antiCisco blogs

Опубликовано Fedia 26 Март , 2010

Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования.

Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA.

Схема такая:

(FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client)

Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола.

__________________________
UPD 31.03 10:15
Как выяснилось позже, ограничение по скорости было связано не с протоколом FTP, а включенным анализом IPS сигнатурами snort. Максимальная достигнутая скорость с включенным IPS (анализировался весь трафик), была около 64 мбит/сек. При этом загрузка процессора достигала 97%, загрузка памяти — 60%
__________________________

Включаем шифрование.
…и получаем крайне любопытные цифры.

Тест 1: Кладем файл на сервер.
Скорость закачки (разными клиентами) примерно 1.6МБайт/сек (12Мбит/сек). Загрузка процессора cisco стабильно 90%.

Загрузка процессора vyatta плавает от 30 до 45%
_____________________________________________
UPD 31.03 10:15
Данная загрузка тоже вызывалась скорее проверкой по IPS. Это вызвало неверную оценку производительности по шифрованию
_____________________________________________

Тест 2: клиент за cisco, сервер за vyatta. Забираем файл с сервера.
Скорость резко возрастает! Списать не на что: 3.4 МБайт/сек! (около 27мбит/сек)
Загрузка процессора cisco плавает ближе к 100%.
Загрузка процессора vyatta плавает примерно в тех же рамках (от 23 до 48%)
_____________________________________________
UPD 31.03 10:15
Данная загрузка тоже вызывалась скорее проверкой по IPS. Это вызвало неверную оценку производительности по шифрованию
_____________________________________________

Выводы пока такие:
vyatta держится достойно
cisco показывает заявленные скорости, но получается, что расшифровывать ей легче? А иначе как объяснить более чем в 2 раза возросшую скорость?

Также бросается в глаза, что загрузка CPU у cisco разная на отдачу и на прием. Похоже, по умолчанию выполняется защита управления (control plane policing) когда cisco сама может регулировать загрузку процессора

К слову, при загрузке процессора cisco близкой к 100% скорость передачи была стабильна, а вот удаленный доступ существенно подтормаживал.

В ближайших планах поставить вместо 1841 железки пошустрее: 2801 и 2811. Поглядим 😉 Продолжение следует.

_______________________________
UPD 31.03 10:15
Была проведена проверка производительности в паре с ASA 5505, которую я поставил вместо 1841
При включенной проверке по IPS на vyatta максимальная скорость передачи и приёма составила те же 64 мбит/сек.
Загрузка процессора АСА составляла 30%

При отключении системы snort скорость передачи и приёма данных существенно возросла. При проверке при помощи iperf на 100 параллельных потоках и небольших пакетах скорость передачи через шифрованный туннель составила 85.3-85.7 Мбит/сек.
Загрузка процессора АСА составила около 50%
Странные цифры показала vyatta: вывод команды top упорно показывал загрузку 5.6-6% системной загрузки. При этом процесса OpenSWAN в списке нет и не понятно, каким образом можно реально оценить загрузку именно шифрованием. Буду благодарен, если кто наставит на пусть истинный и обучит меня считать нагрузку по шифрованию
_______________________________________

 

Метки: ASA, cisco, IPSec, ISR 1841, vyatta, скорость, сравнение
Опубликовано: Holywar