Der Flaschenhals war das WAN:
Test Security-Appliances: Problem Bandbreitenbegrenzung

von Werner Veith (werner.veith@networkcomputing.de), Thomas Rottenau, Prof. Dr. Bernhard G. Stütz

Share
12.05.2009

Bei der Übertragung über das WAN etwa zwischen Niederlassung und Zentrale kommen Unternehmen normalerweise nicht um Security-Appliances herum. Diese schützen insbesondere Unified-Communications mittels Firewall und VPN. Systeme von Clavister, Gateprotect und Securepoint sollten zeigen, ob dieser Aufgabe gewachsen sind.

(Fortsetzung des Artikels von Seite 4)

Die Network-Computing-Musterfirma will drei Niederlassungen mit rund 20 Arbeitsplätzen mit der Unternehmenszentrale und dem Internet verbinden. Geeignete, durchsatzstarke Security-Appliances sollen den Aufbau von VPNs ermöglichen. Für die Realisierung der klassischen Datenanbindung und gleichzeitige Nutzung von Real-Time-Applikationen wie VoIP oder Video-over-IP werden geeignete Priorisierungsmechanismen bei den Systemen erwartet. Ein Vergleichstest soll bei der Produktauswahl helfen.

Report-Card: Security-Appliances Gewichtung Clavister
SG3200/ SG50 Gateprotect
GPX800/
GPA400 Securepoint
RC 300/
RC 100 Firewall-Duchsatz 30 % 5 5 5 VPN_Durchsatz 30 % 5 5 5 Bandbreitenlimitierung 10 % 5 4,5 4,5 CoS-Datenpriorisierung 10 % 3 5 1 Bandbreitenlimitierung im VPN 10 % 5 3 1 CoS-Datenpriorisierung im VPN 10 % 5 1 1 100 % 4,8 4,35 3,75 A > 4,3; B > 3,5; C > 2.5; D > 1,5; E < 1,5; A+ A- B Die Bewertungen A bis C enthalten in ihren Bereichen + oder -; Gesamtergebnisse und gewichtete Ergebnisse basieren auf einer Skala von 0 bis 5.

Aus der Testszenerie ergaben sich folgende Anforderungen an die Teststellungen:

Ethernet-Appliance für die Zentrale:

* Appliance inklusive Zubehör und Dokumentation,

* VPN-Funktion (IPsec, SSL),

* Verschlüsselung nach AES mit 256 Bit,

* je Gerät mindestens vier Ethernet-Ports (RJ45-Stecker),

* CoS-Mechanismen (Datenpriorisierung) sowie

* Bandbreitenmanagement (Bandbreitenlimitierung).

Ethernet-Appliances für die Niederlassungen:

* Drei Geräte inklusive Zubehör und Dokumentation,

* VPN-Funktion (IPsec, SSL),

* Verschlüsselung nach AES mit 256 Bit,

* je Gerät mindestens zwei Ethernet-Ports (RJ45-Stecker),

* CoS-Mechanismen (Datenpriorisierung) sowie

* Bandbreitenmanagement (Bandbreitenlimitierung).

Folgende Testparameter sollen überprüft werden:

* VPN-Funktion,

* Datenpriorisierung und Bandbreiten-Management,

* VPN-Performance: Datendurchsatzraten (unidirektional/bidirektional),

* Packet-Loss,

* Verzögerung sowie

* Jitter.

Alle Funktionen sollten durch dokumentierte Konfigurationseinstellungen gewährleistet sein, so dass sie auch jedem Anwender zugänglich sind.

Der Testaufbau

In den Räumen der Unternehmenszentrale stehen alle zentralen Ressourcen des Musterunternehmens. Hier befinden sich die Server, aber auch der zentrale Übergang ins Internet. Eine große Security-Appliance soll hier für die notwendige Sicherheit aber auch die entsprechend performanten Verbindungen sorgen.

Die LANs der drei externen Niederlassungen sichern jeweils eine kleine Security-Appliance ab. Die Kommunikation der Niederlassungen mit der Zentrale, der Niederlassungen untereinander sowie aller Stellen mit dem Internet läuft zentral über die Infrastruktur der Unternehmenszentrale. Für die Anbindung der Zentrale ans Internet gibt es eine 16-MBit/s-Leitung. Die einzelnen Niederlassungen verfügen über Zugänge mit 4 MBit/s.

Die Security-Appliances sollen die einzelnen Standorte mittels ihrer Firewall absichern. Die geschützte Kommunikation zwischen den einzelnen Standorten erfolgt via VPN.

Der Durchsatz der Firewalls

Zuerst untersuchte Network Computing den Durchsatz die Appliances im Firewall-Betrieb. Als erstes kamen die Geräte für die Zentrale in einer Art Zangenmessung auf dem Prüfstand. Der Lastgenerator/Analysator »Smartbits 6000C« von Spirent Communications Datenströme erzeugte die Pakete für einen Fully-Meshed-Betrieb zwischen dem LAN und der DMZ der Zentrale und dem Internet. Zum Einsatz kamen Gigabit-Ethernet-Ports. Clavisters »SG 3200« erreichte bei dieser Messung einen Gesamtdurchsatz von 390 MBit/s. Gateprotects GPX800 lag mit 1320 MBit/s noch deutlich höher. Und Securepoints RC-300 schaffte volle 1500 MBit/s.

Die Topologie des Netzes für die VPN-Tests

In einer zweiten Messreihe ging es um die Performance für die Geräte in den Niederlassungen. Dabei wurde bidirektionaler Datenverkehr zwischen LAN und WAN erzeugt. Clavisters drei SG50 erreichten maximale Durchsatzraten zwischen 134 und 136 MBit/s. Gateprotects GPA400 erzielten zwischen 106 und 108 MBit/s. Securepoints RC 100 lagen mit 102 bis 106 MBit/s praktisch gleich auf.

Die Firewall-Performance erreichte in keinem der Fälle annähernd die Leitungsgeschwindigkeit. Dennoch lagen die möglichen Durchsatzwerte in Regionen, die klar machen, dass bei der vorliegenden Einsatz-Szenerie keine Engpässe entstehen sollten.

Die Leistung beim VPN

Bei den VPN-Prüfungen ging es darum, den Datendurchsatz zwischen dem LAN der Zentrale und den drei LANs der Niederlassungen zu ermitteln. Hierzu wurden bidirektionale Datenströme zwischen der Appliance für die Zentrale und nacheinander mit den drei baugleichen Appliances der drei Niederlassungen erzeugt. Clavisters Teststellung kam hier auf Durchsatzraten zwischen 20 und 22 MBit/s. Gateprotects Appliances lagen mit 18 MBit/s knapp dahinter. Securepoints Teststellung war mit 36 MBit/s klar schneller.

Die Security-Appliances von Clavister »SG3200« und »SG50« erhielten die »Referenz« der Network Computing.

Dann flossen die Daten gleichzeitig von allen drei Niederlassungen an das LAN der Zentrale: Es ging um den Gesamtdurchsatz dieser unidirektionalen Datenströme. Clavisters Testaufbau kam hierbei auf einen Gesamtdurchsatz von 63 MBit/s. Gateprotects Lösung erreichte einen Gesamtdurchsatz von 15 MBit/s. Securepoints Teststellung lag mit 99 MBit/s deutlich höher.

Anschließend wurden Datenströme von allen drei Niederlassungen an die jeweils zwei anderen übertragen. Auf Grund der Netzwerktopologie mussten alle Datenströme über die Appliance der Zentrale gehen. Clavisters Teststellung schaffte hierbei einen Gesamtdurchsatz von 72 MBit/s. Gateprotects Lösung war auch bei dieser Messung mit 30 MBit/s langsamer. Securepoints Appliances schafften einen kumulierten Durchsatz von 108 MBit/s.

Der VPN-Durchsatztest hat deutliche Unterschiede zwischen den Teststellungen zutage gefördert. Dennoch sind doch auch die Durchsatzwerte der langsamsten Appliances für die bestehende Szenerie noch völlig ausreichend. Der Flaschenhals ist und bleibt das WAN selbst.

Die Bandbreite einschränken

Für die Überprüfung der Bandbreitenlimitierung schickte der Lastgenerator Datenströme aus dem LAN der Zentrale ins Internet. Die Bandbreite sollte bei maximal 16 MBit/s liegen. Dann sendete Smartbits aus dem LAN der Niederlassung Datenströme ins Internet. Die Grenze für die Bandbreite lag hier bei 4 MBit/s. Clavisters Teststellung kam auf exakt 16 beziehungsweise 4 MBit/s. Für die Appliances von Gateprotect und Securepoint ergaben sich Durchsätze von 17 und 4 MBit/s.

Die Security-Appliances von Gateprotect »GPX800« und »GPA400«

Priorisierung der Daten mittels CoS

Für Class-of-Service (CoS) flossen Datenströme mit vier verschiedenen Prioritäten vom LAN der Zentrale ins WAN. Auf Grund des Lastmusters sollte die entsprechend belastete Appliance die Datenströme der höchsten Priorität auf alle Fälle verlustfrei übermitteln.

