biāo)測試WAF設(shè)備對手工測試情況下XSS攻擊的防護注意事項預(yù)置條件1.測試環(huán)境如2.4.1節(jié)測試步驟1、登陸dvwa測試網(wǎng)站2、訪問HYPERLINK 46/dvwa/vulnerabilities/xss_s/ /dvwa/vulnerabilities/xss_s/3、在信息內(nèi)容中輸入alert(“xss”)后提交，查看是否有xss提示框4、開啟vAF的xss攻擊防護功能5、再在信息內(nèi)容中輸入alert(“xss”)后提交預(yù)期結(jié)果1、可以成功提交，并有xss的提示框2、無法提

19、交成功測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.4 OS命令注入攻擊防護測試目標(biāo)測試WAF設(shè)備對OS命令注入攻擊的防護注意事項預(yù)置條件1.測試環(huán)境如2.4.1節(jié)測試步驟1、訪問HYPERLINK 6/dvwa/vulnerabilities/exec/ /dvwa/vulnerabilities/exec/2、禁用vAF的命令注入功能3、在輸入框內(nèi)輸入&cat /etc/passwd并提交，查看是否能夠查看到服務(wù)器的用戶信息4、啟用被vAF的命令注入功能5、在輸入框內(nèi)輸入&cat /etc/passwd并提交，查看是否能夠查看到用戶信息預(yù)期結(jié)果1.可以查看到服務(wù)器的用

20、戶信息2.無法查看到用戶信息，該請求被阻斷測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.5 僵尸網(wǎng)絡(luò)檢測測試目標(biāo)服務(wù)器存在被黑客植入遠控木馬的風(fēng)險，從而能夠竊取服務(wù)器上的敏感信息，測試WAF設(shè)備能夠?qū)┦鳈C進行檢測，并阻斷可疑流量注意事項預(yù)置條件 1.測試環(huán)境如2.4.1節(jié)測試步驟1、在Web服務(wù)器上植入遠程控制木馬病毒，如灰鴿子；2、通過外網(wǎng)終端連接服務(wù)器上的木馬；3、查看vAF日志查看是否檢測到木馬病毒預(yù)期結(jié)果1、被測設(shè)備能夠查看阻攔木馬的日志記錄。測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.6 網(wǎng)頁防纂改測試目標(biāo)測試WAF設(shè)備能夠?qū)Ρ淮鄹牡?/p>

21、網(wǎng)頁進行攔截，網(wǎng)頁恢復(fù)后能夠正常訪問注意事項開通vAF防火墻序列號預(yù)置條件 1.測試環(huán)境如2.4.1節(jié)測試步驟1、Web服務(wù)器根目錄下放置一個index.html文件；2、vAF配置防篡改策略，檢測和攔截篡改數(shù)據(jù)；3、修改index.html文件一個字節(jié)；4、客戶端訪問index.html網(wǎng)頁；預(yù)期結(jié)果1、WAF設(shè)備具備對篡改的網(wǎng)頁檢測和恢復(fù)，客戶端無法訪問被篡改的網(wǎng)頁，篡改數(shù)據(jù)被攔截。測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.7 Webshell上傳攻擊防護測試目標(biāo)測試WAF設(shè)備Webshell文件上傳過濾功能，由于Web應(yīng)用系統(tǒng)在開發(fā)時并沒有完善的安全控制，對上傳

22、至Web服務(wù)器的信息進行檢查，從而導(dǎo)致Web服務(wù)器被植入病毒、木馬成為黑客利用的工具，為防止黑客或內(nèi)部人員通過某種攻擊方式強行獲取服務(wù)器權(quán)限之后，或服務(wù)器存在上傳漏洞時，通過已有的權(quán)限或借助漏洞上傳惡意文件構(gòu)造僵尸網(wǎng)絡(luò)、破壞網(wǎng)絡(luò)安全等，需通過文件上傳過濾進行防護注意事項預(yù)置條件1.測試環(huán)境如2.4.1節(jié)測試步驟1、開啟vAF文件Webshell防護功能；2、訪問HYPERLINK 6/dvwa/vulnerabilities/upload/ /dvwa/vulnerabilities/upload/3、在本地選擇一個webshell文件進行上傳4、查看文件是否可以上傳成功，查看返回的信息是否可

23、以訪問上傳的webshell文件預(yù)期結(jié)果1.上傳webshell失敗2. 文件無法上傳，也無法訪問上傳的webshell文件測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.8 vAD負載均衡場景測試目標(biāo)測試vAD對應(yīng)用負載均衡場景注意事項開通vAD序列號預(yù)置條件 1、vAD旁路部署 2、VM1和VM2為2臺web服務(wù)器測試步驟1、配置vAD http應(yīng)用負載策略 a 配置IP 組，將aAD 單臂wan端的IP 添加到IP 組 b 配置節(jié)點池，將vm1和vm2的ip加入節(jié)點池 c 配置前置調(diào)度策略 d 新建http應(yīng)用，關(guān)聯(lián) ip組，節(jié)點池和前置調(diào)度策略2、訪問web服務(wù)器，

24、并查看2臺web服務(wù)器調(diào)度情況預(yù)期結(jié)果2臺web服務(wù)器輪詢調(diào)度（可以通過在web服務(wù)器上抓包查看，或者在vAD控制臺的節(jié)點池狀態(tài)中查看）測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注運維管理場景測試本場景測試，可以采用業(yè)務(wù)系統(tǒng)虛擬機，也可以采用新建測試虛擬機進行。2.5.1 虛擬機開機熱遷移運行位置測試測試目標(biāo)虛擬機開機熱遷移運行位置，遷移過程不影響虛擬機業(yè)務(wù)注意事項預(yù)置條件1.“業(yè)務(wù)系統(tǒng)虛擬機”能與辦公PC互通2. “業(yè)務(wù)系統(tǒng)虛擬機”處于開機狀態(tài)測試步驟1.在待遷移的虛擬機 中ping 辦公網(wǎng)絡(luò)pc2.在虛擬機圖標(biāo)中找到遷移3.修改運行位置4.觀察虛擬機中ping情況預(yù)期結(jié)果1

25、.能快速遷移虛擬機到運行位置，遷移成功2.遷移過程ping持續(xù)能通，不受遷移影響測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.5.2 虛擬機開機狀態(tài)遷移存儲位置測試測試目標(biāo)虛擬機開機狀態(tài)遷移存儲位置，遷移過程不影響虛擬機業(yè)務(wù)注意事項預(yù)置條件1.虛擬機“win2003-cs”處于開機狀態(tài)測試步驟1.在待遷移的虛擬機中下載一個可執(zhí)行文件2.在虛擬機圖標(biāo)中找到遷移3.修改存儲位置4.檢查步驟1文件下載預(yù)期結(jié)果1.能快速遷移存儲位置2.文件下載不受影響，且文件下載完成后可安裝運行測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.5.3 集群橫向擴展測試測試目標(biāo)增加一臺物理主機橫向擴展，計算性能和存儲容量線性擴展，不影響現(xiàn)有集群虛擬機業(yè)務(wù)注意事項能夠提供第三臺服務(wù)器的情況下預(yù)置條件1.擴容的單臺主機已安裝超融合一體機軟件（硬件滿足配置要求）2.擴容前檢查集群序列號授權(quán)情況