+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

IPSEC проблема с производительностью

IPSEC проблема с производительностью, RouterOS

WojtusW5

Guest

18.07.2019 08:15:00

Привет, у меня проблема с производительностью IPSEC. У меня есть RB4011 и hAP ac2, которые подключены напрямую через Ethernet-кабель. 4011 служит шлюзом для ac2, с помощью ac2 я провожу тест скорости до сервера и узла локального обмена трафиком. В этом случае скорость достигает почти 1 Гбит/с, и все ядра в ac2 используются на максимум. Однако, когда я шифрую связь 4011 ↔ ac2, скорость падает до всего 200 Мбит/с, хотя на странице продукта указано про 400 Мбит/с. Интересно, что во время тестов с IPSEC процессор в ac2 используется всего на 45% (одно ядро на 100%, два на 40% и последнее на 0%). Оба устройства работают на версии ROS 6.45.1. В приложении отправляю скриншот с параметрами туннеля. Пожалуйста, помогите, заранее спасибо.

mikruser

Guest

27.10.2021 11:23:00

Будьте уверены, что они это делают. Они используют несколько уловок, чтобы ввести в заблуждение: применяют UDP вместо TCP, несмотря на то, что ВСЕ протоколы передачи файлов (FTP, HTTP, SCP, SFTP, SMB) используют TCP. VPN-туннели на роутерах Mikrotik показывают хорошую скорость с UDP, но очень плохую с TCP – вы можете найти много тем на форуме по этим вопросам, например, производительность L2TP/IPSec VPN на 1G каналах, где они используют два потока (вместо одного) для одного туннеля, что удваивает общую скорость в Mbps (один поток ограничен скоростью одного ядра). Для реальных результатов им стоит опубликовать данные о TCP с одним потоком! (и желательно, используя iperf, а не Traffic Generator)

msatter

Guest

27.10.2021 12:30:00

Я использую несколько потоков для достижения максимальных результатов. С появлением Wireguard это больше не нужно, и я получаю отличную производительность сразу из коробки (RB4011). UDP-туннель — лучший способ инкапсуляции трафика, любого трафика. Внутри туннеля TCP может работать как обычно. Неканализируемый зашифрованный трафик имеет свои преимущества, но насколько это на самом деле лучше? У вас есть пакеты, которые могут принимать разные пути к назначению и имеют больший MTU. Разные пути можно сравнить с работой нескольких туннелей. Но это зависит от того, являетесь ли вы сервером или клиентом.

nichky

Guest

28.10.2021 08:54:00

Я использую hEX S для IPSec на обоих сайтах. @WojtusW5 дал мне идею, не уверен, возможно ли это. У hEX S всего 4 ядра процессора. Мне интересно, возможно ли зарезервировать 2 ядра для 19 крипто. Даже если это возможно, стоит ли ожидать каких-либо улучшений?

nichky

Guest

28.10.2021 20:23:00

(147.700.000 Mbits/s / 12.170 пакетов/с) / 8 бит/байт = 1517 байт/пакет, что означает, что фрагментация здесь не является проблемой - если бы это было так, результат составлял бы около 800 байт/пакет. Извини, @sindy, откуда взялись 8 бит/байт?

sindy Guest	#6 0 28.10.2021 22:00:00 Чья-то decisión в конце 1960-х, я думаю, так как количество бит должно было быть «круглой» степенью 2, а 4 уже было слишком мало к тому времени? https://en.wikipedia.org/wiki/8-bit_computing Если вы имеете в виду, что расчет не точный, потому что сверху на фактическом содержимом некоторые дополнительные биты тратятся на преамбулу Ethernet и CRC, вы правы, но это незначительная ошибка. Факт того, что минимальный размер полезной нагрузки Ethernet составляет 60 байт, более важен, я думаю, но это был грубый расчет.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры