Radware社製 Alteon5208 ロードバランサー ベンチマークテストレポート

中小企業向け
ロードバランサー
ベンチマークテストレポート
DUT(テスト対象装置: Device Under Test)
Radware 社製 Alteon5208
2015/06/18
LB-00003
2015/06/18
LB-00003
目次
■ベンチマークテストの内容.................................................................................. 3
■DUT(テスト対象装置: Device Under Test)
Radware 社製 Alteon 5208 ............... 3
■テストトラフィックについて................................................................................... 3
■ベンチマークテスト項目と説明 ............................................................................ 3
■本資料での専門用語 .................................................................................... 4
■本資料でのテストに関する諸元 .......................................................................... 6
1.テスト時の Alteon 5208 および Avalanche C100 の構成(基本の物理構成) ............. 6
2.テスト時の Alteon 5208 および Avalanche C100 の構成(論理構成) ..................... 7
3.その他の Alteon 5208 の設定 ...................................................................... 9
4.その他の Avalanche C100 の設定 ............................................................... 11
■テスト結果 ............................................................................................... 11
1.単位時間あたりの新規 TCP コネクション確立数の調査 ........................................... 11
2.SYN フラッドに対する耐性について .................................................................. 11
■ベンチマークテスト機材 .................................................................................. 12
リファレンス .................................................................................................. 12
■テスト対象装置 ......................................................................................... 12
■Alteon5208 設定 ..................................................................................... 13
PAGE 2 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
中小企業向けロードバランサーベンチマークテストレポート
■ベンチマークテストの内容
アプリケーショントラフィックをテスト対象機器に印加し、新規コネクション数、スループット性能を測定する。
■DUT(テスト対象装置: Device Under Test)
Radware 社製 Alteon 5208
・製品 URL:http://www.radware.co.jp/special/index.html
・バージョン: 30.0.3.0
■使用ポート
クライアント群
:1000BASE-T(3 ポート)
サーバ群
:1000BASE-T(4 ポート)
■テストトラフィックについて
疑似クライアントに接続されているポートをクライアント群ネットワーク、疑似 Web サーバに接続されている
ポートをサーバ群のネットワークとして使用する。各アプリケーションの TCP コネクションはクライアント群ネット
ワーク上の擬似クライアントから開始する。
TCP コネクションの確立後、クライアント群ネットワークからのトラフィックはロードバランサ内部のバーチャル
IP によりサーバ群ネットワークの疑似サーバへバランシング(分散)される。
本レポートの試験では、40 個の疑似サーバに対し、バーチャル IP 1 個から振り分けを行うケース(以下
