Article vedette

Résultats des performances SSL : Comparaison de F5 BIG-IP iSeries et Citrix et A10

Nous avons effectué les tests et les résultats sont là : la nouvelle plate-forme de distribution d'applications F5 BIG-IP iSeries exécute un SSL ECC TPS cinq fois plus rapide que les appareils comparables de nos concurrents.

Alors que le monde évolue vers un ensemble plus large de suites de chiffrement, F5 est particulièrement bien placé pour maintenir son leadership SSL/TLS. Les ADC dotés d'accélérateurs matériels SSL d'ancienne génération compensent ces déficiences en traitant les connexions cryptées dans le logiciel. Cela exerce une charge supplémentaire sur le système, ce qui peut ralentir les performances de l'application et limiter la capacité. La nouvelle iSeries de F5 inclut la dernière génération de matériel d'accélération cryptographique pour décharger la cryptographie à courbe elliptique Diffie-Hellman (ECDHE), permettant l'adoption rapide des suites de chiffrement ECC et ECDHE, même dans les environnements TLS à forte charge.

Pour déterminer comment les performances de l'iSeries se comparent à celles des autres appareils du marché, nous avons effectué des tests de performances rigoureux sur la plateforme en utilisant le chiffrement SSL ECDH-ECDSA-AES128-SHA256, aux côtés d'appareils comparables d'A10 Networks et de Citrix.

Dans notre test, le client s'est connecté à un serveur virtuel avec SSL côté client, qui prenait en charge le chiffrement SSL ECDH-ECDSA-AES128-SHA256. Une fois la connexion établie, le client a envoyé une seule demande de fichier ; le serveur a répondu avec le fichier et un 200 OK. La connexion a ensuite été envoyée à quatre voies à proximité du client. La réutilisation a été désactivée dans tous les tests.

Comme vous pouvez le constater à partir des chiffres ci-dessous, les appareils Citrix et A10 Networks que nous avons testés, qui utilisaient tous deux du silicium marchand pour décharger SSL, n’étaient pas en mesure d’égaler les performances fournies par le matériel de déchargement cryptographique iSeries de F5.

Transactions par seconde

 

 

 

 

 Taille du fichier

128B

5 Ko

16 Ko

512 Ko

 F5 BIG-IP i7800

27243

27077

26573

5251

 Citrix NetScaler 14080

5103

5087

5060

2156

 Réseaux A10 4440S

3976

3910

3891

2135
         

Débit en Mbps

        

 Taille du fichier

128B

5 Ko

16 Ko

512 Ko

 F5 BIG-IP i7800

105

1185

3558

22034

 Citrix NetScaler 14080

19

222

677

9047

 Réseaux A10 4440S

15

171

521

8955

Processus et environnement de test

Chacun des produits a été soumis au même processus de test en plusieurs phases que celui utilisé par F5 dans les rapports précédents. Ce processus comprend les phases suivantes :

  1. Tests préliminaires : Créez et validez la configuration de chaque périphérique testé (DUT) afin que tous les DUT gèrent le trafic réseau de la même manière.
  2. Tests exploratoires : Cela détermine les meilleurs paramètres de test pour chaque appareil et révèle ses performances dans chaque type de test. La configuration des DUT est finalisée au cours de cette phase. 

  3. Test final : Chaque type de test est exécuté plusieurs fois. Les tests sont répétés jusqu’à ce qu’il y ait au moins trois bons essais qui ont systématiquement produit les meilleurs résultats. Il peut falloir effectuer de nombreux tests pour atteindre ce niveau de cohérence.
  4. Déterminer les meilleurs résultats : Les trois meilleurs tests pour chaque type de test sont examinés en détail pour identifier celui qui a produit la meilleure performance globale. Les résultats de cette meilleure exécution pour chaque type de test sont ceux qui sont utilisés dans ce rapport. 


Au total, plus de 50 essais ont été réalisés pour produire ces résultats.

Produits testés

Les produits que nous avons testés se situaient dans des gammes de prix similaires et étaient composés de :

  • Citrix 14080 (113 069 $)
  • A10 4440S (94 240 $)
  • F5 BIG-IP i7800 (85 000 $)

Tests de traitement SSL

Le cryptage Secure Sockets Layer (SSL) est utilisé dans le monde entier pour sécuriser les communications entre les utilisateurs et les applications. SSL est un protocole de cryptage standard disponible dans tous les principaux systèmes d'exploitation, navigateurs Web, smartphones, etc. La technologie SSL contribue à sécuriser les achats en ligne, permet un accès à distance sécurisé (VPN SSL) et bien plus encore. SSL est omniprésent dans les solutions de sécurité des réseaux commerciaux et grand public. SSL fournit une sécurité utilisant une combinaison de cryptographie à clé publique pour partager les clés cryptographiques et de cryptage symétrique (généralement RC4, 3DES ou AES) pour crypter réellement le trafic. L'échange de clés et les différents algorithmes de chiffrement nécessitent beaucoup de calculs et nécessitent du matériel spécialisé côté serveur pour atteindre des performances acceptables ou à grande échelle dans presque toutes les utilisations commerciales de SSL.

Les performances des transactions SSL par seconde (TPS) sont principalement une mesure de la capacité d'échange de clés/de négociation d'un appareil. Normalement mesuré avec des tailles de fichiers petites, cela mesure les opérations de négociation qui se produisent au début de chaque nouvelle session SSL. Cette opération nécessite beaucoup de calculs et tous les principaux fournisseurs de déchargement SSL utilisent du matériel spécialisé pour accélérer cette tâche. Pour les réponses de serveur et les tailles de fichiers plus importantes, le coût de calcul de l'opération de négociation est moins pertinent. Étant donné que l’opération n’a lieu qu’une seule fois au début d’une session, la surcharge est bien moindre. Une mesure plus équilibrée pour la comparaison des performances est le débit du trafic crypté, également connu sous le nom de cryptage symétrique ou crypto en masse. Le cryptage en masse est une mesure de la quantité de données qui peuvent être cryptées et transférées en une seconde donnée.

Il existe différentes approches pour gérer le trafic SSL. Certains appareils utiliseront du matériel spécialisé uniquement pour la négociation SSL / l'échange de clés, puis utiliseront le processeur pour le cryptage « en masse » en cours. D’autres appareils ont l’avantage d’utiliser du matériel spécialisé pour les deux fonctions. Le F5 iSeries est spécialement conçu pour gérer de manière optimale la configuration de la connexion SSL et le débit en masse. En utilisant pleinement le matériel de cryptographie avancé, les plates-formes F5 iSeries offrent d'excellentes performances transactionnelles tout en fournissant simultanément de grandes quantités de débit en masse crypté. Cela permet aux clients et aux administrateurs système de préserver les cycles CPU pour des performances ou des fonctionnalités supplémentaires.

Comme d’habitude, des tests ont été effectués sur une gamme de tailles de fichiers (128 B, 5 Ko, 16 Ko et 512 Ko) pour démontrer les performances dans diverses situations.

Les tests ont été exécutés en utilisant des tailles de clé de 384 bits, qui est la taille recommandée par toutes les agences de sécurité réputées, en utilisant les chiffrements ECDH-ECDSA-AES128-SHA256, qui est l'un des algorithmes de chiffrement les plus courants disponibles.

Conclusion

La plate-forme iSeries poursuit le leadership de F5 dans la fourniture de solutions SSL complètes à nos clients, notamment en étant le premier ADC à prendre en charge le déchargement matériel dédié de l'ECDHE. À mesure que de plus en plus d’entreprises adoptent des suites de chiffrement ECC pour une confidentialité de transmission parfaite, le besoin de solutions garantissant les performances des applications continuera de croître. Nos tests de performances montrent que les plates-formes iSeries de F5 maintiennent les niveaux de performances les plus élevés tout en prenant en charge la plus large gamme de suites de chiffrement à l’avenir.