Spirent über den Aufbau einer realen Testumgebung für High Performance Firewalls
Spirent Communication und Crossbeam (mittlerweile BlueCoat) waren Bestandteil einer größeren Kooperation zur Definition und Dokumentation einer Test-Methodologie, die sehr genau die Performance einer Firewall hinsichtlich der anspruchsvollen Gi (3G) oder SGi (4G-LTE) Schnittstelle des Netzwerkes eines Mobilfunkanbieters messen soll. An dem Aufbau dieser Testumgebungen arbeiteten das EANTC (European Advanced Networking Test Center), Heavy Reading (ein Anbieter von tiefgehenden Analysen für Telekommunikationstrends), Spirent Communication (ein globaler Anbieter von Testsystemen, die das Verhalten von Nutzern simulieren können) und Crossbeam (ein Anbieter von Netzwerksicherheitslösungen, dessen Lösungen sehr stark im Gi/SGi Schnittstellenbereich von Mobilfunkanbietern eingesetzt werden – wurde von BlueCoat 2013 akquiriert) zusammen. Die Testergebnisse mussten zuverlässige Performance-Werte für den realen Einsatz liefern. Entsprechend wurden die folgenden Anforderungen formuliert:
- Simulation des Verhaltens mobiler Abonnementen mit gleichzeitiger Messung aller Metriken
- Messen der Benutzerzufriedenheit der Abonnementen
- Simulation der Skalierbarkeit und Topologie des Netzwerkes eines Mobilfunkanbieters
Traditionelle Testmethoden versagen
Die Leistung von Firewalls wurde traditionell immer folgendermaßen geprüft: Es wurde ein standardisierter HTTP Datenverkehr mit bestimmten Paketgrößen (oder einer Serie verschiedener Paketgrößen) simuliert und dann die Anzahl / Qualität der offenen Verbindungen, die Bandbreite und die Verbindungen pro Sekunden gemessen. Diese Methodologie (basierend auf der über 10 Jahre alten IETF RFC 3511) hat dann im Ergebnis zur Erstellung einer einzigen, großen Bandbreitenmetrik geführt, die durch den Test optimiert werden sollte. Obwohl die Ergebnisse solcher Tests sehr wertvoll für das Generieren von Marketing-Schlagzeilen sind, so dienen sie herzlich wenig für eine wirkliche Prognose oder auch nur groben Schätzung der tatsächlichen Leistung. Entsprechend ist es wenig verwunderlich, dass Implementierungen von Lösungen, die rein auf solchen Testergebnissen beruhen, oftmals nur zu einem Bruchteil der erwarteten Leistung liefern.
Ein neuer Testansatz
Die Ziele der aktuellen Kooperation waren die Entwicklung einer Testumgebung, die wirklich zuverlässig die Leistung einer Netzwerksicherheitslösung hinsichtlich der Gi/SGi Schnittstelle überprüfen und alle Leistungsmetriken gleichzeitig messen kann. Da es sich bei der Gi/SGi Schnittstelle um eine reine IP Schnittstelle handelt (bei der der via UMTS oder LTE generierte IP Datenverkehr das mobile Core-Netzwerk verlässt), so musste vor allem der für ein Netzwerk typische Datenverkehr an dieser Schnittstelle untersucht werden. Der Datenverkehr der mobilen Abonnementen entsteht aus einer Reihe prognostizierbarer Aktivitäten: Sich am Netzwerk anmelden, eine Webseite aufrufen, von einer Webseite zur nächsten Webseite wechseln / innerhalb einer Webseite verschiedene Unterseiten aufrufen, das Empfangen und Versenden von Emails sowie das Herunterladen von Apps und Betriebssystemupdates. Der Test soll das Verhalten von Abonnementen mit genau diesen Aktivitäten simulieren. Hierfür wurde die SimUser Funktionalität von vier Spirent Avalanche 3100B Lösungen zur Simulation des Datenverkehrs, der durch die Gi/SGi Schnittstelle geschickt wird, genutzt. Wie in den echten Netzwerkumgebungen von Mobilfunkanbietern wurden dabei Abonnementen „zum Leben erweckt“ (z.B. durch Anmeldung am Netzwerk) und anschließen wieder „entfernt“ (wenn sie bspw. ihre Aktivitäten beendet hatten).
Entsprechend musste ein Layer 7 (nicht Layer 4) Full-Stack Datenverkehr simuliert werden, bei dem das Verhalten der Abonnementen in sehr realistischer Art und Weise mit der Spirent Avalanche LoadSpec Funktionalität erzeugt wurde. Nur so konnte realistisch das wirkliche Leistungslimit der Lösung ausgetestet werden. Ab diesem Zeitpunkt war die Testumgebung wirklich in der Lage, den Einfluss von Millionen von Abonnementen, die dem tatsächlichen Abonnementen-Wachstum des Mobilfunkanbieters innerhalb der nächsten 5 Jahre entsprochen hatte, abzubilden.
Zudem hat die EANTC zusammen mit Light Reading die Ergebnisse eines Paket-Tests des Gateway-Flagschiffs von Cisco veröffentlicht, der einen Durchsatz von 20GBit/Sec belegt. Nach Ansicht von Gabriel Brown von Heavy Reading ist „der gezeigte Durchsatz (in diesem Test) ein Beleg dafür, was in heutigen Netzwerken von Mobilfunkanbietern typischerweise implementiert werden sollte und den Betreibern genügend Spielraum für eine Skalierung ihrer Internet Dienste in der LTE Ära lässt.“
Messen der Benutzerzufriedenheit
Als Teil der Testumgebung wurden explizit Mindestschwellwerte für die Abonnementen gesetzt und die Benutzerzufriedenheit anhand der Dauer von Webseitenaufrufen, der Arbeit mit Webapplikationen, entdeckten Fehlern, des Zugriffes auf Emails und des Herunterladens von Betriebssystemupdates für jeden (!) Abonnenten im Test gemessen. Webseiten – bestehend aus HTML und nicht für die mobile Nutzung optimierter Grafiken – wurden als End-zu-End gerendert im Netzwerk ohne erneute TCP Übermittlungen und ohne Layer 2-7 Fehler wiedergegeben. Diese Schwellwerte begrenzten den Test. Anschließend wurden simulierte Abonnementen so lange mit einem entsprechenden Bandbreitenverbrauch in die Testumgebung hinzugefügt, bis die getestete Lösung im Test eine der gesetzten Schwellwerte überschritten hatte. Es konnten über 12 Millionen Abonnementen werden des 5minütigen Volllasttests auf einer Crossbeam X80-S simuliert werden und jeder dieser Abonnementen wurde einzeln gemessen. Diese 12 Millionen simulierte Abonnementen verursachten 175 Milliarden Transaktionen mit Seitenaufbauseiten von 10,2 – 121 Millisekunden. Berücksichtig man aktuelle Studien, die die Benutzerunzufriedenheit in direkten Zusammenhang mit schlechten Webseitenaufbauseiten setzen, dann ist das Messen der Benutzerzufriedenheit sehr wichtig.
Definition und Dokumentation einer anwendbaren Methodologie und Topologie
Dieser Test besitzt eine Methodologie und Topologie, die sehr wirklichkeitsgetreu das Netzwerk eines Mobilfunkanbieters wiedergeben kann – einschließlich der Simulation des Verhaltens der Abonnementen und die gleichzeitige Messung aller Metriken. Ein genauer Bericht über die Testtopologie und Methodologie für Mobilfunkbetreiber ist über die Crossbeam (jetzt BlueCoat) Webseite verfügbar und ermöglicht auch einen Transfer auf andere Netzwerkumgebungen und Test-Methodologien. Durch die sehr genaue Dokumentation ist die Relevanz des Tests für die Praxis weit bedeutender als die Veröffentlichung von irgendwelchen Durchsatznummern ohne genaue realitätsnahe Angaben – was für die meisten Firewall-Tests in der Vergangenheit gilt.
Quelle: Spirent Communications Weblog – Autor: Ankur Chadda
Über Spirent Communications
Spirent Communications entwickelt innovative Testlösungen für Entwickler, die in der Telekommunikationsindustrie beschäftigt sind und die Leistung ihrer Entwicklungen und Systeme hinsichtlich aktuellsten, weltweit im Einsatz befindlichen Technologien, Infrastrukturen und Applikationen testen wollen. Das Unternehmen bietet zudem Tools für Service Techniker und Field Test Ingenieure an, mit deren Hilfe sich die generelle Netzwerkqualität verbessern und die Fehlerbehebung in Produktivnetzwerken effizienter und effektiver erledigen lässt. Spirent Communications beschäftigt über 1.400 Mitarbeiter an über 25 Standorten in mehr als 12 Ländern, die mehr als 1.400 weltweite Kunden betreuen. Weitere Informationen zu Spirent Communications finden Sie in englischer Sprache unter www.spirent.com sowie in deutscher Sprache im „Spirent Communications Bereich“ hier auf Info-Point-Security.