Schneller durch den Tunnel

Vergleichstest Security-Appliances – Spezialisierte Systeme mit Sicherheitsfunktionalität ermöglichen eine geschützte Kommunikation. Ein Test klärt, ob solche Systeme den Anforderungen von Unified-Communicatiions gewachsen sind.

Die Network Computing-Musterfirma möchte drei Niederlassungen mit rund 20 Arbeitsplätzen mit der Unternehmenszentrale und dem Internet verbinden. Geeignete, durchsatzstarke Security-Appliances sollen den Aufbau von VPNs ermöglichen. Für die Realisierung der klassischen Datenanbindung und gleichzeitige Nutzung von Real-Time-Applikationen wie VoIP oder Video-over-IP sollen die Systeme geeignete Priorisierungsmechanismen unterstützen. Ein Vergleichstest sollte die Produktauswahl unterstützen. Aus dem Testszenario ergeben sich folgende Anforderungen an die Teststellungen.

Ethernet-Appliance für die Zentrale:

  • Appliance inklusive Zubehör und Dokumentation,
  • VPN-Funktionalität (IPSec, SSL),
  • Verschlüsselung nach AES mit 256 Bit,
  • je Gerät mindestens vier Ethernet-Ports (RJ45-Stecker),
  • CoS-Mechanismen (Datenpriorisierung) sowie
  • Bandbreitenmanagement (Bandbreitenlimitierung); Ethernet-Appliances für die Niederlassungen:
  • Drei Appliances inklusive Zubehör und Dokumentation,
  • VPN-Funktionalität (IPSec, SSL),
  • Verschlüsselung nach AES mit 256 Bit,
  • je Gerät mindestens zwei Ethernet-Ports (RJ45-Stecker),
  • CoS-Mechanismen (Datenpriorisierung) sowie Bandbreitenmanagement (Bandbreitenlimitierung).

Folgende Testparameter wollten wir untersuchen:

  • Überprüfung der VPN-Funktionalität,
  • Überprüfung der Datenpriorisierung und des Bandbreiten-Managements,
  • VPN-Performance: Datendurchsatzraten (unidirektional/bidirektional),
  • Packet-Loss,
  • Latency sowie
  • Jitter.

Die gesamte Funktionalität sollte durch dokumentierte Konfigurationseinstellungen gewährleistet sein, so dass sie auch jedem Anwender zugänglich ist.

Die Topologie

In den Räumen der Unternehmenszentrale stehen alle zentralen Ressourcen des Musterunternehmens. Hier befinden sich die Server aber auch der zentrale Übergang ins Internet. Eine »große« Security-Appliance sollte hier für die notwendige Sicherheit aber auch die entsprechend performanten Verbindungen sorgen. Die LANs der drei externen Niederlassungen waren jeweils mit einer »kleinen« Security-Appliance abzusichern. Die Kommunikation der Niederlassungen mit der Zentrale, der Niederlassungen untereinander sowie aller Stellen mit dem Internet sollte zentral über die Infrastruktur der Unternehmenszentrale laufen. Die Verbindung von der Zentrale ins Internet erfolgte mit einer 16-MBit/s-Leitung. Die einzelnen Niederlassungen waren mit 4 MBit/s angebunden. Die Security-Appliances sollten die einzelnen Standorte mittels ihrer Firewall-Funktionalität absichern. Eine gesicherte Kommunikation zwischen den einzelnen Standorten sollte via VPN erfolgen.

Übersicht