Linux'ta IPsec darboğaz nedir?


19

Gigabit Ethernet'e bağlı iki ana bilgisayar arasındaki birkaç ağ güvenliği protokolünün performansını karşılaştırmaya çalışıyorum.

Buradaki amacım bant genişliğimi doyurabiliyor muyum ve eğer değilse, sınırlayıcı faktör nedir?

  • SSL ile, 981 MBit / s'ye ulaşabilirim, bu yüzden Ethernet bağlantısı açıkça sınırlayıcı faktördür;
  • SSH ile sadece 750 MBit / s'ye ulaşabilirim, ancak çekirdeklerimden biri% 100 kullanımda. SSH tek iş parçacıklı olduğundan, CPU sınırlayıcı faktördür;
  • IPsec ile yaklaşık 500 MBit / s okudum ancak çekirdeklerimin hiçbiri% 100 değerinde değil (% 50'nin altında).

Benim sorum şu: IPsec neden daha yüksek bir bant genişliğine ulaşamıyor?

İki ana bilgisayar IPsec için Debian Wheezy ve Strongswan'ı çalıştırıyor.


3
Sen CPU en sahip olmasını sağlamak gerekir aesher iki site daha iyi decript paketlerinin için talimat intel.co.jp/content/dam/www/public/us/en/documents/white-papers/... ve emin olduklarını olmak ipsec'i paralel yapma ve Tünel Modu + ESP kullanma - strongswan.org/docs/Steffen_Klassert_Parallelizing_IPsec.pdf . Bu protokol ile performans elde etmenin en iyi yolu budur.

Ne yazık ki AES-NI desteği olmayan i3 işlemcilerim var ve iki ana bilgisayar arasında tünel modunda çalışıyorum. Bir CPU'nun% 100 kullanımda olması durumunda, her iki tavsiyenizin de bant genişliğini nasıl artıracağını anlıyorum. AES-NI kullanmak daha fazla paketin işlenmesine izin verir ve BW'yi artırır. Ancak burada CPU sınırlayıcı bir faktör gibi görünmüyor.
user50228

3
Hmm, bu ilginç. Çekirdekteki bir şeyin yavaşladığından şüphelenirim. İpsec yapılandırmanızı paylaşmayı düşünür müsünüz? Bir VM'yi kullanmak ve farklı ayarlarla hangi sonuçları alacağımı görmek istiyorum.
Lmwangi

Yanıtlar:


1

Bunun içine giren pek çok faktör var. NIC, tahtanın hayal edebileceğinizden daha fazla parçasına çarpar. Herhangi bir set talimatlar telin üzerinden gelebilir ve sürücü sisteminin bir kısmına çarpabilir ve şişe boynunuzu aşağı indirir. Tek bir tahta 1200mhz tek çekirdekli alabilir ve kapıları üflemek ve dört çekirdekli 3600mhz donanımını ayarlayabilirsiniz. Bu gerçekten donanıma özgü bir sorudur.

Bunu nasıl yapıyorlar? bunun gibi bir şeyle http://www.ixiacom.com/products/ixn2x Bu 165 bin dolarlık "Seni kıracağım" cihaz. 1 gig boruya 2 gig hatalı trafik. Sistemi dövmeye ve kırmaya başladıktan sonra, şişe boynunuz 'kendini gösterir'. GDB becerilerinizi geliştirin!

Her sistemin sorunu çözmek için farklı bir yöntemi vardır. Bazı kartlar sizi sınırlandırabilecek teknoloji sınırlamalarına sahiptir.

Cevap belirsiz, çünkü çözüm belirsiz. İşletim sistemi sürümünden sürüme farklılık gösterebilen sayfalama da dahil olmak üzere başımın üstünden 20 farklı olasılık düşünebilirim.



0

Herhangi bir belirli zamanda, iki çekirdekten sadece biri doymuş olabilir, ancak ortalama olarak her ikisi de yaklaşık% 50'de gibi görünür (çünkü çekirdek her iki çekirdeğe rastgele bir tek iş parçacıklı IPsec işlemi atar; ancak ben Linux fark etti (Windows aksine) genellikle aynı çekirdek üzerinde bir iş parçacığı tutmaya çalışır).

Bazı kısa dönemlerde IPSec, yavaş aktarım hızı ile birlikte zayıf tamponlama belirtisi olabilecek ağı da bekleyebilir.

Ayrıca sıkıştırma (varsa) ve protokol yükü de testlerinizi etkileyebilir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.