Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования.
Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA.
Схема такая:
(FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client)
Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола.
__________________________
UPD 31.03 10:15
Как выяснилось позже, ограничение по скорости было связано не с протоколом FTP, а включенным анализом IPS сигнатурами snort. Максимальная достигнутая скорость с включенным IPS (анализировался весь трафик), была около 64 мбит/сек. При этом загрузка процессора достигала 97%, загрузка памяти — 60%
__________________________
Включаем шифрование.
…и получаем крайне любопытные цифры.
Тест 1: Кладем файл на сервер.
Скорость закачки (разными клиентами) примерно 1.6МБайт/сек (12Мбит/сек). Загрузка процессора cisco стабильно 90%.
Загрузка процессора vyatta плавает от 30 до 45%
_____________________________________________
UPD 31.03 10:15
Данная загрузка тоже вызывалась скорее проверкой по IPS. Это вызвало неверную оценку производительности по шифрованию
_____________________________________________
Тест 2: клиент за cisco, сервер за vyatta. Забираем файл с сервера.
Скорость резко возрастает! Списать не на что: 3.4 МБайт/сек! (около 27мбит/сек)
Загрузка процессора cisco плавает ближе к 100%.
Загрузка процессора vyatta плавает примерно в тех же рамках (от 23 до 48%)
_____________________________________________
UPD 31.03 10:15
Данная загрузка тоже вызывалась скорее проверкой по IPS. Это вызвало неверную оценку производительности по шифрованию
_____________________________________________
Выводы пока такие:
vyatta держится достойно
cisco показывает заявленные скорости, но получается, что расшифровывать ей легче? А иначе как объяснить более чем в 2 раза возросшую скорость?
Также бросается в глаза, что загрузка CPU у cisco разная на отдачу и на прием. Похоже, по умолчанию выполняется защита управления (control plane policing) когда cisco сама может регулировать загрузку процессора
К слову, при загрузке процессора cisco близкой к 100% скорость передачи была стабильна, а вот удаленный доступ существенно подтормаживал.
В ближайших планах поставить вместо 1841 железки пошустрее: 2801 и 2811. Поглядим 😉 Продолжение следует.
_______________________________
UPD 31.03 10:15
Была проведена проверка производительности в паре с ASA 5505, которую я поставил вместо 1841
При включенной проверке по IPS на vyatta максимальная скорость передачи и приёма составила те же 64 мбит/сек.
Загрузка процессора АСА составляла 30%
При отключении системы snort скорость передачи и приёма данных существенно возросла. При проверке при помощи iperf на 100 параллельных потоках и небольших пакетах скорость передачи через шифрованный туннель составила 85.3-85.7 Мбит/сек.
Загрузка процессора АСА составила около 50%
Странные цифры показала vyatta: вывод команды top упорно показывал загрузку 5.6-6% системной загрузки. При этом процесса OpenSWAN в списке нет и не понятно, каким образом можно реально оценить загрузку именно шифрованием. Буду благодарен, если кто наставит на пусть истинный и обучит меня считать нагрузку по шифрованию
_______________________________________
Метки: ASA, cisco, IPSec, ISR 1841, vyatta, скорость, сравнение
Опубликовано: Holywar
дык это давно известно, расшифвровывать циске почему-то легче 🙂
Я раньше с такой разительной разницей не встречался…
Наверно поэтому и не обращал внимание.
В-общем, век живи век учись дураком помрёшь 🙂
То, что легче расшифровывается можно объяснить тем, что CBCшный режим шифрования можно распараллелить, когда расшифровываем, но нельзя, когда шифруем
Вот измерение чистой производительности шифрования это и правда интересная задача, решение которой я сам пока не нашел. OpenS/WAN (кстати, уже заменен на StrongS/WAN) это только реализация IKE, а само шифрование данных выполняется модулями ядра — но не профилированием кода этих модулей же заниматся. Разве что по максимуму исключить любую другую нагрузку и смотреть.
Вот-вот: если убрать процессы по максимуму и смотреть…что? Похоже, что в системную загрузку шифрование не попадает, иначе почему 80МБит АЕСа грузит всего на 5-6%… Что-то не верится.
ЗЫ Спасибо за комментарии. Если будет желание/возможность, напишите статейку про версию ОС и тонкости, с которыми вам уже пришлось столкнуться. Я тогда вас в Авторы переведу и будем обмениваться 🙂 А то времени на все катастрофически не хватает 🙁
Anticisco…
[…] something about anticisco[…]…