12月10日、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)は東陽テクニカとの共催によりアプライアンスのパフォーマンスを計測する「チェック・ポイント・パフォーマンスツアー」を開催した。
真のパフォーマンスをオーディエンスの目の前で
今回開催された「チェック・ポイント パフォーマンスツアー」は、販売パートナーやエンドユーザーの目の前でチェック・ポイント製品のパフォーマンスベンチマークを行なうというリアルイベント。カタログ値ではなく、嘘や偽りのない実測のパフォーマンスを見てもらうという目的で、数多くの測定器を扱っている東陽テクニカとのタッグで実現した業界でも類を見ないイベントである。香港やシンガポールからエンジニアがやって来て、3日間をかけて準備を行なったとのこと。チェック・ポイントの意気込みが伺える。
ずらりと並んだテスト機材と測定器
具体的には、Power-1やIPアプライアンス、クロスビーム・システムズのIASなど顧客の人気の高いエンタープライズ向け製品を対象としている。内容的にはマルチコア対応やハードウェアのオフロード、ソフトウェアの改善などにより、パフォーマンスを強化した「R71」というソフトウェアを中心に、その実力を見るというもの。パフォーマンス評価および内容説明は、チェック・ポイント香港のセキュリティ・コンサルタントであるルイス・チャン氏が担当した。
前半は、UDPパケットにおけるスループット、パケットレート、遅延などを調べるテストだ。テストは最小64バイト・最大1518バイトのパケットサイズで、1分間行なわれた。Accept Allのフィルタリングルールを採用し、NAT、VPN、ログなどの処理は行なわないという条件になる。テスト対象のデバイスは、最新のIPSO 6.2/R71を搭載した「IP 2455」で、10GbEを搭載するXMCカードとハードウェアアクセラレーションを実現するADPカードを装着して計測する。パフォーマンステストを行なう測定装置としては、東陽テクニカの「Sprint TestCenter」(米スピレント・コミュニケーションズ製)が用いられた。
サーバールームでの測定をセミナールームのPCから見るという構成で行なった
実際のパフォーマンス測定を見てみよう。IP 2455が持つ8つのCPUコアのうち、6つをファイアウォール処理に用いるので、パケット転送で利用するのは2コアだ。Spirent TestCenterを用いて、双方向で1Gbpsのトラフィックを流す限り、CPU使用率は10~15%にとどまっている。さて、ここからトラフィック量を1Gbpsから2Gbps、そして4Gbpsと上げていく。パケットロスが始まるのが、5~6Gbpsの間だ。この時点ではCPU使用率も100%に達しているので、双方向あわせたスループットは10~12Gbpsと判断できる。複数のパケットサイズで測定を行なうIMIXというプロフィールを用いても、6Gbpsというスループットを確保できることがわかった。
UDPパケットを用いたスループットを測った「IP 2455」
上記の試験はXMCカードを装着したテストであったが、IP 2455にADPカードを装着した状態でのUDPスループット測定も行なわれた。ラージパケットでの測定を見ると、本体のCPU負荷はなんと1%におさえられ、ADPカードにオフロードされ、アクセラレーションが効いていることがわかる。「VoIPやVPN、多数のトランザクションをさばく場合には、ADPを用いるのが有効。ADPカードを使わないと、遅延も3~4倍違ってくる」(チャン氏)という。
HTTPの接続数と接続レートを調べる
後半はHTTPのテストだ。HTTPテストは、エンタープライズ向けのUTMである「Power-1 11095」を採用。こちらはOSとして最新のR70.1 HCC(High Connection Capacity)という特別リリースを搭載し、2ポートの10GbEカードを実装する。また測定装置は、最大2500万のユーザーの同時接続をエミューレートできる「Avalanche 3100」を採用した。
こちらはHTTPテストを行なった「Power-1 11095」
まずはHTTPの最大接続レートも測定した。チャン氏は回転寿司で例え、「こちらは30分以内にどれだけお寿司を食べられるかを測るのと同じ」と説明した。最初に64バイトのデータを用いたHTTPの新規同時接続数を調べる。徐々に上げていくと、8万~8万5000になった。「IE7では最大6セッション開けるので、1万2000~4000人に対応できることになる」という結果になった。
次にNAT、ロギング、IPSを設定でオンにした状態の測定も行なった。先ほどは2コアで処理を行なっていたが、最新版ではロギングを3つ目のコアに割り当てることができる。その結果は同時接続数は7万程度で、NAT、ロギング、IPSがないのに比べて、20%程度の劣化にとどまっていることがわかる。実は前バージョンではNAT、ロギング、IPSをかけると一気に80%劣化しており、HCCという新バージョンによりマルチコアに最適化したこと、対応メモリ容量が増えたことで実環境でもパフォーマンスが落ちないことが実証された。
さらに最大の同時接続数のテストも行なった。こちらは回転寿司に例えれば、「ベルトが長ければ長いほど多くの数の寿司が載る。同じくファイアウォールもメモリが多ければ多いほどコネクションをさばける」と説明した。HTTP1.1のトランザクションを用い、TCPの最大接続数を測定する。
チャン氏はグラフを見ながら、性能の限界値を探っていく
Power-1 11095には12GBのメモリを搭載しており、Avalancheでコネクション数を増やしていく。200万コネクションでメモリ使用量が42%になっているが、最終的には410~420万コネクションで、メモリ使用量94%になった。なお、メモリの使用率を80%になった場合に古いコネクションやアイドルのコネクションをキルする機能も用意されているという。
最終セッションでは、シャーシ型のプラットフォームであるクロスビーム・システムズの「IASシリーズ」の製品についてのテストも行なわれた。40Gbpsのインターフェイスを搭載できるハイエンド機で、米国でのパフォーマンス測定をビデオで紹介したのち、高負荷のトラフィックをかけた状態で、電源を抜いたり、モジュールを抜いたりといった信頼性をアピールする試験が行なわれた。
このように実機のパフォーマンスを間近で見られるイベントは少ないが、こうしたリアルな数字はユーザーにとっても導入の参考になるのではないだろうか? 今後もぜひ続けて欲しい。
