10.2.12. (参考)ファイアウォールの性能測定結果

  • 弊社で実施したファイアウォール(Brocade 5600 vRouter)の性能測定値については、下記の通りです。
  • 各測定項目単体における最大値を計測した結果であり、各性能項目の全ての最大値が同時に測定されたものではございません。
  • セッション数に関しては、ファイアウォール(Brocade 5600 vRouter)をインストールする仮想サーバーの制約条件がございます。詳しくは インスタンスの制約事項 をご覧ください。
  • 構成はVRRPによる冗長化構成となります。
  • logオプションは利用しておりません。 (参考: Brocade社からのログ取得時の注意事項ドキュメント
  • ACL数の増減は性能に大幅な影響を与えない傾向であることが判明しております。
  • 本検証結果はあくまで参考値であり、性能を保証するものではありませんので、予めご了承ください。
  • CVE-2017-5715およびCVE-2017-5753(Spectre))対応により本メニューの性能に影響がございます。対応状況詳細は、 CPUの脆弱性(CVE-2017-5754(Meltdown)/CVE-2017-5715およびCVE-2017-5753(Spectre))対応についてのお知らせ をご参照ください。

10.2.12.1. 非暗号化通信試験

構成図

test_diagram

測定結果

測定項目 測定条件 測定結果 (参考)CVE-2017-5715およびCVE-2017-5753(Spectre)の脆弱性対応前の測定結果  
    4CPU-16GB-8IF 4CPU-16GB-8IF 2CPU-8GB-4IF
L4 UDPスループット
Protocol : UDP
Data Size : 1,522 bytes
NAT: 有
ACL数:100
2.0 Gbps 4.0 Gbps 4.0 Gbps
L4 UDPレイテンシー
Protocol : UDP
Data Size : 1,522 bytes
NAT: 有
ACL数:100
19.0 ms 6.7 ms 6.7 ms
L4 同時TCPコネクション数
Protocol : HTTP
新規接続数 : 1,500 cps
多重度 : 3多重
Data Size : 64 bytes
NAT: 有
ACL数:100
44,000 コネクション 50,000 コネクション 43,000 コネクション
L4 新規TCPコネクション数
Protocol : HTTP
新規接続数 : 300 cps
多重度 : 10多重
Data Size : 64 bytes
NAT: 有
ACL数:100
1,100 cps 2,900 cps 2,400 cps

10.2.12.2. 暗号化通信試験

  • 試験環境・パラメータは、動作確認済設定例 IPsecサイト間トンネル設定 に準拠しております。
  • 上記構成において、一方の拠点を試験機で構築し、1拠点から64拠点まで変更した試験を実施しております。
  • 測定結果より、CPU数が多い上位プランほど、より高いIPsecスループットを発揮することがわかります。

測定結果

測定項目 測定条件 測定結果 (参考)CVE-2017-5715およびCVE-2017-5753(Spectre)の脆弱性対応前の測定結果  
    4CPU-16GB-8IF 4CPU-16GB-8IF 2CPU-8GB-4IF
IPsecスループット
1拠点 (*1)
Protocol:IKEv1/ESP
NAT: 有
ACL数:100
0.4 Gbps 0.4 Gbps 0.4 Gbps
 
16拠点
Protocol:IKEv1/ESP
NAT: 有
ACL数:100
0.6 Gbps 1.0 Gbps 0.8 Gbps
 
32拠点
Protocol:IKEv1/ESP
NAT: 有
ACL数:100
0.5 Gbps 1.1 Gbps 0.8 Gbps (ルール数:100)
 
48拠点
Protocol:IKEv1/ESP
NAT: 有
ACL数:100
0.5 Gbps 1.1 Gbps 0.8 Gbps
 
64拠点
Protocol:IKEv1/ESP
NAT: 有
ACL数:100
0.5 Gbps 1.1 Gbps 0.8 Gbps

注釈

  • (*1) 今回用いた試験機では、1拠点あたり最大約0.4 GbpsのIPsecトラフィックが印加可能でした。1拠点での試験結果は本試験機上限に基づいておりますので、参考としてご確認ください。