Clavisters Teststellung verlor 50 Prozent der Daten in der höchsten Priorität, obwohl dies theoretisch nicht erforderlich gewesen wäre. Gateprotects Teststellung beherrschte diese Disziplin dagegen fehlerfrei. Die Appliances von Securepoint erlaubten es nicht, die Datenpriorisierung in Verbindung mit der Bandbreitenlimitierung zu konfigurieren.

Den gleichen Test wiederholte Network Computing mit dem Unterschied, dass die Datenströme nun aus dem Niederlassungs-LAN via Zentrale und WAN gesendet wurden. In dieser Szenerie arbeitete Clavisters Teststellung fehlerfrei. Die Appliances von Gateprotect erfüllten auch diese Aufgabe korrekt. Securepoints Geräte ließen sich auch hier nicht wie erforderlich konfigurieren.

Bandbreitenlimitierung im VPN

Nun wurde Bandbreiten im VPN auf 4 MBit/s je Niederlassung limitiert. Für die Appliance der Zentrale galt ein Limit von 12 MBit/s. Dann sendete Smartbits Datenströme aus der Zentrale parallel an alle drei Niederlassungen. In einer zweiten Messung wurden Datenströme vom LAN der Zentrale an das LAN der Niederlassung 1 übertragen. In einer dritten Messung gingen die Datenströme vom LAN der Niederlassung an das LAN der Zentrale.

Die Security-Appliances von Securepoint » RC 300« und » RC 100«

Clavisters Appliances beherrschten diese Disziplin perfekt. Sendete die Zentrale an alle drei Niederlassungen, betrug der Datendurchsatz wie konfiguriert 12 MBit/s. Kommunizierte die Zentrale mit einer Niederlassung, betrug der Datendurchsatz wie vorgesehen 4 MBit/s.

Bei der Gateprotect-Teststellung musste die Priorisierung für einen Dienst festgelegt werden. So war es möglich die Bandbreite in der ersten Messung auf 11 MBit/s zu reduzieren. Dann gab es Probleme mit der Konfiguration der für die nächste Messung notwendigen Bandbreitenlimitierung. Ähnliche Probleme ergaben sich auch bei der Messung mit der Securepoint-Teststellung. Auch hier war es nicht möglich, die erforderliche hierarchische Bandbreitenlimitierung vorzunehmen.

CoS-Datenpriorisierung im VPN

Um im VPN die Class-of-Service-Priorisierung der Daten zu überprüfen, erzeugte der Lastgenerator Datenströme mit vier verschiedenen Prioritäten. Diese flossen via VPN vom LAN der Zentrale ins WAN. Auf Grund des Lastmusters sollte die entsprechend belastete Appliance die Datenströme der höchsten Priorität auf alle Fälle verlustfrei übermitteln.

Clavisters Teststellung beherrschte auch diese Disziplin fehlerfrei und leistete sich keine Datenverluste in der höchsten Priorität. Bei der Gateprotect-Teststellung gab es dagegen wieder Probleme mit der Konfiguration. Und auch mit der Teststellung von Securepoint war dieser Modus nicht darstellbar.

Fazit

Der Flaschenhals war im Testaufbau nicht die Security-Appliance, sondern das WAN selbst. Was die reine Performance angeht, zeigten sich die Teststellungen mehr als ausreichend leistungsfähig. Komplizierter wurde es dagegen, wenn es um die sinnvolle Kombination von Bandbreitenmanagement, Datenpriorisierung und VPN ging. Nur Clavister beherrschte diese Kombination vollständig, wenn auch mit kleinen Einschränkungen bei der Datenpriorisierung unter höherer Last. Hier haben die anderen Hersteller ihre Hausaufgaben noch nicht vollständig erledigt: Nicht alle geplanten Szenerien ließen sich konfigurieren.

So testete Network Computing

Als Lastgenerator und Analysator kam in den Real-World Labs einen »Smartbits 6000C Traffic Generator/Analysor« von Spirent Communications zum Einsatz. Das System ist mit der Software »SmartFlow« ausgestattet und mit 24 Gigabit-Ethernet-Kupfer-Ports bestückt. Alle Ports lassen softwareseitig als Lastgeneratorausgang und/oder als Analysatoreingang einsetzen.

Der »Smartbits 6000C Traffic Generator/Analysor« von Spirent Communications

Die verwendeten Datenströme hatten das Imix-Format. Diese setzen sich aus Frames aller möglichen Größen zusammen und entsprechen der Zusammensetzung realer Netzwerklandschaften. Die Performance- und Class-of-Service-Eigenschaften der Systeme im Testfeld wurden mit verschiedenen Testreihen gemäß RFC 2544 gemessen.
Verwandte Artikel