Nút cổ chai IPsec trong Linux là gì?


19

Tôi đang cố gắng so sánh hiệu suất của một số giao thức bảo mật mạng giữa hai máy chủ được kết nối trong Gigabit Ethernet.

Mục tiêu của tôi ở đây là để xem liệu tôi có thể bão hòa băng thông của mình không, và nếu không, yếu tố giới hạn là gì.

  • với SSL, tôi có thể đạt 981 MBit / s, vì vậy liên kết Ethernet rõ ràng là yếu tố hạn chế;
  • với SSH, tôi chỉ có thể đạt 750 MBit / giây, nhưng một trong những lõi của tôi có mức sử dụng 100%. Vì SSH là một luồng đơn, CPU là yếu tố giới hạn;
  • với IPsec, tôi đọc khoảng 500 MBit / giây nhưng không có lõi nào của tôi ở mức 100% (chúng dưới 50%).

Vì vậy, câu hỏi của tôi là: tại sao IPsec không thể đạt được băng thông cao hơn?

Hai máy chủ đang chạy Debian Wheezy và Strongswan cho IPsec.


3
Bạn sẽ cần đảm bảo rằng CPU của bạn có aeshướng dẫn để giải mã tốt hơn các gói trên cả hai trang web intel.co.jp/content/dam/www/public/us/en/document/white- con / lau / và chắc chắn rằng bạn đang làm cho ipsec song song và sử dụng Chế độ đường hầm + ESP - strongswan.org/docs/Steffen_Klassert_Parallelizing_IPsec.pdf . Đó là cách tốt nhất để đạt được hiệu suất với giao thức này.

Thật không may, tôi có bộ xử lý i3 mà không có hỗ trợ AES-NI và tôi làm việc ở chế độ đường hầm giữa hai máy chủ. Tôi hiểu làm thế nào cả hai lời khuyên của bạn sẽ tăng băng thông trong trường hợp một CPU được sử dụng 100%. Sử dụng AES-NI sẽ cho phép nhiều gói được xử lý hơn và sẽ làm tăng BW. Nhưng ở đây, CPU dường như không phải là yếu tố hạn chế.
user50228

3
Hmm, thật thú vị. Tôi nghi ngờ rằng một cái gì đó trong kernel đang làm mọi thứ chậm lại. Bạn có muốn chia sẻ cấu hình ipsec của bạn? Tôi muốn sử dụng máy ảo và xem kết quả nào tôi sẽ nhận được với các cài đặt khác nhau.
Lmwangi

Câu trả lời:


1

Có rất nhiều yếu tố đi vào điều này. NIC đánh vào nhiều phần của bảng hơn bạn có thể tưởng tượng. Bất kỳ thiết lập nếu hướng dẫn có thể đi qua dây và nhấn một phần của hệ thống trình điều khiển và cổ bạn xuống. Bạn có thể lấy một lõi đơn 1200 mhz và điều chỉnh phần cứng để thổi bay các cánh cửa và lõi tứ 3600 mhz. Đây thực sự là một câu hỏi cụ thể về phần cứng.

Làm thế nào để họ làm điều này? với một cái gì đó như thế này http://www.ixiacom.com/products/ixn2x Đó là thiết bị "Tôi sẽ phá vỡ bạn" $ 165k. tức là 2 hợp đồng lưu lượng truy cập sai vào một ống 1gig. Khi bạn bắt đầu đập hệ thống và phá vỡ đồ đạc, cổ chai của bạn 'sẽ tự tiết lộ'. Kiểm tra kỹ năng GDB của bạn!

Mỗi hệ thống có một phương pháp khác nhau để giải quyết vấn đề. Một số bảng có giới hạn công nghệ có thể giới hạn bạn.

Câu trả lời là mơ hồ vì giải pháp là mơ hồ. Tôi có thể nghĩ ra 20 khả năng khác nhau ngoài đỉnh đầu bao gồm phân trang có thể thay đổi từ phiên bản HĐH sang phiên bản.


0

Tôi tự hỏi liệu đó có phải là do sự chờ đợi hay giấc ngủ nhân tạo đã được đưa vào tiền điện tử. Nó không giống imo lắm, nhưng ...

http://www.tau.ac.il/~tromer/acophone/

Không thể đăng bài này như một bình luận, sẽ phù hợp hơn theo cách đó.


0

Có thể là tại bất kỳ thời điểm cụ thể nào, chỉ có một trong hai lõi được bão hòa, nhưng trung bình có vẻ như cả hai đều ở mức khoảng 50% (vì nhân ngẫu nhiên gán một quy trình IPsec đơn luồng cho cả hai lõi, tuy nhiên theo như tôi đã nhận thấy Linux (không giống như Windows) thường cố gắng giữ một luồng trên cùng một lõi).

Trong một số giai đoạn ngắn, IPSec cũng có thể đợi mạng, kết hợp với tốc độ truyền chậm, sẽ là dấu hiệu của bộ đệm kém.

Đồng thời nén (nếu có) và chi phí giao thức có thể ảnh hưởng đến các bài kiểm tra của bạn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.