+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Производительность CCR EOIP через IPSEC

Производительность CCR EOIP через IPSEC, RouterOS

CKJ

Guest

28.05.2015 00:40:00

У меня два устройства 1009-8G-1S-1S+, соединённые через IPSEC (AES-128-CTR) и туннели EOIP. Через туннель удаётся получить только 30–40 Мбит/с. Задержка по туннелю около 7 мс. В одном месте у меня 100 Мбит оптика, в другом — колокационный датацентр с 1 Гбит Ethernet. AES-128-CTR, судя по всему, работает лучше всех. 128-CBC даёт около 10 Мбит/с, как и AES с 256-битным ключом в любом режиме. Blowfish и AES-128-CTR примерно равны — около 35 Мбит/с. Я попробовал столько вариантов, но ни один из ядер Tile не грузится на полную. Читал другие темы по этой проблеме. Кто-нибудь решил её? Может, это баг в софте? Железо вроде в порядке. Есть какие-то новости от Mikrotik? На обоих роутерах стоит версия 6.28. CKJ

ucs75

Guest

23.09.2016 05:37:00

Спасибо за твое сообщение, CKJ. Хотя меня расстраивает, что в этой теме больше нет активности, я всё же хотел поблагодарить тебя. Твой пост заставил меня немного покопаться в различных вариантах AES-128. Раньше я просто выбирал первый (CBC). Производительность CBC была отвратительной. Я просто бился головой об стену, получая всего 2 Мбит через рабочий туннель и максимум 7,5 Мбит на напрямую подключённых роутерах. Как только я переключился на CTR, реальный тест сразу прыгнул до 30 Мбит при одновременной передаче двух файлов. Дальше я ещё не тестировал, но это для меня настоящая выручалочка. Конечно, это всё равно далеко от полной загрузки 100 Мбит линии, но я ещё не пробовал передавать больше двух файлов одновременно. Если ты нашёл какие-то решения для повышения производительности на роутерах серии CCR, пожалуйста, не забудь обновить свою тему.

nathan1

Guest

23.09.2016 17:32:00

Как ты тестируешь пропускную способность? У меня в работе 12 штук 1009-8G-1S-1S+, и я могу выжать следующее:
Задержка (RTT) Пропускная способность (iperf -c -P8)
5 мс 330 Мбит
22 мс 255 Мбит
1 мс 320 Мбит

Обрати внимание, что на бумаге CCR может выдать 1 Гбит+ по IPSec с аппаратным ускорением, но удачи тебе восстановить такой поток по TCP, всё будет идти в полном беспорядке. Некоторые стеки и конфигурации с этим справляются нормально, но это не самый приятный поток. Тестирование этого будет выглядеть отлично с UDP. Mikrotik любит рекламировать это как фишку и делать бенчмарки, но я не вижу, чтобы кто-то реально этим пользовался. Аппаратное ускорение IPSec — по сути бесполезная штука, пока они не научатся сохранять порядок в каждом отдельном потоке.

Кратко: не стоит использовать CBC. Это полный провал:
См. http://forum.mikrotik.com/t/eoip-packet-reordering-with-ipsec-load-balancing-across-cores-per-packet-vs-per-flow/96935/2

У меня потолок около 300 Мбит для одной IPSec-сессии. Пропускная способность всё ещё разочаровывает, учитывая, что физические каналы — больше 1 Гбит, но для моих текущих задач этого хватает.

Моя примерная конфигурация:
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 enc-algorithms=aes-128-ctr

/interface eoip
add allow-fast-path=no ipsec-secret=SECRET !keepalive mtu=1428 name=XXX remote-address=A.B.C.D tunnel-id=16

/ip firewall connection tracking
set enabled=no

ucs75

Guest

24.09.2016 06:14:00

Я заметил, что в вашей конфигурации отключено отслеживание соединений. Вы случайно не обращали внимания на разницу в производительности с включённым и выключенным conn-tracking? Если она существенная, возможно, мне придётся подумать о выделенном маршрутизаторе для eoip-туннелей — потому что я не уверен, что отключение отслеживания соединений будет приемлемо на моём основном шлюзе.

nathan1

Guest

26.09.2016 02:16:00

В моих приблизительных тестах — при включении это действительно работало медленнее. Если помню правильно, примерно на 20 Мбит/с скорость была выше при отключении, но я бы на это не рисковал ставить — тесты проводил не в чисто лабораторных условиях. Я использую выделенные роутеры для своих eoip-туннелей, в основном чтобы можно было настроить систему и не переживать из-за возможного влияния других конфигураций.

ucs75 Guest	#6 0 26.09.2016 02:19:00 Спасибо еще раз. Думаю, я попробую запустить виртуальную машину с RouterOS только для eoip-туннелей, а всю остальную связь и безопасность настрою на основном шлюзе.

nathan1 Guest	#7 0 26.09.2016 18:30:00 Похоже, текст для перевода не прикреплён. Пожалуйста, пришлите сообщение, которое нужно перевести.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры