Schneller durch den Tunnel

von Dipl.-Ing. Thomas Rottenau, Prof. Dr. Bernhard G. Stütz

Share
22.04.2009

Vergleichstest Security-Appliances – Spezialisierte Systeme mit Sicherheitsfunktionalität ermöglichen eine geschützte Kommunikation. Ein Test klärt, ob solche Systeme den Anforderungen von Unified-Communicatiions gewachsen sind.

Die Network Computing-Musterfirma möchte drei Niederlassungen mit rund 20 Arbeitsplätzen mit der Unternehmenszentrale und dem Internet verbinden. Geeignete, durchsatzstarke Security-Appliances sollen den Aufbau von VPNs ermöglichen. Für die Realisierung der klassischen Datenanbindung und gleichzeitige Nutzung von Real-Time-Applikationen wie VoIP oder Video-over-IP sollen die Systeme geeignete Priorisierungsmechanismen unterstützen. Ein Vergleichstest sollte die Produktauswahl unterstützen. Aus dem Testszenario ergeben sich folgende Anforderungen an die Teststellungen.

Ethernet-Appliance für die Zentrale:

  • Appliance inklusive Zubehör und Dokumentation,
  • VPN-Funktionalität (IPSec, SSL),
  • Verschlüsselung nach AES mit 256 Bit,
  • je Gerät mindestens vier Ethernet-Ports (RJ45-Stecker),
  • CoS-Mechanismen (Datenpriorisierung) sowie
  • Bandbreitenmanagement (Bandbreitenlimitierung); Ethernet-Appliances für die Niederlassungen:
  • Drei Appliances inklusive Zubehör und Dokumentation,
  • VPN-Funktionalität (IPSec, SSL),
  • Verschlüsselung nach AES mit 256 Bit,
  • je Gerät mindestens zwei Ethernet-Ports (RJ45-Stecker),
  • CoS-Mechanismen (Datenpriorisierung) sowie Bandbreitenmanagement (Bandbreitenlimitierung).

Folgende Testparameter wollten wir untersuchen:

  • Überprüfung der VPN-Funktionalität,
  • Überprüfung der Datenpriorisierung und des Bandbreiten-Managements,
  • VPN-Performance: Datendurchsatzraten (unidirektional/bidirektional),
  • Packet-Loss,
  • Latency sowie
  • Jitter.

Die gesamte Funktionalität sollte durch dokumentierte Konfigurationseinstellungen gewährleistet sein, so dass sie auch jedem Anwender zugänglich ist.

Die Topologie

In den Räumen der Unternehmenszentrale stehen alle zentralen Ressourcen des Musterunternehmens. Hier befinden sich die Server aber auch der zentrale Übergang ins Internet. Eine »große« Security-Appliance sollte hier für die notwendige Sicherheit aber auch die entsprechend performanten Verbindungen sorgen. Die LANs der drei externen Niederlassungen waren jeweils mit einer »kleinen« Security-Appliance abzusichern. Die Kommunikation der Niederlassungen mit der Zentrale, der Niederlassungen untereinander sowie aller Stellen mit dem Internet sollte zentral über die Infrastruktur der Unternehmenszentrale laufen. Die Verbindung von der Zentrale ins Internet erfolgte mit einer 16-MBit/s-Leitung. Die einzelnen Niederlassungen waren mit 4 MBit/s angebunden. Die Security-Appliances sollten die einzelnen Standorte mittels ihrer Firewall-Funktionalität absichern. Eine gesicherte Kommunikation zwischen den einzelnen Standorten sollte via VPN erfolgen.

Firewall-Durchsatz

Zunächst wollten wir wissen, wie viel Durchsatz die Appliances im Firewall-Betrieb schaffen. Dazu haben wir die verschiedenen Geräte für die Zentrale einzeln einer Zangenmessung unterzogen. Hierzu haben wir mit unserem Lastgenerator/Analysator Smartbits Datenströme generiert und so einen Fully-Meshed-Betrieb zwischen dem LAN und der DMZ der Zentrale und dem Internet simuliert. Zum Einsatz kamen Gigabit-Ethernet-Ports.

Clavisters SG 3200 erreichte bei dieser Messung einen Gesamtdurchsatz von 390 MBit/s. Gateprotects GPX800 lag mit 1320 MBit/s noch deutlich höher. Und Securepoints RC-300 schaffte volle 1500 MBit/s.

In einer zweiten Messreihe haben wir dann die Performance für die Niederlassungsgeräte ermittelt. Dabei haben wir bidirektionalen Datenverkehr zwischen LAN und WAN simuliert. Hierzu haben wir wieder unseren Lastgenerator/ Analysator Smartbits eingesetzt. Clavisters drei SG50 erreichten maximale Durchsatzraten von 134 bis 136 MBit/s. Gateprotects GPA400 lagen zwischen 106 und 108 MBit/s. Securepoints RC 100 lagen mit 102 bis 106 MBit/s praktisch gleich auf.

Auch wenn die Firewall-Performance in keinem der Fälle die Leitungsgeschwindigkeit annähernd erreichte lagen die möglichen Durchsatzwerte doch in Regionen, die klar machen, dass im vorliegenden Einsatz-Szenario keine Engpässe entstehen sollten.

VPN-Durchsatz

Thema des zweiten Tests war der VPN-Durchsatz. Zunächst haben wir den Datendurchsatz zwischen dem LAN der Zentrale und den drei LANs der Niederlassungen ermittelt. Hierzu haben wir bidirektionale Datenströme zwischen der Appliance für die Zentrale und nacheinander den drei baugleichen Appliances der drei Niederlassungen erzeugt und die maximale Durchsatzrate gemessen.

Clavisters Teststellung kam hier auf Durchsatzraten zwischen 20 und 22 MBit/s. Gateprotects Appliances lagen mit 18 MBit/s knapp dahinter. Securepoints Teststellung war mit 36 MBit/s klar schneller.

Dann haben wir gleichzeitig Daten von allen drei Niederlassungen an das LAN der Zentrale gesendet und den Gesamtdurchsatz dieser unidirektionalen Datenströme ermittelt.

Clavisters Testaufbau kam hierbei auf einen Gesamtdurchsatz von 63 MBit/s. Gateprotects Lösung erreichte einen Gesamtdurchsatz von 15 MBit/s. Securepoints Teststellung lag mit 99 MBit/s deutlich höher. Dann haben wir Datenströme von allen drei Niederlassungen an die jeweils zwei anderen gesendet. Auf Grund der Netzwerktopologie mussten alle diese Datenströme über die Appliance der Zentrale geleitet werden.

Clavisters Teststellung schaffte hierbei einen Gesamtdurchsatz von 72 MBit/s. Gateprotects Lösung war auch bei dieser Messung mit 30 MBit/s langsamer. Securepoints Appliances schafften einen kumulierten Durchsatz von 108 MBit/s.

Auch wenn der VPN-Durchsatztest deutliche Unterschiede zwischen den Teststellungen zutage gefördert hat sind doch auch die Durchsatzwerte der langsamsten Appliances für das bestehende Szenario noch völlig ausreichend. Der Flaschenhals ist und bleibt das WAN selbst.

Bandbreitenlimitierung

Im nächsten Test haben wir die Bandbreitenlimitierung auf korrekte Funktion getestet. Dabei haben wir zunächst Datenströme aus dem LAN der Zentrale ins Internet gesendet. Die Bandbreite haben wir auf 16 MBit/s festgesetzt. Dann haben wir aus dem LAN der Niederlassung Datenströme ins Internet gesendet und die Bandbreite auf 4 MBit/s begrenzt.

Clavisters Teststellung kam auf exakt 16 beziehungsweise 4 MBit/s. Für die Appliances von Gateprotect und Securepoint ermittelten wir Durchsätze von 17 und 4 MBit/s.

CoS-Datenpriorisierung

Dann haben wir Datenströme in vier verschiedenen Prioritäten vom LAN der Zentrale ins WAN gesendet. Auf Grund des Lastmusters sollte die entsprechend belastete Appliance die Datenströme der höchsten Priorität auf alle Fälle verlustfrei übermitteln.

Clavisters Teststellung verlor 50 Prozent der Daten in der höchsten Priorität, obwohl dies theoretisch nicht erforderlich gewesen wäre.

Gateprotects Teststellung beherrschte diese Disziplin dagegen fehlerfrei. Die Appliances von Securepoint erlaubten es nicht, die Datenpriorisierung in Verbindung mit der Bandbreitenlimitierung zu konfigurieren.

Den gleichen Test wiederholten wir mit dem Unterschied, dass die Datenströme nun aus dem Niederlassungs-LAN via Zentrale und WAN gesendet wurden.

In diesem Szenario arbeitete Clavisters Teststellung fehlerfrei. Die Appliances von Gateprotect erfüllten auch diese Aufgabe korrekt. Securepoints Geräte ließen sich auch hier nicht wie erforderlich konfigurieren.

Bandbreitenlimitierung im VPN

Im nächsten Test haben wir dann die Bandbreiten im VPN auf 4 MBit/s je Niederlassung limitiert. Für die Appliance der Zentrale galt ein Limit von 12 MBit/s. Dann haben wir Datenströme aus der Zentrale zugleich an alle drei Niederlassungen gesendet. In einer zweiten Messung haben wir Datenströme vom LAN der Zentrale an das LAN der Niederlassung 1 gesendet. In einer dritten Messung gingen die Datenströme vom LAN der Niederlassung an das LAN der Zentrale. mClavisters Appliances beherrschten diese Disziplin perfekt. Sendete die Zentrale an alle drei Niederlassungen, betrug der Datendurchsatz wie konfiguriert 12 MBit/s. Kommunizierte die Zentrale mit einer Niederlassung, betrug der Datendurchsatz wie vorgesehen 4 MBit/s. Bei der Gateprotect-Teststellung musste die Priorisierung für einen Dienst festgelegt werden. So war es möglich die Bandbreite in der ersten Messung auf 11 MBit/s zu reduzieren. Dann gab es Probleme mit der Konfiguration der für die nächste Messung notwendigen Bandbreitenlimitierung. Ähnliche Probleme gab es auch bei der Messung mit der Securepoint-Teststellung. Auch hier war es nicht möglich, die erforderliche hierarchische Bandbreitenlimitierung vorzunehmen.

CoS-Datenpriorisierung im VPN

Danach haben wir Datenströme in vier verschiedenen Prioritäten via VPN vom LAN der Zentrale ins WAN gesendet. Auf Grund des Lastmusters sollte die entsprechend belastete Appliance die Datenströme der höchsten Priorität auf alle Fälle verlustfrei übermitteln.

Clavisters Teststellung beherrschte auch diese Disziplin fehlerfrei und leistete sich keine Datenverluste in der höchsten Priorität. Bei der Gateprotect-Teststellung gab es dagegen wieder Probleme mit der Konfiguration. Und auch mit der Teststellung von Securepoint war dieser Modus nicht darstellbar.

Fazit

Der Flaschenhals war bei unserem Testaufbau nicht die Security-Appliance, sondern das WAN selbst. Was die reine Performance angeht zweigten sich die Teststellungen als mehr als ausreichend leistungsfähig. Komplizierter wurde es dagegen, wenn wir Bandbreitenmanagement, Datenpriorisierung und VPN sinnvoll kombinieren wollten. Nur Clavister beherrschte diese Kombination vollständig, wenn auch mit kleinen Einschränkungen bei der Datenpriorisierung unter höherer Last. Hier haben die anderen Hersteller ihre Hausaufgaben noch nicht vollständig erledigt, da nicht alle geplanten Szenarien konfiguriert werden konnten.
Leserkommentare

Die Leserkommentare sind für diesen Artikel deaktiviert.

» Tipp der Redaktion

Bild zu "Das sind die deutschen Top IT-Managerinnen 2010"

Das sind die deutschen Top IT-Managerinnen 2010

IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.

Bild zu "Der IFA Hostessen-Report: Fabelwesen, Kimono und Lederkluft"

Der IFA Hostessen-Report: Fabelwesen, Kimono und Lederkluft

Auf der IFA können sich natürlich nicht nur über die neuesten Consumer Electronics-Trends informieren. Zwischen den neuesten Tablet-PCs und LCD-TVs lenken auch hier attraktive Messe-Hostessen die Blicke der Besucher auf sich. Wir zeigen Ihnen die attraktivsten Messe-Damen.

Weitere Artikel

» Top-Stories der Woche

Bild zu "Die heißesten IFA-Produkte"

Die heißesten IFA-Produkte

Zum 50. Geburtstag zeigt sich die IFA frisch und innovativ wie seit Jahren nicht mehr. Wir zeigen Ihnen die wichtigsten und spannendsten Produkte der IFA.

Bild zu "Im Test: Das Samsung Galaxy Tab"

Im Test: Das Samsung Galaxy Tab

Wie so oft geisterten noch weit vor der offiziellen Vorstellung des ersten Samsung Web-Tablets Bilder, vermeintliche Fakten und auch mögliche Gerätebezeichnungen durch das Netz. Wir testen das Galaxy Tablet.

Weitere Artikel

Alle Top-Stories anzeigen »

» Meistgelesene News

Bild zu "Was der 1&1-Werbestar wirklich will"

Was der 1&1-Werbestar wirklich will

Ist er ein Schauspieler, oder ist er »echt«? Seit diesem Frühjahr wirbt Marcell D’Avis als »Leiter Kundenzufriedenheit« in TV-Spots für den Internetprovider 1&1. CRN hat D’Avis getroffen.

Bild zu "Die iPad-Killer kommen"

Die iPad-Killer kommen

Schlag das iPad heißt die Devise, unter der zahlreiche Hardware-Hersteller auf der IFA angetreten sind und Apples Erfolgsprodukt einen Teil des Marktes abgraben wollen. Ob Samsungs Galaxy Tab oder Hannsprees Tablet echte iPad-Killer oder nur zahnlose Copy Cats sind, wird sich spätestens im Jahresendgeschäft zeigen.

Weitere Artikel

» Preisvergleich Top 5

Preisvergleich »
Sponsored Links
  • Hier finden Sie Software zum Thema CRM Software