中小企業向け ロードバランサー ベンチマークテストレポート DUT(テスト対象装置: Device Under Test) Radware 社製 Alteon5208 2015/06/18 LB-00003 2015/06/18 LB-00003 目次 ■ベンチマークテストの内容.................................................................................. 3 ■DUT(テスト対象装置: Device Under Test) Radware 社製 Alteon 5208 ............... 3 ■テストトラフィックについて................................................................................... 3 ■ベンチマークテスト項目と説明 ............................................................................ 3 ■本資料での専門用語 .................................................................................... 4 ■本資料でのテストに関する諸元 .......................................................................... 6 1.テスト時の Alteon 5208 および Avalanche C100 の構成(基本の物理構成) ............. 6 2.テスト時の Alteon 5208 および Avalanche C100 の構成(論理構成) ..................... 7 3.その他の Alteon 5208 の設定 ...................................................................... 9 4.その他の Avalanche C100 の設定 ............................................................... 11 ■テスト結果 ............................................................................................... 11 1.単位時間あたりの新規 TCP コネクション確立数の調査 ........................................... 11 2.SYN フラッドに対する耐性について .................................................................. 11 ■ベンチマークテスト機材 .................................................................................. 12 リファレンス .................................................................................................. 12 ■テスト対象装置 ......................................................................................... 12 ■Alteon5208 設定 ..................................................................................... 13 PAGE 2 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 中小企業向けロードバランサーベンチマークテストレポート ■ベンチマークテストの内容 アプリケーショントラフィックをテスト対象機器に印加し、新規コネクション数、スループット性能を測定する。 ■DUT(テスト対象装置: Device Under Test) Radware 社製 Alteon 5208 ・製品 URL:http://www.radware.co.jp/special/index.html ・バージョン: 30.0.3.0 ■使用ポート クライアント群 :1000BASE-T(3 ポート) サーバ群 :1000BASE-T(4 ポート) ■テストトラフィックについて 疑似クライアントに接続されているポートをクライアント群ネットワーク、疑似 Web サーバに接続されている ポートをサーバ群のネットワークとして使用する。各アプリケーションの TCP コネクションはクライアント群ネット ワーク上の擬似クライアントから開始する。 TCP コネクションの確立後、クライアント群ネットワークからのトラフィックはロードバランサ内部のバーチャル IP によりサーバ群ネットワークの疑似サーバへバランシング(分散)される。 本レポートの試験では、40 個の疑似サーバに対し、バーチャル IP 1 個から振り分けを行うケース(以下 VIP×1 と表記)と、バーチャル IP 10 個から振り分けを行うケース(以下 VIP×10 と表記)の2通りを、 全てのテスト項目に対して実施した。詳細は、後述の「本資料でのテストに関する諸元」を参照いただき たい。 Avalanche(疑似クライアント、疑似サーバ)による負荷量の設定は、DUT を挟み込んだ測定を行う 前に、おおよその最大コネクション数、スループットを机上計算する。この計算した値を基に、DUT を挟み 込まずに Avalanche にて折り返しによる測定を行い性能確認する。その後、DUT を繋ぎエラーが発生し ない程度の値を見つけその値を基に負荷量を決めテストを行う。 ■ベンチマークテスト項目と説明 1.TCP 新規コネクション毎秒テスト HTTP、SSL(HTTPS)プロトコルごとの TCP の新規コネクションテストを行った。 データサイズは 64bytes から1Mbytes の範囲でテストを行う。HTTP のテストでは DUT をレイヤ 4 モ ード、レイヤ 7 モードのそれぞれで試験を行った。 PAGE 3 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 2.テスト結果について 原則として、タイムアウトなどにより通信が正常に完了できずテストエラーとなった時点の値を結果としてい る。 ■本資料での専門用語 【TCP】 TCP は OSI 参照モデルのトランスポート層にあたる。TCP では各コンピュータ上で実行されている、アプリ ケーション間での通信方法を規定している。 【TCP 新規コネクション】 TCP の通信ではデータ転送を行う前にコネクションの確立(3way ハンドシェイク)を行う。 この3ウェイハンドシェイクによって発生する新規のコネクションの確立を TCP 新規コネクションとする。 【CPS】 毎秒の TCP コネクション数。 【トランザクション】 本資料でのトランザクションとは、擬似クライアントから生成される HTTP のリクエストメッセージの実行とそ の応答とする。HTTP1.1 persistence 機能では1つの TCP のコネクション上で複数のトランザクション (HTTP リクエスト)を実現しているため、トランザクション数≠コネクション数となることがある。 【TPS】 毎秒のトランザクション数。 PAGE 4 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 【SYN/ACK 応答時間】 TCP の 3 ハンドシェイク開始時における疑似クライアントから送信される SYN パケットに対する対向から SYN/ACK パケットを受信するまでの時間。 SYN SYN/ACK 応答時間 SYN/ACK ACK TCP コネクション確立 【HTTP データ応答時間】 疑似クライアントから送信された HTTP リクエストに対し、疑似サーバからそのリクエストに対する最初のレ スポンスパケットを受信するまでの時間。 TCP3 ハンドシェイク TCP コネクション確立 HTTP リクエスト HTTP データ応答時間 レスポンス(データ) レスポンス(データ) レスポンス(データ) PAGE 5 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 ■本資料でのテストに関する諸元 1.テスト時の Alteon 5208 および Avalanche C100 の構成(基本の物理構成) 今回のテストで用いた測定器は、Spirent Communications 社製 Avalanche C100 である。図に 示すように 1000Base-T を 7 ポート用い、サーバ疑似用に 4 ポート、クライアント疑似用に 3 ポート設 定し、Alteon 5208 と接続した。Alteon5208 のポート No.6 は、管理用ポートとして利用し、必要に 応じて cpu の状態などを確認した。 ※Alteon 5208 および Avalanche C100 は、それぞれ 10G イーサネットのポートを持つが、都合上、 1000Base-T を複数ポート用いてテストすることにした。 なお、テストの測定結果(TCP コネクション数、スループット等)の確認は、Avalanche のクライアントを 疑似するポートで行った。 Alteon5208のポート6に端 末を接続し、必要に応じて CPUなどの状態を確認した P3 P4 Alteon5208 P5 P6 P7 P8 クライアントを疑 似するポート 1Gbps×3 エ ミ ュ レートされた クライア ント P9 P10 サーバを疑似 するポート 1Gbps×4 Avalanche クライアント群 エ ミ ュ レートされた サーバ サーバ群 テスト時の Alteon 5208 および Avalanche C100 の構成 (基本の物理構成) PAGE 6 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 2.テスト時の Alteon 5208 および Avalanche C100 の構成(論理構成) Alteon 5208 のバーチャル IP アドレスに対し、HTTP / HTTPS のリクエストを送信するクライアントは、 図に示すように 4 つのサブネットに存在する合計 1000 台強を Avalanche 上に構成した。これらのクラ イアントは、Alteon 5208 上に構成されたバーチャル IP に対して HTTP/HTTPS の通信を行う。バーチ ャル IP の設定については後述する。 クライアントからのトラフィックを Alteon 5208 が振り分ける先となる疑似 Web サーバは、図に示すように 計 40 台になるように Avalanche を構成した。 Alteon 5208 のクライアント側のポートには、172.16.0.11~172.16.0.21 の範囲の 11 個の IP ア ドレスをバーチャル IP アドレスとして設定した。それぞれのアドレスに対するトラフィックは、以下のサーバに分 散されるように構成した。 172.16.0.11 → 172.17.1.1~172.17.1.40 VIP×1 172.16.0.12 → 172.17.1.1~172.17.1.4 172.16.0.13 → 172.17.1.5~172.17.1.8 172.16.0.14 → 172.17.1.9~172.17.1.12 172.16.0.15 → 172.17.1.13~172.17.1.16 172.16.0.16 → 172.17.1.17~172.17.1.20 172.16.0.17 → 172.17.1.21~172.17.1.24 VIP×10 172.16.0.18 → 172.17.1.25~172.17.1.28 172.16.0.19 → 172.17.1.29~172.17.1.32 172.16.0.20 → 172.17.1.33~172.17.1.36 172.16.0.21 → 172.17.1.37~172.17.1.40 172.16.0.11 に対するトラフィックは、40 台用意したすべての疑似サーバに振り分けられる。 対して、172.16.0.12~172.16.0.21 の範囲の 10 バーチャル IP に対するトラフィックは、振り分けら れる先がそれぞれ 4 つの疑似サーバのアドレスである。 バーチャル IP という観点からは、本レポートを作成するために行ったテストは、大きく 2 つに分けられる。す なわち、クライアントが 172.16.0.11 に対してのみ通信を行うケース(以下 VIP×1 と呼ぶ)と、 172.16.0.12~172.16.0.21 に対して均等にトラフィックが発生するケース(以下 VIP×10 と呼ぶ)で ある。 PAGE 7 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 192.168.0.1 ~ 192.168.0.254 192.168.10.1 ~ 192.168.10.254 192.168.20.1 ~ 192.168.20.254 Client Client Client Client Client Client Client Client Client 192.168.30.1 ~ 192.168.30.254 Client Client Client Virtual Router 172.16.255.254 / 16 バーチャルIP (クライアントから見たサーバのIP) Alteon5208 172.17.0.1 / 16 Server Server 172.17.1.1 172.17.1.2 ・・・・・・・・ Server 172.17.1.40 Avalanche テスト時の Alteon 5208 および Avalanche C100 の構成 (論理構成) PAGE 8 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 3.その他の Alteon 5208 の設定 L4 モード / L7 モード Alteon 5208 は、自動的に HTTP のヘッダ中に Cookie 挿入し、同一のサーバとのセッションを維持す ることができる。本資料では、この機能が有効になっている状態を L7 モードと呼ぶ。