Wydajność

Wydajność była, oczywiście, różna. Co ciekawe, w wielu przypadkach producenci celowo ją zaniżali, ażeby ukierunkować sprzedaż na droższe produkty. Czasami przeciwnie - wyolbrzymiali wydajność, by zwiększyć konkurencyjność produktów. Ale wydajność nie była głównym celem testów. Niemniej jednak wykorzystano okazję do przeprowadzenia szybkich testów porównawczych.

Kryterium oceny reagowania produktów na określony strumień pakietów było trzystopniowe. Wytypowano najlepsze warunki połączenia internetowego, najgorsze i typowe - mieszane. Wyniki zawiera tabela 1. Przy określaniu profilu ruchu mieszanego posłużono się wynikami zebranymi ze szkieletu internetowego: 50 proc. małych pakietów (96 bajtów lub mniej), 10 proc. dużych (1518 bajtów, maksymalna jednostka Ethernetu), 20 proc. 576-bajtowych (przeciętny WAN MTU) i 20 proc. różnych - od 192 do 1024 bajtów.

Przy szybkości transmisji kanału do 10 Mb/s (dupleks, 1/4 przepływności DS-3/T3) każdy testowany produkt dawał zadowalające rezultaty, ale wyniki produktów firm Avaya, Nortel, RapidStream i Microsoft dają świetne współczynniki cena/wydajność.

Kiedy jednak wymaga się wyższych przepływności (pełnego łącza DS-3, czyli 45 Mb/s w trybie dupleks), to jedynie Access Point Lucenta z podwójną akceleracją kryptografii i Win 2000 w połączeniu z kryptograficzną kartą sieciową Pro/100S Intela przekroczyły 90 Mb/s. W ten sposób po dodaniu do systemu sprzętu wartego mniej niż 200 USD udało się podwyższyć szybkość IPSec Win 2000 w najlepszym z przypadków (dla dużych pakietów) do ponad 160 Mb/s. Biorąc pod uwagę niedrogi komputer osobisty z Pentium, oprogramowanie Win 2000 Server i kartę NIC Intela, współczynnik cena/wydajność jest od 10 do 20 razy lepszy niż u innych producentów.

Testy wydajności były prowadzone tylko dla sześciu SA (Security Association). W centralnym systemie z 500 SA całkowita wydajność systemu Win 2000 spadła w mieszanym połączenia internetowym poniżej 8 Mb/s.

Produkt Nokia zapewnia podział obciążenia i testowano go na dwa sposoby: jako pojedynczy, wolno stojący system (pojedynczy CryptoCluster 2500) i jako klaster (trzy klastrowane CryptoCluster 2500). Wzrost wydajności przy zwiększaniu rozmiaru klastra był prawie liniowy.

Rozpiętość linii produktowej

Administratorzy muszą sobie radzić z różnym sprzętem w tej samej sieci korporacyjnej - od modemów do urządzeń 155 Mb/s OC-3. Dlatego produkty VPN pasujące do wszystkich konfiguracji nie będą funkcjonowały w świecie rzeczywistym, a przecież zgodność między systemami wielu producentów jest tak ważna.

Zespół testujący zwrócił uwagę na rozpiętość linii produktowych w ofertach poszczególnych producentów: od urządzeń szyfrujących umieszczanych w centrach danych i dalej w dół - do rynku SOHO z niedrogimi, prostymi urządzeniami. Badano także wsparcie dla innych technologii niż Fast Ethernet.

W tej ocenie zdecydowanym zwycięzcą był IOS Cisco. Z ponad dwunastoma opcjami podłączenia różnych chassis zakres produktów rozpoczynał się od najprostszych urządzeń i kończył na GSR 12000, umieszczanych w szkielecie internetowym. Ich interfejsy mogły stanowić przegląd różnych technologii sieciowych: od wbudowanych modemów po Gigabit Ethernet.

Jednak dobry wynik w tej kategorii nie przełożył się na elastyczność. PIX 525 został oceniony dobrze z uwagi na wsparcia dużej liczby interfejsów, jednak produkt Nokii otrzymał te same noty za szeroki zakres działania: począwszy od odgałęzionego biura aż do centrum danych - chociaż Nokia umieściła jedynie dwa interfejsy w swoim systemie.

Przeprowadzone testy potwierdziły opinię, że na rynku jest miejsce dla wielu producentów. Każdy produkt miał swoje silne i słabsze strony, każdy nadawał się do innego rodzaju sieci, stylu zarządzania, rozmiaru VPN i zbioru wymagań.