我正在尝试比较千兆以太网中连接的两个主机之间的几种网络安全协议的性能。
我的目标是查看是否可以饱和带宽,如果不能,则限制因素是什么。
- 使用SSL,我可以达到981 MBit / s,因此以太网链路显然是限制因素;
- 使用SSH,我只能达到750 MBit / s,但是我的核心之一是使用率达到100%。由于SSH是单线程的,因此CPU是限制因素。
- 使用IPsec,我的读取速度约为500 MBit / s,但是我的内核都不是100%(低于50%)。
所以我的问题是:为什么IPsec无法达到更高的带宽?
这两个主机正在运行用于IPsec的Debian Wheezy和Strongswan。
不幸的是,我有不支持AES-NI的i3处理器,并且我在两台主机之间以隧道模式工作。我了解在一个CPU使用率达到100%的情况下,您的两条建议都会增加带宽。使用AES-NI将允许处理更多的数据包并增加带宽。但是在这里,CPU似乎不是限制因素。
—
2015年
嗯,这很有趣。我怀疑内核中的某些东西正在减慢速度。您介意共享您的ipsec配置吗?我想对虚拟机进行检测,看看用不同的设置会得到什么结果。
—
Lmwangi 2015年
aes在两个站点上更好地对数据包进行解密的指令intel.co.jp/content/dam/www/public/us/en/documents/white-papers/…,并确保您使ipsec并行并使用隧道模式+ ESP-strongswan.org/docs/Steffen_Klassert_Parallelizing_IPsec.pdf。这是使用该协议获得性能的最佳方法。