Protocolo / código mais rápido e seguro necessário para transferência a longa distância

Navegue suas respostas
5

Encontrei um problema e estou procurando um novo protocolo / cliente / servidor seguro que seja mais rápido em um link de fibra de 1 Gb / s - deixe-me contar a história ...

  • Eu tenho um par de links de 1Gb / s redundantes e de roteamento diverso a uma distância de cerca de 250 milhas (não de fibra escura, mas de um link ponto a ponto dedicado, não de uma malha).
  • No final do 'cliente' eu tenho um HP DL380 G5 (2 x dual-core 2.66Ghz Xeon, 4GB, Windows 2003EE 32-bit), no 'servidor' eu tenho um HP BL460c G6 (2 x quad -core 2.53Ghz Xeons, 48GB, Oracle Linux 5.3 de 64 bits).
  • Eu preciso transferir cerca de 500 x 2GB de arquivos por semana do cliente para as máquinas servidor por semana, mas a transferência PRECISA para ser segura.
  • Usando o iPerf ou o FTP regular, posso obter ~ 80MB / s de transferência de forma bastante consistente, o que é ótimo.
  • Usando o WinSCP ou o Windows SFTP Eu não consigo obter mais que ~ 3-4MB / s, neste ponto a CPU do servidor é > 3% ocupada enquanto o CPU0 do cliente vai para ~ 30% utilizado. Nós tentamos editar vários tamanhos de janelas TCP com pouco sucesso.

  • Ambas as extremidades estão conectadas a Cisco Cat6509 de uso muito baixo com o Sup720.

  • Eu posso substituir a máquina cliente por uma máquina mais nova e / ou movê-la para o Linux - mas isso levará tempo.

É evidente que esses clientes Windows seguros de encadeamento único estão introduzindo muita latência fazendo sua criptografia.

Então, algumas perguntas / pensamentos;

  • Há algum protocolo seguro ou software cliente com desempenho mais alto para o Windows que eu possa experimentar? Sou bem gnóstico de protocolo, desde que funcione entre o Windows e o Linux.
  • Devo estar usando hardware para fazer a criptografia, seja no cliente ou nas partes da rede? Se sim, o que você recomendaria?
  • Não estou convencido de que apenas trocar o servidor seria muito mais rápido, a CPU estava apenas em 30%, mas novamente é maior do que eu esperava devido à carga - movendo-se para O Linux no final do cliente pode ser uma ideia melhor, mas seria bastante perturbador.
  • Estou perdendo um truque?

Obrigado antecipadamente.

    
por Chopper3 24.05.2010 / 12:50

2 respostas

4

Eu nunca usei isso, mas este módulo que funciona com o Catalyst 6500s afirma que pode fazer IPSEC de 2,5 Gb / s no fio. Pelo menos com roteadores Cisco, você também pode limitar o que o IPSec é aplicado em um par IP / porta, mas parece que seria bom criptografar tudo de qualquer maneira "

VPN resiliency and high availability: Using innovative features, such as stateful failover for both IPSec and GRE, HSRP + RRI, DPD, and support of dynamic routing updates over site-to-site tunnels, the Cisco IPSec VPN SPA provides superior VPN resiliency and high availability.

High-speed VPN performance provides up to 2.5 Gbps of AES and 3DES IPSec throughput with large packets and 1.6 Gbps with Internet mix (IMIX) traffic.

Esta não é, obviamente, a opção mais barata (talvez go opensource), mas com links duplos de 1Gb, parece que vocês têm um pouco de dinheiro.

(Eu sinto que trabalho para o marketing da Cisco de repente.)

Você também precisa instalar o Windows IPSec interno para conversar com o IPSec no Linux (algo como OpenSwan). Eu ficaria surpreso se isso "apenas funcionasse".

    
por 24.05.2010 / 13:39
7

Comprima e criptografe os arquivos no lugar, depois transfira as cópias criptografadas usando seu conhecido "iPerf ou FTP regular" de alta velocidade. Se necessário, adicione um pequeno arquivo adicional com a chave de criptografia ou chaves necessárias. Esse arquivo-chave pode ser transferido com scp ou sftp porque ele será tão pequeno que o desempenho não será importante.

Outra alternativa: Você já tentou ftps vice sftp e scp? Não sei se há uma diferença de velocidade geral (no geral, deve ser pequena, mas as bibliotecas / clientes / servidores específicos que você usa podem fazer a diferença).

Você fez a coisa certa, verificando o carregamento da CPU e procurando a causa do impacto no desempenho. Pelo que você disse, a criptografia de hardware ou a atualização do servidor não serão uma ajuda, embora se você quiser um tráfego entre seus sites particulares configurando uma VPN através de hardware ou software, isso significa que você pode configurá-lo uma vez e não se preocupe com isso.

    
por 24.05.2010 / 13:14

Tags

Como acessar um arquivo ou pasta simples da pasta webapps do Tomcat Procurando por um bom servidor de email Open Source