С вами снова Кирилл Прямов, менеджер по развитию NGFW в UserGate. В прошлый раз мы рассказали о нашей новой производительной аппаратной платформе UserGate F8010 и провели несколько нагрузочных тестов. Сегодня, как и обещали, продолжаем тему — поговорим о тестировании гибридного устройства UserGate G9300 с аппаратным ускорением на базе FPGA из новой линейки G, которую мы планируем вывести на рынок осенью 2025 года.
Прежде чем мы начнем
Вкратце расскажу о тестовом стенде. Мы используем генератор трафика Keysight BreakingPoint (бывшая Ixia). С этим решением работают ведущие мировые поставщики сетевого оборудования. Он позволяет моделировать реалистичный трафик, включая легитимные и вредоносные запросы, для оценки устойчивости систем к DDoS-атакам, эксплойтам и другим угрозам.
Вот пример одного из профилей трафика EMIX в Keysight BreakingPoint. В таблице виден набор протоколов и веса, позволяющие подстраивать тестовые потоки:
Тесты платформы G9300
UserGate NGFW G9300 — это гибридное устройство для крупных компаний и дата-центров, состоящее из двух объединенных аппаратных платформ — первой российской платформы с аппаратным ускорением UserGate FG и платформы UserGate E3010.
За счет разделения плоскостей управления (control plane) и обработки данных (data plane) управление осуществляется платформой E3010, а за обработку трафика отвечает более мощное устройство FG. Они работают и администрируются как единое целое — такие решения мы выделили в отдельную серию G (так как в основе — платформа FG).
Новая высокопроизводительная платформа UserGate G9300, как и другие гибридные аналоги, соединяет оба уровня через скоростные 10-гигабитные интерфейсы. Для администратора всё выглядит просто: одна система, один веб-интерфейс управления. Подобные гибридные устройства позволят существенно повысить максимальное количество новых соединений в секунду (CPS), по сравнению с одной платформой FG. На данный момент G9300 функционирует на базе ПО UserGate NGFW 7.3. Сейчас в «гибрид» можно объединить две платформы, но в будущем их будет больше.
CPS-тест, HTTP, 1 байт
Этот тест предназначен для оценки предельного количества соединений, устанавливаемых за секунду. Под соединением мы подразумеваем:
TCP-согласование в три этапа (SYN —> SYN-ACK —> ACK);
Обмен HTTP-запросами (GET) и ответами (Response);
Закрытие соединения.
В интерфейсе BreakingPoint мы видим два доступных блейда (отображены в разделе Test Components).
Откроем настройки и скорректируем профиль трафика. Установим значение параметров random response max/min length в 1 байт. Размер полезной нагрузки делаем очень маленьким. Этот подход позволяет сфокусироваться именно на тестировании скорости установления соединений, минимизируя влияние других факторов, — что важно, например, для банковской отрасли с большими объемами «компактных» транзакций.
Во время теста мы применили 10 тыс. односложных правил межсетевого экрана — это максимум, на который была способна платформа на момент тестирования. Сейчас она обрабатывает 30 тыс. правил. И мы планируем довести этот параметр до 85 тыс. правил.
Мы использовали односложные правила, потому что в данной архитектуре многосложные правила в любом случае раскладываются на простые: их количество зависит от числа условий в многосложных (IP, port, src, dest). Каждое задействованное правило было по-своему уникально, и лишь последнее использовало настройку allow all. Мы считаем, что такая структура теста позволяет эффективно оценить производительность NGFW.
Все правила отражены в панели настроек:
Далее, указываем сеть источника. В нашем конкретном случае её адрес 172.80.73.0/24.
И сеть назначения — 172.200.128.0/20.
Можно запускать тест: будем подавать 400 тыс. новых соединений в секунду. Плавный выход на целевую нагрузку произойдет примерно в течение 40 секунд с шагом 5 тыс. соединений.
Спустя минуту видим, что мы достигли стабильной скорости установки подключений (это видно в поле TCP Client Connection Rate).
Количество подключений, которые не удалось установить, отражается в секции Application Transactions (графа Failed). Пока мы их не видим, но в целом генератор трафика должен производить несколько повторных запросов, прежде чем фиксировать отказ.