VIP×1 と表記)と、バーチャル IP 10 個から振り分けを行うケース(以下 VIP×10 と表記)の2通りを、
全てのテスト項目に対して実施した。詳細は、後述の「本資料でのテストに関する諸元」を参照いただき
たい。
Avalanche(疑似クライアント、疑似サーバ)による負荷量の設定は、DUT を挟み込んだ測定を行う
前に、おおよその最大コネクション数、スループットを机上計算する。この計算した値を基に、DUT を挟み
込まずに Avalanche にて折り返しによる測定を行い性能確認する。その後、DUT を繋ぎエラーが発生し
ない程度の値を見つけその値を基に負荷量を決めテストを行う。
■ベンチマークテスト項目と説明
1.TCP 新規コネクション毎秒テスト
HTTP、SSL(HTTPS)プロトコルごとの TCP の新規コネクションテストを行った。
データサイズは 64bytes から1Mbytes の範囲でテストを行う。HTTP のテストでは DUT をレイヤ 4 モ
ード、レイヤ 7 モードのそれぞれで試験を行った。
PAGE 3 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
2.テスト結果について
原則として、タイムアウトなどにより通信が正常に完了できずテストエラーとなった時点の値を結果としてい
る。
■本資料での専門用語
【TCP】
TCP は OSI 参照モデルのトランスポート層にあたる。TCP では各コンピュータ上で実行されている、アプリ
ケーション間での通信方法を規定している。
【TCP 新規コネクション】
TCP の通信ではデータ転送を行う前にコネクションの確立(3way ハンドシェイク)を行う。
この3ウェイハンドシェイクによって発生する新規のコネクションの確立を TCP 新規コネクションとする。
【CPS】
毎秒の TCP コネクション数。
【トランザクション】
本資料でのトランザクションとは、擬似クライアントから生成される HTTP のリクエストメッセージの実行とそ
の応答とする。HTTP1.1 persistence 機能では1つの TCP のコネクション上で複数のトランザクション
(HTTP リクエスト)を実現しているため、トランザクション数≠コネクション数となることがある。
【TPS】
毎秒のトランザクション数。
PAGE 4 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
【SYN/ACK 応答時間】
TCP の 3 ハンドシェイク開始時における疑似クライアントから送信される SYN パケットに対する対向から
SYN/ACK パケットを受信するまでの時間。
SYN
SYN/ACK 応答時間
SYN/ACK
ACK
TCP コネクション確立
【HTTP データ応答時間】
疑似クライアントから送信された HTTP リクエストに対し、疑似サーバからそのリクエストに対する最初のレ
スポンスパケットを受信するまでの時間。
TCP3 ハンドシェイク
TCP コネクション確立
HTTP リクエスト
HTTP データ応答時間
レスポンス(データ)
レスポンス(データ)
レスポンス(データ)
PAGE 5 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
■本資料でのテストに関する諸元
1.テスト時の Alteon 5208 および Avalanche C100 の構成(基本の物理構成)
今回のテストで用いた測定器は、Spirent Communications 社製 Avalanche C100 である。図に
示すように 1000Base-T を 7 ポート用い、サーバ疑似用に 4 ポート、クライアント疑似用に 3 ポート設
定し、Alteon 5208 と接続した。Alteon5208 のポート No.6 は、管理用ポートとして利用し、必要に
応じて cpu の状態などを確認した。
※Alteon 5208 および Avalanche C100 は、それぞれ 10G イーサネットのポートを持つが、都合上、
1000Base-T を複数ポート用いてテストすることにした。
なお、テストの測定結果(TCP コネクション数、スループット等)の確認は、Avalanche のクライアントを
疑似するポートで行った。
Alteon5208のポート6に端
末を接続し、必要に応じて
CPUなどの状態を確認した
P3
P4
Alteon5208
P5 P6 P7 P8
クライアントを疑
似するポート
1Gbps×3
エ ミ ュ レートされた
クライア ント
P9
P10
サーバを疑似
するポート
1Gbps×4
Avalanche
クライアント群
エ ミ ュ レートされた
サーバ
サーバ群
テスト時の Alteon 5208 および Avalanche C100 の構成
(基本の物理構成)
PAGE 6 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
2.テスト時の Alteon 5208 および Avalanche C100 の構成(論理構成)
Alteon 5208 のバーチャル IP アドレスに対し、HTTP / HTTPS のリクエストを送信するクライアントは、
図に示すように 4 つのサブネットに存在する合計 1000 台強を Avalanche 上に構成した。これらのクラ
イアントは、Alteon 5208 上に構成されたバーチャル IP に対して HTTP/HTTPS の通信を行う。バーチ
ャル IP の設定については後述する。
