VPNパフォーマンスの向上-強力な暗号化=パフォーマンスの向上?
2つのSonicWall(TZ170とPro1260)でサイト間VPNを設定しています。暗号化をオフにすると(VPNがトンネリングのみになるため)、パフォーマンスが向上することが示唆されました。 (VPNは信頼された回線上で実行されているため、セキュリティについては気にしていません。)
FTPおよびHTTP転送を使用して、ベースラインパフォーマンスを約130±10 kB/sで測定しました。 Ipsec(フェーズ2)暗号化は3DESに設定されていたため、「なし」に設定しました。ただし、逆の効果があり、パフォーマンスは60±30 kB/sに低下し、データが回線に到達する前に転送が約25秒間停止します。 AES-128を試してみたところ、スループットは160±5 kB/sに上がりました。私の回線の定格速度は193 kB/sです(これはT1です)。
私の考えとは逆に、より強力なIpsec暗号化はスループットを向上させるようです。誰かがここで何が起こっているのか説明できますか?暗号化しないとパフォーマンスが低下し、変動が大きくなり、転送が停止するのはなぜですか? AES-128はなぜパフォーマンスを向上させるのですか?
AESは、アルゴリズムの設計(ラウンド数など)のため、3DESよりも高速です。キーサイズ/暗号化の強度のためではありません。 SonicWall製品についてはあまり知りませんが、ファイアウォール製品はT1の回線速度でトラフィックを通過させることができるはずなので、問題が発生する可能性があります。
暗号化をオフにするとパフォーマンスが低下する理由はわかりませんが、暗号化が必要ない場合は、Antoine Benkemoun氏が言ったように、IPSecは特に必要ありません。特にESP(トンネルモード)。
正確な設定はわかりませんが、暗号化動作を無効にしてパフォーマンスを低下させる一般的な理由の1つは、暗号化だけでなく圧縮も使用することです。暗号化と圧縮の両方をオフにすると、特にパケットがMTUを通過して頻繁に断片化されるようになる場合、パフォーマンスが大幅に低下します。通常はIPCompで実行しないように確認しましたか?
また、暗号化をオフにするときは、回線に異常がないかどうかを確認する必要があります。私は、wiresharkなどのスニファをそこに取り付けて、暗号化をオンにした場合とオンにしない場合の両方を確認することをお勧めします。それはあなたに何が起こっているのかはるかに良い考えを与えるはずです。
ここで述べる速度は非常に遅いため、ほとんどすべてのハードウェアが顕著な遅延なしに暗号化を実行できます。そのため、暗号化のオーバーヘッドは非常に深刻です。
暗号化が存在しない場合、私の最初の推測はMTUの不一致です。暗号化がない場合、インターフェースのMTU値を手動で設定して、インターフェースが存在するネットワークと一致させる必要があります。このミスマッチは、低速化につながる大きな断片化を引き起こします。
暗号化は、CPU時間を必要とする退屈なプロセスです。これは、DES= 3回行われる3DESの場合にさらに当てはまります。無効にすると、すべてのオーバーヘッドヘッダーと暗号化が削除され、パフォーマンスが少し向上します。違いはかなり小さいはずです。 (多くても10%です)。
IPSecで暗号化を無効にできることに驚いています。とにかく、私はそれがそのように使用されることを意図されていないことをかなり確信しています。
暗号化なしのトンネルが必要な場合は、IPSecを使用するのではなく、PPTPまたはL2TPを使用してください。
この状況ではMTUは問題になりませんが、とにかく調べる必要があります。
私はSonicwall VPNに慣れていないので、推測しているだけですが、QOSの問題のように思えます。暗号化されていないトラフィックが「その他すべて」のカテゴリに分類されている可能性があります。