В ходе тестирования у нас возникла техническая неполадка — произошел перегрев генератора трафика в новосибирском дата-центре. В частности, у нас отключился один вычислительный блейд, но система автоматически перераспределила нагрузку. В результате количество соединений сократилось в два раза и, как показывает график в дашборде UserGate NGFW (изображение ниже), снизилась нагрузка на процессор.
Но на данном конкретном тесте проблемы с генерацией не критичны, поскольку не влияют на количество ошибок. Да и запрос на 400 тыс. подключений в секунду является достаточно специфическим и нужен далеко не каждой компании. В основном такие требования выставляет банковский сектор. Вот так выглядит финальный отчет.
Несмотря на то что один из блейдов-генераторов вышел из строя, результат тестирования системы положительный.
EMIX-тест
Этот тест направлен на определение максимальной пропускной способности оборудования. Поэтому мы используем сразу двенадцать блейдов.
В этом случае также будем использовать 10 тыс. правил и штатный профиль с набором генерируемых протоколов.
Запускаем тест, потребуется пара минут на разгон.
По результатам тестирования зафиксировали несколько ошибок. Причины их появления могут быть разными: или сбои в работе генератора, или проблемы на стороне тестируемого устройства — например, переполнение очередей на интерфейсах.
Тем не менее масштаб ошибок незначителен: всего 38 сбоев на 24 млн подключений, что составляет менее 0,0002% — уровень, сопоставимый со статистической погрешностью. При этом система сохраняет стабильную производительность: загрузка CPU не превышает 50%. О каких-то серьезных проблемах можно говорить, когда доля ошибок приближается к 0,2% (а в некоторых тестах и к 1%).
Наш дашборд пока не умеет отображать FPGA, с этим связаны некоторые сложности. В целом применяемый FPGA может обрабатывать до 80 000 000 операций в секунду, что в перспективе должно обеспечить скорость до 200 Гбит/с в режиме FW L4 на трафике EMIX — особенность FPGA в том, что его можно перепрограммировать, перераспределяя вычислительные ресурсы и оптимизируя работу функциональных блоков.
Получаем следующий отчет:
Видим, что результирующая пропускная способность составила порядка 80 Гбит/с на EMIX с 10 тыс. правил.
HTTP-тест, 524К
Последний тест — HTTP-тест с полезной нагрузкой в 524 Кбайта.
Подстраиваем параметр random response min length, и после запуска теста видим, что нагрузка на CPU оказывается очень небольшой.
А пропускная способность составляет примерно 190 Гбит/с:
Что в планах
В ближайшее время мы планируем выпустить на рынок серию гибридных устройств на базе платформы UserGate FG с аппаратным ускорением. Предварительными результатами тестирования одного из них мы с вами поделились.
Если говорить о показателях производительности UserGate G9300, то к концу 2025 года мы планируем достичь следующих значений:
FW L4 UDP 1518 байт — 300 Гбит/с;
FW L4 EMIX — 200 Гбит/с;
FW L4 + IPS — 40 Гбит/с;
CPS — 400 000.
А вот планируемые показатели производительности G9800 — также к концу 2025 года:
FW L4 UDP 1518 байт — 300 Гбит/с;
FW L4 EMIX — 200 Гбит/с;
FW L4 + IPS — 40 Гбит/с;
CPS — 700 000.
Также в планах перевести платформу UserGate FG и устройства на ее основе с ПО NGFW 7 на ПО UserGate Data Center Firewall (DCFW), что позволит увеличить количество обрабатываемых правил до 130 тыс. После этого мы начнем работы по наращиванию количества одновременно работающих платформ FG в гибридных устройствах.
Кроме этого, мы готовим к выпуску следующее поколение платформ серии E и F: однопроцессорные E1050 и E3050, а также двухпроцессорные F8050 с 256 ядрами. Они полностью спроектированы нашими специалистами и будут производиться в России. Платформы также смогут объединяться с UserGate FG, что позволит создать еще более производительные устройства. Следите за новостями в нашем Telegram-канале.