Vergleichstest: Unified-Threat-Management-Systemen – Teil 2
Im Test: Sicherheits-Appliances der Oberklasse
Fortsetzung des Artikels von Teil 1
UDP-Durchsatz
In unserer ersten Messreihe haben wir den UDP-Datendurchsatz im UTM-Betrieb untersucht. Dabei muss die Appliance das interne gegen das externe Netz abschotten.
Um den Datenverkehr zwischen diesen Netzen zu simulieren, wurden die zu testenden Systeme über zwei Ports mit dem Lastgenerator/Analysator »Smartbits« von Spirent verbunden. Die Smartbits erzeugten Flows aus UDP-Paketen jeweils mit konstant 64, 256, 512, 1024 und 1518 Byte Größe.
Die Last beginnt bei jeder Messung mit 10 Prozent und wird dann in 10-Prozent-Schritten bis auf 100 Prozent erhöht. Bei 100 Prozent liegt dann eine Bruttodurchsatzrate von 1 GBit/s vor.
Der Nutzdatendurchsatz ist natürlich entsprechend geringer und hängt unter anderem von den verwendeten Frame-Formaten ab. Weitere Detailmessungen führte Network Computing dann bei Bedarf in 1-Prozent-Schritten durch, um die Leistungsgrenzen näher zu analysieren. Die Belastung der Systeme im Test ist in diesem Aufbau unidirektional. Bei den Messungen ging der Datenstrom vom WAN in Richtung LAN.
Gemessen wurden Frame-Loss und Latency. Aus den ermittelten Frame-Loss-Werten errechnen sich die Werte für den maximalen Durchsatz, der unter optimalen Bedingungen möglich ist. Dieser ist der maximal erreichbare Durchschnittswert aller jeweils gemessenen Flows bei einem Frame-Loss von weniger als einem Prozent.
Da ein Prozent 100 MBit/s entspricht, erreicht hier eine Teststellung eine nominale Durchsatzleistung von beispielsweise 300 MBit/s, wenn 400 MBit/s nicht ohne entsprechend hohe Datenverluste darstellbar sind.
Um Referenzwerte für den Vergleich zu erhalten, haben wir zuerst den Testaufbau ohne zwischengeschaltete Appliance getestet. Dann wurden die entsprechend konfigurierten Systeme nacheinander den entsprechenden Zangenmessungen unterzogen.
Bei diesen Referenzmessungen ohne UTM-Appliance erreichte der Testaufbau bei allen Frame-Formaten einen Durchsatz von 100 Prozent oder brutto 1 GBit/s. Dabei waren von Anfang an alle UTM-Funktionen mit Ausnahme der QoS-Datenpriorisierung aktiviert.
Securepoints RC300 schaffte mit den Frame-Formaten zwischen 512 und 1518 MBit/s volle Leitungsgeschwindigkeit, also 1 GBit/s Brutto-Datendurchsatz. Mit kleineren Frames ging dann die Durchsatzrate moderat zurück.
Betrug das verwendete Frame-Format 256 Byte, schaffte die RC300 noch einen Durchsatz von 800 MBit/s. Waren die Frames 64 Byte klein, war noch ein Durchsatz von 200 MBit/s zu erzielen.
Auch Telco Techs Liss-3000 schaffte Leitungsgeschwindigkeit – so lange die Frames zwischen konstant 512 und 1518 Byte groß waren. Mit 256 Byte großen Frames schaffte die Liss dann noch einen Durchsatz von 600 MBit/s. Und der Betrieb mit den kleinsten Frames reduzierte die Durchsatzrate auf 200 MBit/s.
Telco Techs Liss-3000 lässt sich nach Angaben des Herstellers in nahezu jede IT-Umgebung integrieren und zeichnet sich durch hohe Leistung sowie Multifunktionalität aus.
Deutlich mehr Probleme mit dem Durchsatz hatte Zyxels Zywall-USG-300. Mit den größten Frames war hier ein Durchsatz von 100 MBit/s möglich. Verwendeten wir kleinere Frames, lag der mögliche Durchsatz durchgängig unter 100 MBit/s.
- Im Test: Sicherheits-Appliances der Oberklasse
- UDP-Durchsatz
- UDP-Latency