クライアントからのトラフィックを Alteon 5208 が振り分ける先となる疑似 Web サーバは、図に示すように
計 40 台になるように Avalanche を構成した。
Alteon 5208 のクライアント側のポートには、172.16.0.11~172.16.0.21 の範囲の 11 個の IP ア
ドレスをバーチャル IP アドレスとして設定した。それぞれのアドレスに対するトラフィックは、以下のサーバに分
散されるように構成した。
172.16.0.11 → 172.17.1.1~172.17.1.40
VIP×1
172.16.0.12 → 172.17.1.1~172.17.1.4
172.16.0.13 → 172.17.1.5~172.17.1.8
172.16.0.14 → 172.17.1.9~172.17.1.12
172.16.0.15 → 172.17.1.13~172.17.1.16
172.16.0.16 → 172.17.1.17~172.17.1.20
172.16.0.17 → 172.17.1.21~172.17.1.24
VIP×10
172.16.0.18 → 172.17.1.25~172.17.1.28
172.16.0.19 → 172.17.1.29~172.17.1.32
172.16.0.20 → 172.17.1.33~172.17.1.36
172.16.0.21 → 172.17.1.37~172.17.1.40
172.16.0.11 に対するトラフィックは、40 台用意したすべての疑似サーバに振り分けられる。
対して、172.16.0.12~172.16.0.21 の範囲の 10 バーチャル IP に対するトラフィックは、振り分けら
れる先がそれぞれ 4 つの疑似サーバのアドレスである。
バーチャル IP という観点からは、本レポートを作成するために行ったテストは、大きく 2 つに分けられる。す
なわち、クライアントが 172.16.0.11 に対してのみ通信を行うケース(以下 VIP×1 と呼ぶ)と、
172.16.0.12~172.16.0.21 に対して均等にトラフィックが発生するケース(以下 VIP×10 と呼ぶ)で
ある。
PAGE 7 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
192.168.0.1
~
192.168.0.254
192.168.10.1
~
192.168.10.254
192.168.20.1
~
192.168.20.254
Client
Client
Client
Client
Client
Client
Client
Client
Client
192.168.30.1
~
192.168.30.254
Client
Client
Client
Virtual Router
172.16.255.254 / 16
バーチャルIP
(クライアントから見たサーバのIP)
Alteon5208
172.17.0.1 / 16
Server
Server
172.17.1.1
172.17.1.2
・・・・・・・・
Server
172.17.1.40
Avalanche
テスト時の Alteon 5208 および Avalanche C100 の構成
(論理構成)
PAGE 8 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
3.その他の Alteon 5208 の設定
L4 モード / L7 モード
Alteon 5208 は、自動的に HTTP のヘッダ中に Cookie 挿入し、同一のサーバとのセッションを維持す
ることができる。本資料では、この機能が有効になっている状態を L7 モードと呼ぶ。また、この機能を無効
にした状態を L4 モードと呼ぶ。
ディレイドバインディング
Alteon 5208 は、enable / forceproxy の 2 種類のディレイドバインディングの構成が可能である。ま
た、HTTP の通信については無効にすることが可能である。
ディレイドバインディングでは、以下の図に示すように中間デバイス(Alteon)と送信元端末で TCP 3Way
ハンドシェイクを完了させ、その後に中間デバイス(Alteon)と実サーバで TCP 3Way ハンドシェイクを始め
ることで、クライアント側とサーバ側との TCP セッションを分離する。これにより TCP の SYN を悪用した攻
撃を防ぐ効果が期待される。
Client
Alteon
Server
SYN
SYN/ACK
ACK
SYN
正常なTCP通信である
ことを確認後、サーバ
側の通信を開始
SYN/ACK
ACK
ディレイドバインディングの概略
enable / forceproxy の違いについては、以下の通りである。
■Delayed Binding = Enabled
・Alteon 全バージョンで利用可能
・TCP Proxy 機能のみを提供
・TCP 最適化は実施しない
PAGE 9 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
■Delayed Binding = Force Proxy
・Full TCP Proxy 機能を提供(L7 レベルまで確認出来る)
・クライアント側とリアルサーバ側で、以下のようなセッションの完全分離
-クライアントからのパイプライン要求のサポート
-パケットの順序再組み立ての実施
-リアルサーバ側への FIN の再送機能
-サーバ MSS のサポート(Win2008R2)
-パディングが必要な場合に HTTP を調整(クッキー又は X-Forwarded-For の挿入)
ディレイドバインディングの機能が無効(disable)になっている場合には、以下の図に示すように TCP セグ
メントはそのまま通過する。
Client
Alteon
SYN
SYN/ACK
ACK
Server
SYN
SYN/ACK
ACK
ディレイドバインディング無効時の Alteon の挙動
なお本レポート中では特に記載がない限りディレイドバインディングに関する構成は forceproxy である。
設定全般について
今回の設定内容は、実環境で使用する設定値に近づけており、中には特に処理を重いものにしているも
のもある。処理を重くしている設定項目について、それを軽減するための設定値をそれぞれのモードに対し
て以下に示す。
L4 モード:ディレイドバインディングを無効(disable)にし、かつ VIP の「pbind(※1)」の設定を
「clientip」から「disable」にする。
L7 モード:ディレイドバインディングを「forceproxy」ではなく「enable」。
※1:pbind はリアルサーバを選択する際のセッション維持の方法を選択する。
「clientip」の場合は、送信元 IP アドレス単位でのパーシステンス(L7 機能を使用)を行う。
「disable」の場合は、パーシステンス機能が無効。
PAGE 10 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
サーバ証明書
本レポートを作成するために実施したテストでは、サーバ証明書のみ使用し HTTPS の通信を行った。
4.その他の Avalanche C100 の設定
TCP パラメータ
本レポートのために実施したテストでは、クライアント疑似およびサーバ疑似のいずれでも、Avalanche
C100 の TCP に関連するパラメータは、以下の通りとした。
MSS
Receive Window
ボートレンジ
再送タイムアウト初期値
最大再送回数
1460bytes
32768bytes
1024 – 65535
300ミリ秒
5回
HTTP / HTTPS のパラメータ
本資料のために実施したテストでは、HTTP / HTTPS に関連するパラメータは、以下の通りとした。
HTTP / HTTPSのバージョン
ポート番号
レスポンスのボディサイズ
コネクションクローズ方式
HTTP 1.1
HTTP:80
HTTPS:443
64/512/2K/44K/100K/1M bytesの6種類でテスト実施
※TCPコネクション同時オープンのテストを除く
クライアントからのRST
■テスト結果
1.単位時間あたりの新規 TCP コネクション確立数の調査
1-1.HTTP(L4 モードと L7 モードの違い)
1-2.HTTP(ディレイドバインディングの有無による違い)
1-3.HTTPS(L4 モードと L7 モードの違い)
会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。
非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。
2.SYN フラッドに対する耐性について
会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。
非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。
PAGE 11 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
■ベンチマークテスト機材
本ベンチマークテストには下記の測定器を用いた。
●Spirent Communications 社アプリケーション・パフォーマンス/セキュリティ 試験ツール
Spirent Avalanche C100 Version 4.46
リファレンス
http://tools.ietf.org/html/rfc3511
ファイアウォール パフォーマンス評価手法
Benchmarking Methodology for Firewall Performance
■テスト対象装置
●Radware 社製 Alteon5208
PAGE 12 OF 13
Copyright (C) @benchmark
2015/06/18
LB-00003
■Alteon5208 設定
会員の皆さまは会員サイトでログイン後、テストレポートを全てご覧いただけます。
非会員の皆さまは会員申込み(有料)いただければ、本テストレポートの続きをご覧いただけます。
免責
本テストレポートは@benchmark 会員よりテスト申請を受けて株式会社東陽テクニカがテストを実施し
ております。 テストに際し、DUT の設定はレポート内もしくは個別の設定ファイルで公開し、この設定、テ
スト環境の時の実測値を記載しており、DUT の性能を保証するものではありません。
本テストレポートに関する会員からの質問は [email protected] でお受けしております。
なお、会員以外からの質問等には一切お答えできません。
本テストレポートをデータとしてご利用いただく場合、会員規約で規定されている注意事項を了承された
ものとします。
PAGE 13 OF 13
Copyright (C) @benchmark