我正在尝试比较千兆以太网中连接的两个主机之间的几种网络安全协议的性能。
我的目标是查看是否可以饱和带宽,如果不能,则限制因素是什么。
- 使用SSL,我可以达到981 MBit / s,因此以太网链路显然是限制因素;
- 使用SSH,我只能达到750 MBit / s,但是我的核心之一是使用率达到100%。由于SSH是单线程的,因此CPU是限制因素。
- 使用IPsec,我的读取速度约为500 MBit / s,但是我的内核都不是100%(低于50%)。
所以我的问题是:为什么IPsec无法达到更高的带宽?
这两个主机正在运行用于IPsec的Debian Wheezy和Strongswan。
aes
在两个站点上更好地对数据包进行解密的指令intel.co.jp/content/dam/www/public/us/en/documents/white-papers/…,并确保您使ipsec并行并使用隧道模式+ ESP-strongswan.org/docs/Steffen_Klassert_Parallelizing_IPsec.pdf。这是使用该协议获得性能的最佳方法。