Melhorando o desempenho da VPN - criptografia mais strong = mais desempenho?

Navegue suas respostas
5

Tenho uma VPN de site para site configurada com dois SonicWall (um TZ170 e um Pro1260). Foi-me sugerido que desligar a criptografia (para que a VPN seja apenas o tunelamento) melhoraria o desempenho. (Não estou preocupado com a segurança, porque a VPN está sendo executada em uma linha confiável.)

Usando transferências FTP e HTTP, eu medi meu desempenho de linha de base em cerca de 130 ± 10 kB / s. A criptografia Ipsec (Fase 2) foi definida como 3DES, portanto, configurei para "nenhum". No entanto, o efeito foi o oposto - o desempenho caiu para 60 ± 30 kB / s, e as transferências pararam por cerca de 25 segundos antes que qualquer dado caísse na linha. Eu tentei AES-128 e a taxa de transferência subiu para 160 ± 5 kB / s. A velocidade nominal da minha linha é de 193 kB / s (é um T1).

Ao contrário do que eu pensaria, uma criptografia Ipsec mais strong parece melhorar o rendimento. Alguém pode explicar o que pode estar acontecendo aqui? Por que nenhuma criptografia causaria um desempenho ruim e altamente variável e faria com que as transferências parassem? Por que o AES-128 melhora o desempenho?

    
por Seth 27.04.2010 / 21:05

5 respostas

4

O AES é mais rápido que o 3DES devido ao design do algoritmo (número de ciclos, etc.), não devido ao tamanho da chave / à força da criptografia. Eu não sei muito sobre os produtos da SonicWall, mas eu diria que o produto de firewall deve ser capaz de passar o tráfego na velocidade da linha para um T1, então pode haver alguns problemas lá.

Não sei por que você veria um desempenho pior quando você desativa a criptografia, mas se você não precisa de criptografia, como Antoine Benkemoun disse, você não precisa de IPSec, especialmente ESP (modo de encapsulamento) ).

    
por 27.04.2010 / 21:57
3

Não sei sua configuração exata, mas uma explicação comum para o pior desempenho ao desativar o comportamento de criptografia é que você não usa apenas criptografia, mas também compactação. Desativar a criptografia e a compactação reduz significativamente o desempenho, especialmente se os pacotes começarem a ultrapassar o MTU e ficarem fragmentados com frequência. Você checou para não correr normalmente com IPComp?

Você também deve verificar se há algo estranho na linha quando você desativa a criptografia. Eu recomendo colocar um sniffer como o wireshark lá e dar uma olhada com e sem criptografia ativada. Isso deve lhe dar uma ideia muito melhor do que está acontecendo.

As velocidades sobre as quais estamos falando são tão lentas que quase qualquer hardware pode fazer a criptografia sem atrasos perceptíveis, então eu diria que a sobrecarga de criptografia é um grande problema.

    
por 27.04.2010 / 21:53
1

Meu primeiro palpite seria incompatibilidade de MTU, quando nenhuma criptografia estiver presente. quando não há criptografia, você pode ter que definir manualmente o valor da MTU para a interface para que ela corresponda à rede. Essa incompatibilidade causaria uma fragmentação significativa que se traduziria em velocidades mais baixas.

    
por 27.04.2010 / 21:49
0

A criptografia é um processo tedioso que requer tempo de CPU. Isto é ainda mais verdadeiro no caso do 3DES, que é o DES feito três vezes. Desabilitar isso lhe dará um pequeno aumento no desempenho, excluindo todos os cabeçalhos e criptografia. A diferença deve ser mínima (10%, no máximo, eu diria).

Me surpreende que você possa desabilitar a criptografia no IPSec. De qualquer forma, tenho certeza que não é para ser usado assim.

Se você quiser ter um túnel sem criptografia, você não deve usar o IPSec, mas o PPTP ou o L2TP.

O MTU não deve ser um problema nesta situação, mas você deve dar uma olhada de qualquer maneira.

    
por 27.04.2010 / 21:51
0

Eu não estou familiarizado com o Sonicwall VPN, então estou apenas adivinhando, mas parece-me que pode ser uma coisa QOS. Apenas talvez o tráfego não criptografado esteja na categoria "todos os outros", que geralmente tem uma configuração baixa.

    
por 28.04.2010 / 00:01

Tags

Existe uma maneira simples de exportar / importar configurações de firewall? Executa um conjunto de processos no shell