また、この機能を無効 にした状態を L4 モードと呼ぶ。 ディレイドバインディング Alteon 5208 は、enable / forceproxy の 2 種類のディレイドバインディングの構成が可能である。ま た、HTTP の通信については無効にすることが可能である。 ディレイドバインディングでは、以下の図に示すように中間デバイス(Alteon)と送信元端末で TCP 3Way ハンドシェイクを完了させ、その後に中間デバイス(Alteon)と実サーバで TCP 3Way ハンドシェイクを始め ることで、クライアント側とサーバ側との TCP セッションを分離する。これにより TCP の SYN を悪用した攻 撃を防ぐ効果が期待される。 Client Alteon Server SYN SYN/ACK ACK SYN 正常なTCP通信である ことを確認後、サーバ 側の通信を開始 SYN/ACK ACK ディレイドバインディングの概略 enable / forceproxy の違いについては、以下の通りである。 ■Delayed Binding = Enabled ・Alteon 全バージョンで利用可能 ・TCP Proxy 機能のみを提供 ・TCP 最適化は実施しない PAGE 9 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 ■Delayed Binding = Force Proxy ・Full TCP Proxy 機能を提供(L7 レベルまで確認出来る) ・クライアント側とリアルサーバ側で、以下のようなセッションの完全分離 -クライアントからのパイプライン要求のサポート -パケットの順序再組み立ての実施 -リアルサーバ側への FIN の再送機能 -サーバ MSS のサポート(Win2008R2) -パディングが必要な場合に HTTP を調整(クッキー又は X-Forwarded-For の挿入) ディレイドバインディングの機能が無効(disable)になっている場合には、以下の図に示すように TCP セグ メントはそのまま通過する。 Client Alteon SYN SYN/ACK ACK Server SYN SYN/ACK ACK ディレイドバインディング無効時の Alteon の挙動 なお本レポート中では特に記載がない限りディレイドバインディングに関する構成は forceproxy である。 設定全般について 今回の設定内容は、実環境で使用する設定値に近づけており、中には特に処理を重いものにしているも のもある。処理を重くしている設定項目について、それを軽減するための設定値をそれぞれのモードに対し て以下に示す。 L4 モード:ディレイドバインディングを無効(disable)にし、かつ VIP の「pbind(※1)」の設定を 「clientip」から「disable」にする。 L7 モード:ディレイドバインディングを「forceproxy」ではなく「enable」。 ※1:pbind はリアルサーバを選択する際のセッション維持の方法を選択する。 「clientip」の場合は、送信元 IP アドレス単位でのパーシステンス(L7 機能を使用)を行う。 「disable」の場合は、パーシステンス機能が無効。 PAGE 10 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 サーバ証明書 本レポートを作成するために実施したテストでは、サーバ証明書のみ使用し HTTPS の通信を行った。 4.その他の Avalanche C100 の設定 TCP パラメータ 本レポートのために実施したテストでは、クライアント疑似およびサーバ疑似のいずれでも、Avalanche C100 の TCP に関連するパラメータは、以下の通りとした。 MSS Receive Window ボートレンジ 再送タイムアウト初期値 最大再送回数 1460bytes 32768bytes 1024 – 65535 300ミリ秒 5回 HTTP / HTTPS のパラメータ 本資料のために実施したテストでは、HTTP / HTTPS に関連するパラメータは、以下の通りとした。 HTTP / HTTPSのバージョン ポート番号 レスポンスのボディサイズ コネクションクローズ方式 HTTP 1.1 HTTP:80 HTTPS:443 64/512/2K/44K/100K/1M bytesの6種類でテスト実施 ※TCPコネクション同時オープンのテストを除く クライアントからのRST ■テスト結果 1.単位時間あたりの新規 TCP コネクション確立数の調査 1-1.HTTP(L4 モードと L7 モードの違い) 1-2.HTTP(ディレイドバインディングの有無による違い) 1-3.HTTPS(L4 モードと L7 モードの違い) 会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。 非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。 2.SYN フラッドに対する耐性について 会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。 非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。 PAGE 11 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 ■ベンチマークテスト機材 本ベンチマークテストには下記の測定器を用いた。 ●Spirent Communications 社アプリケーション・パフォーマンス/セキュリティ 試験ツール Spirent Avalanche C100 Version 4.46 リファレンス http://tools.ietf.org/html/rfc3511 ファイアウォール パフォーマンス評価手法 Benchmarking Methodology for Firewall Performance ■テスト対象装置 ●Radware 社製 Alteon5208 PAGE 12 OF 13 Copyright (C) @benchmark 2015/06/18 LB-00003 ■Alteon5208 設定 会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。 非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。 免責 本テストレポートは@benchmark 会員よりテスト申請を受けて株式会社東陽テクニカがテストを実施し ております。 テストに際し、DUT の設定はレポート内もしくは個別の設定ファイルで公開し、この設定、テ スト環境の時の実測値を記載しており、DUT の性能を保証するものではありません。 本テストレポートに関する会員からの質問は [email protected] でお受けしております。 なお、会員以外からの質問等には一切お答えできません。 本テストレポートをデータとしてご利用いただく場合、会員規約で規定されている注意事項を了承された ものとします。 PAGE 13 OF 13 Copyright (C) @benchmark
© Copyright 2024 ExpyDoc