Привет. У меня несколько офисов, и я хочу соединить их с помощью IPIP-туннеля с IPsec, поэтому купил несколько MT CCR1036 и CCR1009, так как у них есть аппаратное ускорение IPsec и очень хорошая производительность (согласно ruouterbord.com). Но когда я всё настроил, очень удивился низкой скорости при копировании файлов между двумя офисами (в каждом офисе симметричный канал 500/500 Мбит/с по оптоволокну). Скорость передачи файлов была около 4-10 МБ/с, что примерно соответствует 40-80 Мбит/с.
Потом я создал лабораторную среду с очень простой конфигурацией, без каких-либо правил файрвола. Только IP-адреса, базовая статическая маршрутизация и IPIP-туннель с IPsec-шифрованием по умолчанию. Схема:
Client1 -> CCR1009 <----- IPIP+IPsec ------> CCR1009 <- Client2
Результат был тот же самый (копирование файлов в Windows, FTP, HTTP) — максимум около 40-80 Мбит/с, что странно для такого мощного железа.
Далее я провёл серию тестов с помощью Iperf — надёжной программы для тестирования, которая запускается на клиентских машинах, чтобы не нагружать Mikrotik генерацией трафика. После нескольких тестов выяснилось, что проблема не в ресурсах Mikrotik, а в количестве соединений. Если отправлять данные через IPIP+IPsec туннель одним соединением, то скорость 40-80 Мбит/с. Но если использовать 20 одновременных соединений — скорость поднимается до 800 Мбит/с, что уже хороший результат (передача идёт в одном направлении: client1 -> client2).
Я прикрепляю несколько файлов с диаграммой моей лабораторной сети, конфигурацией и таблицей с результатами тестов. Может, кто-то знает, как решить эту проблему и улучшить скорость передачи на одном соединении?
Я понимаю, что на ruouterbord.com результаты были для UDP-трафика и выглядят очень неплохо, но в реальной жизни большинство пользователей используют TCP, и когда пользователь пытается скопировать файл из одного офиса в другой или скачать файл с корпоративного сайта через IPsec-туннель, а скорость составляет всего 50 Мбит/с — это уже не лучший показатель, особенно учитывая, что я купил почти самое мощное устройство у производителя.
Потом я создал лабораторную среду с очень простой конфигурацией, без каких-либо правил файрвола. Только IP-адреса, базовая статическая маршрутизация и IPIP-туннель с IPsec-шифрованием по умолчанию. Схема:
Client1 -> CCR1009 <----- IPIP+IPsec ------> CCR1009 <- Client2
Результат был тот же самый (копирование файлов в Windows, FTP, HTTP) — максимум около 40-80 Мбит/с, что странно для такого мощного железа.
Далее я провёл серию тестов с помощью Iperf — надёжной программы для тестирования, которая запускается на клиентских машинах, чтобы не нагружать Mikrotik генерацией трафика. После нескольких тестов выяснилось, что проблема не в ресурсах Mikrotik, а в количестве соединений. Если отправлять данные через IPIP+IPsec туннель одним соединением, то скорость 40-80 Мбит/с. Но если использовать 20 одновременных соединений — скорость поднимается до 800 Мбит/с, что уже хороший результат (передача идёт в одном направлении: client1 -> client2).
Я прикрепляю несколько файлов с диаграммой моей лабораторной сети, конфигурацией и таблицей с результатами тестов. Может, кто-то знает, как решить эту проблему и улучшить скорость передачи на одном соединении?
Я понимаю, что на ruouterbord.com результаты были для UDP-трафика и выглядят очень неплохо, но в реальной жизни большинство пользователей используют TCP, и когда пользователь пытается скопировать файл из одного офиса в другой или скачать файл с корпоративного сайта через IPsec-туннель, а скорость составляет всего 50 Мбит/с — это уже не лучший показатель, особенно учитывая, что я купил почти самое мощное устройство у производителя.
