+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Производительность Cloud Core IPSEC

Производительность Cloud Core IPSEC, RouterOS

Fabian

Guest

04.03.2015 14:02:00

На этой неделе я получил свой первый маршрутизатор Mikrotik — CCR1009-8G-1S-1S+PC, который хочу использовать вместо Cisco ASA5505. Настроить CCR оказалось довольно просто: vlan’ы, маршрутизация, firewall chain’ы и ipsec — всё работает. Но вот пропускная способность ipsec немного разочаровала. Мой кабельный интернет должен выдавать 200 Мбит/с на загрузку и 40 Мбит/с на отдачу, и маршрутизатор CCR с NAT этим легко управляется. После прочтения http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption я ожидал, что CCR будет обрабатывать ipsec с той же скоростью, что и обычный трафик. С AES256 + SHA1 мне едва удаётся вытягивать 10 Мбит/с, а с 3des — максимум около 30 Мбит/с, и то медленно.

VPN-концентратором служит Cisco ASA5540 с пропускной способностью 1 Гбит/с. Старый ASA5505 мог шифровать ipsec на скорости 100 Мбит/с, и CCR сконфигурирован как полноценная замена ASA5505 — ipsec-настройки совпадают со старыми:

Phase1 AES256 + SHA1 + DH Group 5
Phase2 AES256 + SHA1 (без pfs)

Посмотрев статистику ipsec, кажется, что что-то не так. Но пока я не могу понять, что именно. Стоит ли мне сбросить ожидания или CCR должен спокойно обеспечивать 200/40 Мбит/с ipsec-трафика?

[admin@MikroTik] /ip ipsec statistics> print
in-errors: 0
in-buffer-errors: 0
in-header-errors: 0
in-no-states: 0
in-state-protocol-errors: 9
in-state-mode-errors: 0
in-state-sequence-errors: 43105
in-state-expired: 0
in-state-mismatches: 0
in-state-invalid: 0
in-template-mismatches: 16591
in-no-policies: 0
in-policy-blocked: 0
in-policy-errors: 0
out-errors: 0
out-bundle-errors: 0
out-bundle-check-errors: 0
out-no-states: 866
out-state-protocol-errors: 297
out-state-mode-errors: 0
out-state-sequence-errors: 0
out-state-expired: 297
out-policy-blocked: 0
out-policy-dead: 0
out-policy-errors: 0

[admin@MikroTik] /ip ipsec> peer print
Flags: X - отключён, D - динамический
0 address=[Colo ASA5540] local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret=":)" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes
nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=modp1536 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=1

[admin@MikroTik] /ip ipsec> proposal print
Flags: X - отключён, * - по умолчанию
0 * name="default" auth-algorithms=md5,sha1,sha256,null enc-algorithms=3des,aes-128-cbc,aes-256-cbc,camellia-256,aes-256-ctr lifetime=30m pfs-group=modp1024
1 name="asa5540" auth-algorithms=sha1 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=none

[admin@MikroTik] /ip ipsec> policy print
Flags: T - шаблон, X - отключён, D - динамический, I - неактивный, * - по умолчанию
0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
1 src-address=[public subnet] src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=[CCR Wan address] sa-dst-address=[Colo ASA5540] proposal=asa5540 priority=0

alchemyx

Guest

23.03.2015 14:10:00

Вот мои характеристики, которые отлично работают при трафике около 200 Мбит/с:

[alchemyx@xxx] /ip ipsec> peer print
Flags: X - отключено, D - динамическое
0 address=0.0.0.0/0 local-address=0.0.0.0 passive=no port=500 auth-method=rsa-signature certificate=serwer-obecny remote-certificate=none generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp
send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-256 dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5

[alchemyx@xxx] /ip ipsec> proposal print
Flags: X - отключено, * - по умолчанию
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc lifetime=30m pfs-group=none

[alchemyx@xxx] /ip ipsec> policy print
Flags: T - шаблон, X - отключено, D - динамическое, I - неактивно, * - по умолчанию
0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes

[alchemyx@xxx] /ip ipsec> statistics print
in-errors: 0
in-buffer-errors: 0
in-header-errors: 0
in-no-states: 0
in-state-protocol-errors: 0
in-state-mode-errors: 0
in-state-sequence-errors: 0
in-state-expired: 0
in-state-mismatches: 0
in-state-invalid: 0
in-template-mismatches: 0
in-no-policies: 0
in-policy-blocked: 0
in-policy-errors: 0
out-errors: 0
out-bundle-errors: 0
out-bundle-check-errors: 0
out-no-states: 0
out-state-protocol-errors: 0
out-state-mode-errors: 0
out-state-sequence-errors: 0
out-state-expired: 0
out-policy-blocked: 0
out-policy-dead: 0
out-policy-errors: 0

_saik0

Guest

06.04.2015 21:38:00

Хмм, серьезно подумываю купить ccr1009 взамен своему rb2011 для канала 100/100. Моя конфигурация зависит от l2tp через ipsec, поэтому я много читал про производительность ipsec на ccr1009. Оказалось, что у многих возникают проблемы, и полно обсуждений про ccr и ipsec. Кроме вас двоих, какой реальный throughput у людей в итоге? Может, мне все-таки взять старый RB1100AH?

troffasky

Guest

06.04.2015 22:03:00

Мне интересно, как долго существовала SA в момент, когда вы распечатали эти статистические данные? Даже на, казалось бы, идеально работающем IPsec-туннеле я вижу много значений, отличных от нуля, преимущественно в параметрах -state-. Проверив несколько маршрутизаторов, я не нашёл ни одного с полностью нулевыми значениями. Вы делали захват пакетов, чтобы убедиться, что трафик действительно шифруется?

royalpublishing

Guest

14.07.2015 20:27:00

Ещё один расстроенный/разочарованный клиент. К сожалению, у меня те же самые проблемы с производительностью на CCR1036 и CCR1016, что и у всех остальных. При использовании IPSec не удаётся получить скорость выше 25-30 Мбит/с на туннель. Скорость стабильно около 25 Мбит/с с редкими прыжками до 27-28 Мбит/с, но никогда выше 30 Мбит/с, и загрузка процессора никогда не поднимается выше 1% на любом из моих роутеров. У меня довольно минимальный access list, включён queuing, производится маркировка пакетов, а connection tracking активирован. Как и все остальные здесь, кто жалуется, я отчаянно нуждаюсь в быстром решении этой проблемы, и НЕТ, откат на RB1100AHx2 — это неприемлемый вариант!

mrz

Guest

15.07.2015 07:02:00

Две причины этому: фрагментированные пакеты и пакеты, пришедшие в неправильном порядке. В статистике ipsec видно много ошибок state-sequence-errors, что означает, что пакеты приходят не по порядку и отбрасываются драйвером ipsec. Если это UDP-трафик, убедитесь, что пакеты отправляются такого размера, чтобы не требовалась фрагментация. Если это TCP, уменьшите TCP MSS до тех пор, пока пакет не перестанет фрагментироваться.

XTX Guest	#7 0 15.07.2015 14:59:00 Итак, если у меня настроен роад-ворриор на l2tp/ipsec и я вижу много state-sequence-errors на MT, значит мне нужно уменьшить TCP MSS на клиентских машинах, которые подключаются к MT?

royalpublishing

Guest

15.07.2015 16:21:00

К сожалению, на одном из моих удалённых тестовых узлов, где используются туннели IPSec и IPIP, я уже уменьшил MSS до 1418 и пробовал новую функцию ограничения MSS, но скорости остались такими же, как я упоминал ранее. Есть какие-нибудь другие предложения?

royalpublishing

Guest

16.07.2015 14:09:00

Покопавшись немного и изучив десятки сообщений на этом форуме с фразой «ipsec poor performance», я выяснил, что смена алгоритмов аутентификации и шифрования с sha1 и 3des на sha512 и aes cbc 256 позволила мне увеличить максимальную пропускную способность примерно до 42,5 Мбит/с, что заметно лучше тех 30 Мбит/с, которые были раньше. Было бы просто замечательно, если бы Mikrotik смогли добиться тех самых 3,4 Гбит/с пропускной способности IPSec VPN, которые они рекламировали в других постах на форумах.

mrz Guest	#10 0 17.07.2015 09:29:00 Аппаратное шифрование включается ТОЛЬКО при использовании алгоритмов SHA1 и AES-CBC. sha256, 3des, aes-gcm и другие будут работать в программном режиме.

royalpublishing

Guest

#11

17.07.2015 15:42:00

Есть что-то очень тревожное в том, что когда я включаю «аппаратное шифрование» с использованием указанных выше алгоритмов, скорость становится хуже, чем до этого. В моих тестах, когда я пробовал SHA1 с AES-CBC 128, 192 или 256, максимальная скорость потока в одном направлении была всего 15 Мбит/с. Извините, если покажется, что я захватил эту тему.

mikruser Guest	#12 0 07.06.2016 13:52:00 Может, ты перестанешь врать и согласишься, что две причины таковы: аппаратное обеспечение CCR — это хлам, а ROS-код для CCR — тоже хлам.

nz_monkey Guest	#13 0 07.06.2016 22:35:00 Если бы только это было так просто увидеть в интерфейсе… что-то вроде отображения, какие алгоритмы аппаратно ускорены в System/Routerboard или System/Resources. Даже pfsense умеет так делать!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры