Ausgewählter Artikel

SSL-Leistungsergebnisse: F5 BIG-IP iSeries im Vergleich Citrix und A10

Wir haben die Tests durchgeführt und die Ergebnisse liegen vor: Die neue Anwendungsbereitstellungsplattform F5 BIG-IP iSeries bietet fünfmal schnelleres SSL ECC TPS als vergleichbare Geräte unserer Mitbewerber.

Während weltweit immer mehr Verschlüsselungspakete zum Einsatz kommen, ist F5 in einer einzigartigen Position, seine Führungsposition im Bereich SSL/TLS zu behaupten. ADCs mit SSL-Hardwarebeschleunigern der älteren Generation kompensieren diese Mängel, indem sie die verschlüsselten Verbindungen in der Software verarbeiten. Dies führt zu einer zusätzlichen Belastung des Systems, die die App-Leistung verlangsamen und die Kapazität einschränken kann. Die neue iSeries von F5 umfasst die neueste Generation kryptografischer Beschleunigungshardware zur Auslagerung der Diffie-Hellman-Elliptical-Curve-Kryptografie (ECDHE) und ermöglicht so die schnelle Einführung von ECC- und ECDHE-Chiffre-Suiten – selbst in TLS-Umgebungen mit hoher Auslastung.

Um die Leistung der iSeries im Vergleich zu anderen Geräten auf dem Markt zu ermitteln, haben wir auf der Plattform zusammen mit vergleichbaren Geräten von A10 Networks und Citrix strenge Leistungstests mit der SSL-Verschlüsselung ECDH-ECDSA-AES128-SHA256 durchgeführt.

In unserem Test stellte der Client eine Verbindung zu einem virtuellen Server mit clientseitigem SSL her, der die SSL-Verschlüsselung ECDH-ECDSA-AES128-SHA256 unterstützte. Nachdem die Verbindung hergestellt war, schickte der Client eine einzelne Dateianforderung; der Server antwortete mit der Datei und einer Rückmeldung 200 OK. Anschließend wurde die Verbindung vom Client in vier Richtungen geschlossen. Die Wiederverwendung war in allen Tests deaktiviert.

Wie Sie den folgenden Zahlen entnehmen können, konnten die von uns getesteten Geräte von Citrix und A10 Networks – die beide zum Offload von SSL kommerzielle Siliziumchips verwendeten – nicht mit der Leistung der iSeries Crypto Offload-Hardware von F5 mithalten.

Transaktionen pro Sekunde

 

 

 

 

 Dateigröße

128B

5 KB

16 KB

512 KB

 F5 BIG-IP i7800

27243

27077

26573

5251

 Citrix NetScaler 14080

5103

5087

5060

2156

 A10 Netzwerke 4440S

3976

3910

3891

2135
         

Durchsatz in Mbit/s

        

 Dateigröße

128B

5 KB

16 KB

512 KB

 F5 BIG-IP i7800

105

1185

3558

22034

 Citrix NetScaler 14080

19

222

677

9047

 A10 Netzwerke 4440S

15

171

521

8955

Testprozess und -umgebung

Jedes der Produkte durchlief denselben mehrphasigen Testprozess, den F5 in früheren Berichten verwendet hat. Dieser Prozess besteht aus den folgenden Phasen:

  1. Vorläufige Tests: Erstellen und validieren Sie die Konfiguration für jedes zu testende Gerät (DUT), sodass alle DUTs den Netzwerkverkehr auf die gleiche Weise verwalten.
  2. Exploratives Testen: Dadurch werden die besten Testeinstellungen für jedes Gerät ermittelt und es wird angezeigt, wie gut es bei den einzelnen Testarten abschneidet. Die Konfiguration des DUTs wird in dieser Phase abgeschlossen. 

  3. Abschließende Prüfung: Jeder Testtyp wird mehrmals ausgeführt. Der Test wird wiederholt, bis mindestens drei gute Durchläufe vorhanden sind, die durchgängig die besten Ergebnisse geliefert haben. Um diesen Konsistenzstandard zu erreichen, sind möglicherweise viele Testdurchläufe erforderlich.
  4. Ermitteln Sie die besten Ergebnisse: Die drei besten Testläufe jedes Testtyps werden im Detail untersucht, um herauszufinden, welcher die beste Gesamtleistung erbracht hat. In diesem Bericht werden die Ergebnisse des jeweils besten Laufs für den jeweiligen Testtyp verwendet. 


Insgesamt wurden über 50 Testläufe durchgeführt, um diese Ergebnisse zu erzielen.

Getestete Produkte

Die von uns getesteten Produkte lagen in ähnlichen Preisklassen und bestanden aus:

  • Citrix 14080 (113.069 USD)
  • A10 4440S (94.240 USD)
  • F5 BIG-IP i7800 (85.000 USD)

SSL-Verarbeitungstests

Die Secure Sockets Layer (SSL)-Verschlüsselung wird weltweit verwendet, um die Kommunikation zwischen Benutzern und Anwendungen zu sichern. SSL ist ein Standardverschlüsselungsprotokoll, das in allen wichtigen Betriebssystemen, Webbrowsern, Smartphones usw. verfügbar ist. Die SSL-Technologie trägt dazu bei, Online-Shopping sicher zu machen, ermöglicht sicheren Fernzugriff (SSL-VPN) und vieles mehr – SSL ist in kommerziellen und privaten Netzwerksicherheitslösungen allgegenwärtig. SSL bietet Sicherheit durch eine Kombination aus Public-Key-Kryptografie zum Teilen der kryptografischen Schlüssel und symmetrischer Verschlüsselung (üblicherweise RC4, 3DES oder AES) zum tatsächlichen Verschlüsseln des Datenverkehrs. Sowohl der Schlüsselaustausch als auch die verschiedenen Verschlüsselungsalgorithmen sind rechenintensiv und erfordern spezielle Hardware auf der Serverseite, um bei fast allen kommerziellen Anwendungen von SSL eine akzeptable Leistung oder einen großen Maßstab zu erreichen.

Die Leistung von SSL-Transaktionen pro Sekunde (TPS) ist in erster Linie ein Maß für die Schlüsselaustausch-/Handshake-Kapazität eines Geräts. Normalerweise wird dies bei kleinen Dateigrößen gemessen. Dabei werden die Handshake-Vorgänge gemessen, die zu Beginn jeder neuen SSL-Sitzung stattfinden. Dieser Vorgang ist rechenintensiv und alle großen SSL-Offload-Anbieter verwenden spezielle Hardware, um diese Aufgabe zu beschleunigen. Bei größeren Serverantworten und Dateigrößen ist der Rechenaufwand des Handshake-Vorgangs weniger relevant. Da der Vorgang nur einmal zu Beginn einer Sitzung ausgeführt wird, ist der Aufwand wesentlich geringer. Ein ausgewogeneres Maß für den Leistungsvergleich ist der Durchsatz des verschlüsselten Datenverkehrs, auch als symmetrische Verschlüsselung oder Massenverschlüsselung bezeichnet. Bulk-Verschlüsselung ist ein Maß für die Datenmenge, die in einer bestimmten Sekunde verschlüsselt und übertragen werden kann.

Es gibt unterschiedliche Ansätze zur Handhabung des SSL-Verkehrs. Einige Geräte nutzen spezielle Hardware nur für den SSL-Handshake/Schlüsselaustausch und verwenden dann die CPU für die fortlaufende Massenverschlüsselung. Andere Geräte haben den Vorteil, dass sie für beide Funktionen spezialisierte Hardware verwenden. Die F5 iSeries ist speziell für die optimale Handhabung der Einrichtung von SSL-Verbindungen und des Massendurchsatzes konzipiert. Durch die vollständige Nutzung der fortschrittlichen Krypto-Hardware verfügen F5 iSeries-Plattformen über eine hervorragende Transaktionsleistung und liefern gleichzeitig große Mengen an verschlüsseltem Massendurchsatz. Dadurch können Kunden und Systemadministratoren CPU-Zyklen für zusätzliche Leistung oder Funktionalität freihalten.

Wie üblich wurden Tests mit verschiedenen Dateigrößen (128 B, 5 KB, 16 KB und 512 KB) durchgeführt, um die Leistung in verschiedenen Situationen zu demonstrieren.

Die Tests wurden mit Schlüsselgrößen von 384 Bit durchgeführt, also mit der von allen namhaften Sicherheitsbehörden empfohlenen Größe. Zum Einsatz kamen ECDH-ECDSA-AES128-SHA256-Chiffren, einer der gängigsten verfügbaren Verschlüsselungsalgorithmen.

Abschluss

Mit der iSeries-Plattform bleibt F5 weiterhin führend bei der Bereitstellung umfassender SSL-Lösungen für unsere Kunden. Unter anderem ist es der erste ADC, der die dedizierte Hardware-Offload von ECDHE unterstützt. Da immer mehr Unternehmen auf ECC-Chiffre-Suiten zur Perfekten Vorwärtsgeheimnissetzung umsteigen, wird der Bedarf an Lösungen zur Sicherstellung der App-Leistung weiter steigen. Unsere Leistungstests zeigen, dass die iSeries-Plattformen von F5 die höchste Leistung beibehalten und gleichzeitig die größte Bandbreite an Verschlüsselungssammlungen unterstützen.