Xena Vulcan
Xena Vulcan
IP系 試験・測定・監視・検証機
Xena Vulcanは1GE~40GEのステートフルなイーサネットトラフィックの生成及び解析が可能なL4-L7テストプラットフォームです。
本製品はスイッチ、ファイアウォール、NATルーター、プロキシ等、ネットワーク製品に対してエンドツーエンドでのステートフルテストが可能です。
TCPコネクションの確立と切断、大量のコネクション保持時のパケット転送速度を測定し、パフォーマンスのボトルネックを特定する事でネットワークパフォーマンスの特性の評価やリグレッションテストに有効なプラットフォームとして使用可能です。
NGFW(次世代ファイアウォール)のようなステートフルなセキュリティ機器のTLSハンドシェイク速度、TLSスループット、TCPの最大同時接続数(CC)/1秒当たりの接続数(CPS)、HTTPの1秒当たりの接続数(CPS)/1秒当たりのトランザクション数(TPS)の計測が可能です。
特徴
- 1G/2.5G/5.0G/10G/25G/40Gステートフルイーサネットトラフィックジェネレータ
- TLSの最大同時セッション数:100万(Bay)/55万(compact)
- TCPの最大同時接続数(CC):2800万(Bay)/1400万(Compact)
- TCPの1秒当たりの接続数(CPS):600万(Bay)500万(Compact)
- 1秒当たりのトランザクション数(TPS):600万(Bay)/280万(Compact)
- ラインレートトラフィックキャプチャ(キャプチャ容量:最大400万パケット)
- 高スループットのTLS暗号化トラフィック
- トラフィック生成/解析ソフトウェア(VulcanManager)
- 実在のプロトコルやアプリケーションやトラフィックでのパフォーマンステストが可能なエミュレーション(VulcanAppMix)
- 3年間無償のソフトウエアアップデートサービス、ハードウエアセンドバックサービスを提供
- 6モジュール搭載の4U型シャーシ(Bay)及び1モジュール搭載の1U型シャーシ(Compact)
システム接続イメージ
シャーシは19インチラックマウント型の2Uシャーシで、10GE x12ポート、25GE x12ポートもしくは 25GE x8ポート + 40GE x2ポートの組み合わせの3種類のポート構成がございます。
スピードは関連するライセンスを購入することで有効となります。
| 40GE | ||||
|---|---|---|---|---|
| No | 製品名 | ポート数/イーサネットスピード | フォームファクタ | |
| 1 | Vul-28PE-40G | 1G / 10G / 25G x8ポート 及び 40G x2ポート | SFP+ / SFP28 (25G-SR/LR/DAC) 及び QSFP+ (40G-SR/LR/DAC) | |
| 25GE | ||||
|---|---|---|---|---|
| No | 製品名 | ポート数/イーサネットスピード | フォームファクタ | |
| 1 | Vul-28PE-25G | 1G / 10G / 25G x12ポート | SFP+ / SFP28 (25G-SR/LR/DAC) | |
| 2 | Vul-28PE-25G-10G-CU | 1G / 2.5G / 5G / 10G RJ45 x6ポート 及び 1G / 10G / 25G x6ポート | RJ45 及び SFP+ / SFP28 (25G-SR/LR/DAC) | |
| 10GE | ||||
|---|---|---|---|---|
| No | 製品名 | ポート数/イーサネットスピード | フォームファクタ | |
| 1 | Vul-28PE-10G-CU | 1G / 2.5G / 5G / 10G x12ポート | RJ45 | |
| 対応モジュール | ||||
|---|---|---|---|---|
| No | モジュール名 | モジュール情報 | フォームファクタ | |
| 1 | E10GSFPSR | Intel製 SFP+ SR(1000BASE-SX, 10GBASE-SR) | SFP+ SR | |
| 2 | E10GSFPLR | Intel製 SFP+ LR(1000BASE-LX, 10GBASE-LR) | SFP+ LR | |
| 3 | E25GSFP28SR | Intel製 SFP28 SR(10GBASE-SR, 25GBASE-SR) | SFP28 SR | |
| 4 | E40GQSFPSR | Intel製 QSFP+ SR(40GBASE-SR -4x10GbE 及び 1x40GbE) | QSFP+ SR | |
| 25GE | ||||
|---|---|---|---|---|
| No | 製品名 | ポート数/イーサネットスピード | フォームファクタ | |
| 1 | C-Vul-28PE-25G | 1G / 10G / 25G x2ポート | SFP+ / SFP28 (25G SR/LR/DAC) | |
| 10GE | ||||
|---|---|---|---|---|
| No | 製品名 | ポート数/イーサネットスピード | フォームファクタ | |
| 1 | C-Vul-28PE-10G | 1G / 10G x2ポート | SFP+ (SR/LR/DAC) | |
| 2 | C-Vul-28PE-10G-CU | 1G / 2.5G / 5G / 10G x2ポート | RJ45 | |
| 対応モジュール | ||||
|---|---|---|---|---|
| No | モジュール名 | モジュール情報 | フォームファクタ | |
| 1 | E10GSFPSR | Intel製 SFP+ SR(1000BASE-SX, 10GBASE-SR) | SFP+ SR | |
| 2 | E10GSFPLR | Intel製 SFP+ LR(1000BASE-LX, 10GBASE-LR) | SFP+ LR | |
| 3 | E25GSFP28SR | Intel製 SFP28 SR(10GBASE-SR, 25GBASE-SR) | SFP28 SR | |
VulcanManager
L2-L3ステートレスパケットジェネレータとは異なり、VulcanManagerは2テストポート間でステートフルなTCPコネクションを確立しDUTのパフォーマンスをテスト可能です。
アプリケーションエミュレーション
VulcanManagerは後述のVulcanAppMixを用いて、実際のアプリケーションのpcapファイルで複雑なトラフィックシナリオを作成可能です。
また、VulcanAppMixの事前に用意されているライブラリから、エンタープライズや金融機関環境のような多様なネットワーク環境用に、様々なトラフィックミックスをロード、カスタマイズすることができます。
TLSパフォーマンステスト
TCPより上のレイヤーのTLSのパフォーマンス試験を実行可能です。様々なTLS暗号スイートやTLS証明書のキーサイズを用いて一秒あたりのTLSハンドシェイク数、TLS同時接続数、TLSスループット、TLSアラートなどのTLSパフォーマンスを試験可能です。
TCPトラフィックジェネレーション
MAC/IP/TCPヘッダを編集し生成されるパケットにバリエーションを持たせることで、TCPコネクションを簡単にカスタマイズ可能です。トラフィックレートはラインレート、一秒あたりのフレーム数(fps)、もしくはビットレートのパーセンテージで指定し、トラフィックジェネレーションはコネクションの確立と切断の速度を決定するロードプロファイルで制御されます。TCPペイロードは自動生成(ランダム、インクリーメント)もしくは、グラフィカルペイロードエディタを通じてユーザーによってカスタマイズ可能です。TCPペイロードはファイルからロードすることも可能です。
ステートフルペイロードリプレイ
ユーザは自身がキャプチャしたトラフィックをテストネットワークやテストデバイスへリプレイできます。リプレイはレイヤ4ペイロードレベルで行われ、それ以下レイヤのパラメータは設定可能です。リプレイトラフィックはコネクション数を数百万まで増やすことが可能です。ユーザはキャプチャしたコネクションやトランザクションをどのように複製するか定義可能で、ユニークなMACアドレスやIPアドレスを設定可能です。
マルチユーザ・ポートリザベーション
VulcanManagerは各ポートレベルでのマルチユーザ環境に対応しています。パケットエンジンは個別に予約、割り当てることが可能です。
レポートジェネレーション
VulcanManagerにはテスト結果を簡単に見やすいPDFとして文書化するレポート生成機能があります。
VulcanAppMix
VulcanAppMixは最大200の事前定義されたアプリケーションシナリオを同時に生成可能で、それぞれが1クライアント対複数サーバのコミュニケーションシナリオに対応し、実際のトラフィックでコネクション数を数百万まで増やすことが可能です。
テストを簡素化するために、VulcanAppMixには複数のネットワーク環境でみられる一般的なアプリケーショントラフィックを含む、以下の事前定義されたトラフィックミックスプロファイルがあります。
・Enterprise Mix
・Web Mix
・Finance Mix
・Data Center Mix
Enterprise Mix (Internal Segment)
Enterprise Mixには世界的にビジネスでよく使われる典型的なアプリケーションやプロトコルが含まれています。
以下のグラフは構成例です。SMBはファイルやプリンタなどへの共有アクセスのために使われます。NFSを使用するとネットワークを介してファイルサーバ上のストレージ領域をローカルストレージと同様にアクセス可能です。
Enterprise Mix (Perimeter)
Rnterprise Mix(perimeter)にはデータセンターが備え付けられていない企業のペリメータシナリオで一般的に使われるアプリケーションのカスタマイズ可能なトラフィックプロファイルのテンプレートを提供します。以下のグラフは構成例です。
Data Center Mix
Data Center Mixではデータセンターでよく使用されるNCP,LDAP,ファイル共有などのアプリケーションとプロトコルを強調しています。
Finance Mix
Finance Mixでは取引で主に使われている様々なFIXプロトコルが含まれています。
Web Mix
Web Mixは暗号化されたトラフィックとそうでないトラフィックで構成されています。インターネット上のほとんどのトラフィックは暗号化されています(SSL/TLS, VPN, Data compression proxy)。
対応アプリケーション
Amazon | App Store App | Apple Map | AWS S3 | Bing | BitTorrent (Small) | Bloomberg | Chrome | Chrome Incognito | CNN | DNS | Dropbox | eBay | Email application | Facebook | Finance orders | Firefox | Flickr | Gmail | Google App | Google Calendar | Google | Hangouts App | Google Search | Google Drive | Google Maps | Hotmail Web | Instagram | iOS Calendar | IoT Temperature publish | IoT Temperature publish over TLS | iTunes App | LINE App | LinkedIn | Mobile Bank | Oracle MySQL | Oracle MySQL | Oracle MySQL over TLS | Outlook Web Mail | Paypal | QQ App | Reddit | Remote Desktop | RSS | SIP VoIP | Skype | Slack App | Tumblr | Twitter | Video stream 1080p over HTTP | Video stream 1080p over RTP | WeChat App | Weibo | Wikipedia Search | Yahoo | Yahoo Mail Web | YouTube
対応プロトコル
AFS | BitTorrent | DNS | Echo | FIX | FTP (active) | FTP (passive) | HTTP | HTTPS | IMAP (encrypted) | IMAPS | LDAP | LLMNR | MDNS | MQTT over TCP | MSExchange MAPI | NBNS | NFS | POP3 (unencrypted) | POP3 over TLS | QUIC | RADIUS | RDP | RTP/RTCP | RTSP | Secure MQTT | SIP | SMB2 | SMTP | SMTP over TLS | SRTP | SSDP | SSHv2 | TELNET (per-character) | TELNET (per-line) | TFTP Read Request | TFTP Write Request
Vulcanは、一例として次世代ファイアウォール(NGFW)の導入の際のパフォーマンステストに最適なソリューションを提供します。Vulcanを用いた包括的な試験によって、システムの信頼性・可用性の検証を行うことが可能です。
NGFW 機器のパフォーマンステストにおける注意点
実環境のアプリケーション・トラフィックを用いて NGFWを検証する場合、アプリケーショントラフィックを用いるだけでは無く、ユーザ毎に個別に発生する通信のトラフィックのエミュレーションを、どの様に実施するかが重要となります。
何故ならば、実環境に於けるユーザトラフィックの発生はランダムで有り、一定間隔で発生する事は有りません。
もしテストトラフィックが一定の接続数/秒(CPS)で生じる様な場合、NGFW はそのパターンを機械学習によって検出し、その接続の確立をブロックします。すると下図に示すように NGFW を通過するトラフィックは無くなり、パフォーマンス検証を行う事が出来ません。
即ちテストプラットフォームはNGFWに対して、実環境に則したトラフィックパターンを提供する必要が有ります。
VulcanAppMixによってこのようなエミュレートが可能となります。
スループット&キャパシティ検証
パフォーマンス検証に加え、NGFWの基本性能を測る事は、そのNGFWが与えられた環境下での使用に耐えうるか、否かを判断する上で必要となります。
スループット評価
ファイアウォールは全てのインバウンドとアウトバウンドのトラフィックを処理する為、スループットの検証を行うことが重要です。
NGFWの実際のパケット処理能力を検証するには、さまざまなサイズの UDP パケットを使用する必要があります。これにはVulcanの2つのテストポート間にNGFWを挿入し、複数の送信元および宛先IPアドレスを持つ固定長のパケットストリームを双方向に印加する必要があります。
この際、 UDPパケットは有効なサブネットを持ったIPアドレス及びポート番号を持ち、ペイロードにはダミーデータを包含します。
本検証はNGFWのパケット処理能力を測定し、QoSの処理能力に拘わるパケット転送エンジンの性能値を確認する事を目的としています。
本検証は以下の各パケットサイズを用い、パケットロスのない最高スループットを測定します。
- 64 Byte
- 128 Byte
- 256 Byte
- 512 Byte
- 1024 Byte
- 1514 Byte
最大コネクション数
ファイアウォールはTCPコネクションの状態をメモリのステートテーフルに保持するステートフルデバイスです。メモリは有限であるため、NGFW の維持できるTCPセッション数には限りが有ります。
よってTCP最大同時接続数の検証によって、NGFW性能の一部を確認する事が出来ます。
また、接続数/秒(CPS)を計測し、接続確立率の検証を行う必要も有ります。この値は、アプリケーションのQoSに強く影響を与える為、有効な検証となります。
- TCP 最大同時接続数(CC)
- データ転送を含む TCP 最大同時接続数(CC)
- TCP 最大接続数/秒(CPS)
- HTTP 最大接続数/秒(CPS)
- HTTP 最大トランザクション/秒(TPS)
下図に示される検証では、アプリケーショントラフィックが存在しない状態でのTCP 最大同時接続数を測定しています。
実際にはこのようなトラフィックはほとんど見られませんが、NGFWのパフォーマンスを測る上で有効な検証項目となります。
各コネクションは、TCP 3ウェイハンドシェイク(SYN-SYN, ACK-ACK)で確立され、接続数が増えても維持される事が期待されます。コネクション数はそれ以上確立が出来なくなる迄、試行を続けます。
前出の試験に基づき、下図の検証では、TCPコネクションが確立された後にアプリケーショントラフィックを重畳してデータ伝送を行います。例として21 KB のアプリケーションデータ送信する場合、データを複数のTCPパケットに分割、送信して一つのTCPコネクション内でデータを転送できることを確認します。
最大CPSは、TCP同時接続要求に対するNGFWの処理能力を決定します。実際にはこのようなトラフィックはほとんど見られませんが、NGFWのパフォーマンスを測る上で有効な検証項目となります。
TCPコネクション確立後1バイトのデータを送信した後、直ちにそのコネクションを解放します。その後、確立数を増加させながら、試行を続けます。NGFWが設定した立ち上がり時間内に新規接続の確立が出来なくなる迄、試行を続けます。
NGFW はアプリケーションアウェアの為、TCPのペイロードを検査します。本検証では、 1バイトの HTTP 応答を用いた場合の NGFWの最高HTTPセッションレートを測定します。これは、秒間辺りの理論上の最高値を測定します。
クライアントとサーバーは、キープアライブなしでHTTP 1.1以上を使用します。以下の図に示すように、クライアントは TCP コネクションを確立した後、1つのHTTPリクエストを送信し、直ちにコネクションの解放処理を開始します。サーバーはクライアントからのリクエストを受信すると同時に、1バイトのHTTPレスポンスを送信します。
これは、リクエストが送信された時点でTCP コネクションが直ちに解放される事となります。ここでTCP コネクションが同時に発生した場合は NGFWにより遅延が発生したと考えられます。
NGFWが新規TCP コネクションの確立をできなくなるまで、コネクション数を増やしながら試行を続けます。
本検証では、HTTP 応答を用いた場合の NGFW の最高 HTTP 処理レートを測定します。
クライアントとサーバーは、キープアライブなしで HTTP 1.1 以上を使用します。以下の図に示すように、クライアントは 1 つのTCP コネクションを開き、 複数個の HTTP リクエストを送信した後、直ちにコネクションの解放処理を開始します。サーバーはクライアントからのリクエストを受信すると同時に、1 バイトの HTTP レスポンスを送信します。
これにより、複数回に及ぶ HTTP トランザクションがすべて終了するまで TCP コネクションが開いたままになります。
この処理は1 つの TCP コネクションに複数個の HTTP トランザクションが含まれるため、前述の試験に存在し得たTCP CPS が起因のボトルネックを解消することができます。
NGFW が新規 TCP コネクションの確立を処理できなくなるまで、HTTP リクエスト数を増やしながら試行を続けます。
HTTP キャパシティテスト
このテストでは、NGFWにパケットサイズやCPSを変え、HTTP エンジンに負荷を与えた際、ネットワークトラフィックにどのような影響を与えるかを検証します。
ステートフルTCPの確立は、NGFWメモリ内のテーブルを監視することを意味し、ステートレスのトラフィックに比してNGFWの負荷は高くなります。
本検証の目的は、実環境に近いテスト環境を提供することです。
各 HTTP トランザクションでは、クライアントから1 つの HTTP GET リクエストパケットが送信され、サーバーはリクエストパケット受信後、直ちにHTTP レスポンスパケットを送信します。各パケットのペイロードには、様々な負荷を想定したバイナリとASCII 文字組み合わせたデータが包含しています。
本検証は、下表のように、CPSとレスポンスサイズが異なる条件を用いて実施する必要があります。
SSL/TLS パススルー スループットテスト
NGFWの本領を発揮させる為に、SSL/TLS トラフィックをNGFWの前段で復号化することが強く推奨されています。しかしながら、企業や組織ではポリシーの問題から復号化することは通常ありません。したがって、NGFWはコンテンツ検査のために暗号化トンネルを終了させることなく、SSL/TLS トラフィックを通過させなければなりません。
しかし、NGFWベンダーによってはSSL/TLS トラフィックのパススルー性能は大きく異なります。
TCPペイロードにSSL/TLS トラフィックが存在すると、NGFWのリソースが影響を受ける場合が有ります。これはいくつかの NGFWがSSL/TLSトラフィックの処理を非暗号化トラフィックとは異なる手法で実装していることを意味します。
したがって、NGFWの正確な性能を検証するためには、実環境で暗号化された様々なアプリケーショントラフィックを使用することが重要となります。
