+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

GRE поверх IPSEC, CCR, ОЧЕНЬ МЕДЛЕННО

GRE поверх IPSEC, CCR, ОЧЕНЬ МЕДЛЕННО, RouterOS

roadracer96

Guest

28.04.2014 13:12:00

Простой GRE-туннель поверх IPSEC в транспортном режиме, AES-CBC (пробовал и другие алгоритмы), между CCR 1036 и RB1100AHx2 максимум примерно 50 Мбит совокупной пропускной способности. 25/25 tx/rx, 5/45 tx/rx и так далее. Тот же туннель без политики IPSEC показывает свыше 500 Мбит совокупной пропускной способности. При такой же конфигурации между двумя RB1100AHx2 с включённым шифрованием получается около 500 Мбит совокупной пропускной способности. Очевидно, проблема с CCR. Если просто сделать IPSEC в режиме туннеля через CCR, производительность нормальная, но, к сожалению, мне нужно использовать маршрутизационные протоколы. ROS 6.12, пробовал также 6.11 — результат тот же (в 6.11, кажется, даже медленнее).

i4jordan

Guest

15.05.2014 20:51:00

Сегодня пришли несколько моделей CCR и RB1100AHx2. Планирую использовать их для тестирования разных типов VPN-туннелей и поделюсь замерами скорости. Буду тестировать: IPIP + ipsec (transport), GRE + ipsec (transport), EOIP + ipsec (transport), ipsec tunnel. В основном с шифрованием AES, так как оно должно поддерживаться на аппаратном уровне. Проверю как минимум следующие комбинации: CCR1036 ↔ CCR1036, CCR1009 ↔ CCR1009, CCR1036 ↔ CCR1009, CCR1xxx ↔ RB1100AHx2, CCR1xxx ↔ SonicWall SRA, RB1100AHx2 ↔ SonicWall SRA. Прошу немного подождать, в ближайшие дни буду держать вас в курсе.

roadracer96 Guest	#3 0 15.05.2014 22:43:00 Они уже ответили. Так и есть. TCP-соединение, GRE-туннель, форвардинг и IPsec обрабатываются на одном ядре. Похоже, что одно ядро rb1100ahx2 работает быстрее, чем одно ядро Tilera.

erkel Guest	#4 0 25.08.2014 12:35:00 Напомню, есть ли шанс, что CCR будет работать в такой конфигурации? Или мне придется перейти на RB1100AHx2?

erkel Guest	#5 0 27.08.2014 14:07:00 Я решил просто вытащить оборудование Mikrotik и запустить пару x86-компьютеров с Router OS на них. Проблема решена.

i4jordan

Guest

10.10.2014 11:53:00

Думаю, с работой GRE-туннелей с IPsec на серии CCR большая проблема. Аналогично с IPIP + IPsec. У нас есть RB1100AHx2, соединённый через GRE-туннель с CCR1036. RB1100AHx2 подключён по кабелю со скоростью 120/10 Мбит, а CCR по оптике 500/500 Мбит. Если отключить IPsec на туннеле, получаю ожидаемую максимальную скорость: RB1100 → CCR стабильно около 1,4 МБ/с, CCR → RB1100 стабильно около 12 МБ/с. Если включить IPsec, скорость в сторону RB1100 → CCR остаётся такой же, а вот CCR → RB1100 максимально около 500 КБ/с. Может кто-то помочь или объяснить эти странные проблемы?

wa4zlw

Guest

10.10.2014 16:44:00

Привет! Это не очень хорошо. Мне нужно знать, есть ли какие-то спецификации для разных аппаратных платформ по производительности, особенно по пропускной способности VPN. Мне нужен доступ к этим данным. Тогда мы сможем сравнить спецификации с реальными показателями. Mikrotik должен быть более открытым во всех вопросах, а не заниматься только исправлением багов и добавлять новые функции на всех аппаратных платформах. Спасибо, Леон.

mrz Guest	#8 0 13.10.2014 09:46:00 В моей тестовой установке между двумя CCR, GRE поверх IPSec без проблем передавал 500 Мбит/с с пакетами размером 1450 байт.

ATG

Guest

23.10.2014 10:58:00

Привет, я только что провёл тест EoIP (зашифрованный IPSec 3des), на обоих сайтах стоят CCR-1009-8G-1S-1S+ с версией прошивки 6.20, 3.19. Похоже, что трафик обрабатывает только одно ядро процессора (100% загрузка одного ядра, остальные простаивают), максимальная скорость по туннелю EoIP достигает примерно 43 Мбит/с… Это как-то исправят? Или GRE покажет лучшую производительность (выше скорость)?

roadracer96 Guest	#10 0 28.10.2014 15:02:00 Вполне очевидно, что ваш тестовый пример с идеальными условиями не отражает реальную производительность.

EnigmAX

Guest

#11

03.11.2014 21:44:00

Я попал на эту страницу, потому что у меня точно такая же проблема, как в этой теме. @mrz, не мог бы ты поделиться нужными частями своей конфигурации, чтобы понять, как у тебя настроен туннель? Похоже на серьёзную проблему, и, думаю, стоит в это разобраться...

mrz

Guest

#12

04.11.2014 09:04:00

Проблема возникает только с TCP-трафиком из-за фрагментации, пакетов вне порядка и повторных передач TCP. Бесподключевые протоколы (например, UDP) таких проблем не имеют. В будущем мы улучшим крипто-драйвер для TCP-соединений.

SystemErrorMessage Guest	#13 0 04.11.2014 20:06:00 Проблема с производительностью CCR, которую вы испытываете, связана с тем, что вы используете IPSEC и GRE-туннель, при этом только один туннель к одному другому хосту. По конструкции RouterOS в такой ситуации задействуется не более одного-двух ядер. Производительность можно повысить, создав несколько туннелей к одному и тому же хосту и настроив балансировку нагрузки. Например, если вы попробуете сервер mikrotik btest, вы увидите, что он не использует более одного ядра, но если запустить несколько сессий, можно добиться 100% загрузки ЦПУ при множестве сессий с одного компьютера, используя пакеты размером 64 байта.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры