30 января 2009 г. 20:30 пользователь Maxim Tyurin написал: > Alexey Shabalin writes: > >> Если не ошибаюсь, наши ядра поддерживают ipsec. Кроме спец. модулей >> для openswan/freeswan. >> Это означает, что при создании тунеля у вас не будет новых сетевых >> интерфейсов и посмотреть есть ли тунель можно только ipsec утилитами. >> С пол года назад занимался тестированием на производительность >> раздичных vpn-тунелей, racoon - последнее место по производительности. >> А вот openvpn оказался даже лучше openswan. Самое досадное, что >> шифрование/дешифрование не распаралеливается по многоядерным >> процессарам - всё упирается в частоту одного ядра :( > > Не верю (С) > > Обнародуйте методику тестирования и результаты. > ИМХО openvpn будет быстрее openswan только при использовании Null > encription в OpenVPN и AES/Twofish в OpenSWAN. > > /me тестировал во времена Master 2.4 > OpenVPN по моим тестам оказался примерно в 10 раз медленее > OpenSWAN+KLIPS при использовании одинаковых алгоритмов. > > Native IPSec был всегда медленнее KLIPS, но не настолько. > Что-то не верится что в последних ядрах так изуродовали стек IPsec.
Извиняюсь, действительно я не доделал тесты с openswan(+KLIPS). На момент проведения тестов openswan/strongswan не было в репозитарии, если сам и собирал, то результаты тестов куда-то задевались. Для определения скорости передачи данных использовалась утилита iperf Инфраструктура SA не разворачивалась, все тесты проводились на pre-shared ключах. Описание стенда: 2 одинаковых blade-сервера IBM HS-21XM с характеристиками: CPU: 2 x 4-ядерных Intel E5345 2.33GHz RAM: 16 Гб NIC: Broadcom NetXtreme II BCM5708 1000Base-SX (B2) PCI-X 64-bit 133MHz ОС: Linux 2.6.18-std-smp-alt12 x86_64 Сервера подключены к одному сетевому коммутатору. "чистый" канал без шифрования - 950 openvpn(BF-CBC-128 + lzo) - 478 openvpn(BF-CBC-128) - 241 openvpn(RC2-40-CBC - MD2 +lzo) - 166 openvpn(RC2-40-CBC - MD2) - 31 openvpn(AES + lzo) - 429 openvpn(AES) - 247 openssh тунель - 234 ipsec-tools(BF+deflate) - 247 ipsec-tools(DES+deflate) - 191 ipsec-tools(3DES+deflate) -100 Скорость шифрования упирается в одно ядро процессора(одно ядро занято на 100%, остальные простаивают). Так же странным оказалась производительность "слабого" алгоритма RC2-40, видимо из-за особенностей реализации. Стояла задача организовать шифрование трафика 1Гб канала. В результате остановились на выделенных железках (дабы не создавать рекламу, производителей можно уточнить в привате). -- Alexey Shabalin _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
