应用软件系统必须良好解决的一个难题是大用户量并发、在线、振荡情况下的稳定性。H3C测试中心通过对EAD解决方案验证多种组网场景和用户规模的配套组合，以适应不同用户规模、不同安全需求企业的最优资源配置，规避风险的同时，也找到最佳的配置投入。

2008年出现的奥运门票系统瘫痪、公务员考试报名系统瘫痪两次重大事故，暴露了对用户量集中并发规模估计和验证不足，导致系统在大用户量情况下的处理和保护失效的问题。虽然通过提升硬件设备的配置和设计分布式服务器系统，可以改善此类问题，但如不能对实际应用规模进行分析和良好模拟验证，带来的会是客户的高昂投入成本和峰值用户量并发时不确定的风险。

本文针对C/S架构下的EAD（End user Admission Domination，终端准入控制）解决方案，分析其大用户性能测试核心要素和测试设计，并简要介绍了基于此专门开发的模拟测试工具。

EAD解决方案性能测试分析设计

EAD解决方案包含四个核心组件：安全客户端iNode、安全策略服务器iMC、安全联动设备、第三方软件服务器。通过组件的联动实现对接入网络的用户终端强制实施企业安全策略。

其工作原理和过程简述如下：

http://www.h3c.com.cn/res/200902/16/20090216_778506_image001_637485_30008_0.jpg

图1  EAD解决方案组件示意图

1、用户终端接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络。

2、合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本是否合格，不合格用户将被安全联动设备隔离到隔离区。

3、进入隔离区的用户可以进行补丁、病毒库的升级，直到安全状态合格。

4、安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。

我们结合EAD解决方案工作原理，对业务报文交互开展分析。以802.1x认证模式下，DHCP获取IP地址方式为例，一个正常认证通过的用户报文交互过程和需重点验证的性能瓶颈如下：

步骤一 身份认证：客户端软件iNode发起认证，iNode首先和EAD安全联动网络设备交互EAP报文，网络设备与AAA认证服务器交互Radius报文，最终通过身份认证；此步骤，需重点关注安全联动网络设备能否承受大量的EAP报文冲击、AAA认证服务器能否处理大量并发认证Radius报文；

步骤二 IP地址获取：iNode与DHCP服务器交互DHCP报文获取IP地址；此步骤，需重点关注DHCP服务能否并发处理大量IP地址请求；

步骤三 EAD安全检查：iNode与安全策略服务器交互报文完成安全检查；此步骤，需重点关注安全策略服务器并发处理安全检查报文能力；

步骤四 EAD安全策略下发：安全策略服务器通过协议向安全联动网络设备下发ACL安全策略；此后，用户可正常访问授权网络。此步骤，需重点关注安全联动设备对大量下发的ACL的处理能力。

基于以上认证流程，EAD解决方案每个用户在认证过程中，会在整体解决方案系统内产生至少30个以上的报文交互处理。而用户上线后，处于正常状态的用户每15秒钟仅交互2个保活报文。因此，解决方案的在线用户量可以很高，EAD解决方案为15000用户，而并发用户对系统会形成较大的突发压力，并发状态的测试是解决方案关注的重点。

http://www.h3c.com.cn/res/200902/16/20090216_778507_image002_637485_30008_0.jpg

图2 EAD解决方案认证概要流程图

前三个步骤的性能测试核心参数为系统能够处理的用户并发数量和并发间隔，第四个步骤的性能测试核心参数为EAD系统定制的安全ACL下发数量。系统的最终性能规格参数条件为：用户规模数量、并发数量和并发间隔、每个认证用户需下发的安全ACL数量（基于不同客户场景，每用户ACL下发数量需求从1条至50条不等）。根据以上参数和实际测试结果表明：EAD解决方案能支持的最大并发用户规模，关键取决于iMC安全策略服务器的性能和安全联动网络设备性能。因此，可以根据用户的场景和安全需求，结合实测性能指标，得到推荐的解决方案硬件配置和组网方式。

H3C测试中心验证多种组网场景和用户规模的配套组合，以适应不同用户规模、不同安全需求企业的最优资源配置，使客户在规避风险的同时，可避免过高配置的投入浪费。

一个EAD解决方案设备配套组合基本性能测试项目列表举例如表1所示。各测试项目意义为：每隔5秒钟，并发200个用户上线认证，并针对不同安全策略应用场景，下发不同数量的ACL数量（如表中ACL总数量分别为2、10、20、30、40），从而得到当前配套组合设备在多种条件下，分别可稳定支持的用户上线数规格

http://www.h3c.com.cn/res/200902/16/20090216_778508_image003_637485_30008_0.jpg

表1 EAD解决方案性能测试项目举例

根据上述得到的一系列测试数据，H3C可以为不同需求的客户定制满足需求且性价比较高的设备配套组合。

案例1：某小型企业客户规模较小，在线用户量总计500，且用户集中并发要求不高。企业内部的网络应用主要为访问内部OA服务器和外网，应用场景为每用户下发5条安全ACL策略。可推荐S5500-EI作为安全联动设备，安全策略服务器iMC最低配置为：CPU主频2G Hz，内存2GB。

案例2：某大型企业客户10k用户规模，有大用户集中并发需求。客户网络涉及生产区域、OA办公区域、外网，且根据不同业务部门划分不同网段，有三层互访权限控制的需求。根据用户网络规划和安全需求，解决方案需为每用户下发20条左右安全ACL策略。可推荐IAG5000做为安全联动设备，安全策略服务器iMC最低配置为：双核CPU主频3G Hz，内存3GB。

综上所述，EAD解决方案涉及组件较多，包含客户端、多款安全联动网络设备、安全策略服务器、第三方软件服务器，其性能测试的复杂度相对普通互联网应用系统更高。通过业务模型的有效分析，了解其性能瓶颈和关键测试参数，针对实际应用场景，通过合理测试工具进行模拟，完成对高性能系统的测试实施。本文介绍的测试分析思路和过程，对类似的B/S、C/S系统，均有实际参考意义。