लिनक्स में IPsec अड़चन क्या है?

19

मैं गीगाबिट ईथरनेट में जुड़े दो मेजबानों के बीच कई नेटवर्क सुरक्षा प्रोटोकॉल के प्रदर्शन की तुलना करने की कोशिश कर रहा हूं।

यहां मेरा लक्ष्य यह देखना है कि क्या मैं अपने बैंडविड्थ को संतृप्त कर सकता हूं, और यदि नहीं, तो सीमित कारक क्या है।

  • SSL के साथ, मैं 981 MBit / s तक पहुंच सकता हूं, इसलिए ईथरनेट लिंक स्पष्ट रूप से सीमित कारक है;
  • SSH के साथ, मैं केवल 750 MBit / s तक पहुंच सकता हूं, लेकिन मेरा एक कोर 100% उपयोग में है। जैसा कि एसएसएच एकल-थ्रेडेड है, सीपीयू सीमित कारक है;
  • IPsec के साथ, मैंने लगभग 500 MBit / s पढ़ा लेकिन मेरी कोई भी कोर 100% (वे 50% से कम) नहीं हैं।

तो मेरा सवाल है: IPsec एक उच्च बैंडविड्थ तक क्यों नहीं पहुंच सकता है?

दोनों मेजबानों को IPsec के लिए डेबियन व्हीज़ी और स्ट्रांग्सवन चला रहे हैं।

performance  bandwidth  ipsec 
user50228
स्रोत
3
आप यह सुनिश्चित करें कि अपने CPU के राशि की आवश्यकता होगी aesदोनों साइटों पर बेहतर decript पैकेट के लिए अनुदेश intel.co.jp/content/dam/www/public/us/en/documents/white-papers/... , और यह सुनिश्चित करें कि आप कर रहे हैं हो सकता है ipsec को समानांतर बनाना और टनल मोड + ESP - strongswan.org/docs/Steffen_Klassert_Parallelizing_IPsec.pdf का उपयोग करना । इस प्रोटोकॉल के साथ प्रदर्शन प्राप्त करने का यह सबसे अच्छा तरीका है।
दुर्भाग्य से मेरे पास एईएस-एनआई समर्थन के बिना i3 प्रोसेसर हैं, और मैं दो मेजबानों के बीच सुरंग मोड में काम करता हूं। मैं समझता हूं कि आपकी दोनों सलाह उस स्थिति में बैंडविड्थ को कैसे बढ़ाएंगी जहां एक सीपीयू 100% उपयोग में था। एईएस-एनआई का उपयोग करने से अधिक पैकेट को संसाधित किया जा सकेगा और बीडब्ल्यू बढ़ेगा। लेकिन यहाँ सीपीयू सीमित कारक नहीं लगता है।
user50228
3
हम्म, यह दिलचस्प है। मुझे संदेह है कि कर्नेल में कुछ चीजों को धीमा कर रहा है। क्या आप अपने ipsec कॉन्फ़िगरेशन को साझा करने का मन करेंगे? मैं एक वीएम को साधन देना चाहता हूं और देखना होगा कि विभिन्न सेटिंग्स के साथ मुझे क्या परिणाम मिलेगा।
लमवांगी 10

जवाबों:

1

ऐसे कई कारक हैं जो इस में जाते हैं। एनआईसी बोर्ड के अधिक हिस्सों को हिट करता है जितना आप कल्पना कर सकते हैं। कोई भी सेट अगर निर्देश तार के पार आ सकता है और चालक प्रणाली के एक हिस्से को हिट कर सकता है और आपको नीचे गर्दन कर सकता है। आप सिंगलबोर्ड 1200mhz सिंगल कोर ले सकते हैं और हार्डवेयर को ट्यून करने के लिए और क्वाड कोर 3600mhz को बंद कर सकते हैं। यह वास्तव में एक हार्डवेयर विशिष्ट प्रश्न है।

वे ऐसा कैसे करते हैं? इस तरह से कुछ के साथ http://www.ixiacom.com/products/ixn2x कि $ 165k "मैं तुम्हें तोड़ दूंगा" डिवाइस। 1gig पाइप में 2 gigs गलत यातायात। एक बार जब आप सिस्टम को पीटना शुरू कर देते हैं और सामान तोड़ना शुरू कर देते हैं, तो आपकी बोतल की गर्दन 'स्वयं प्रकट हो जाएगी'। अपने GDB कौशल पर ब्रश करें!

हर सिस्टम में समस्या को हल करने के लिए एक अलग विधि होती है। कुछ बोर्डों में प्रौद्योगिकी सीमाएँ हैं जो आपको टोपी कर सकती हैं।

उत्तर अस्पष्ट है क्योंकि समाधान अस्पष्ट है। मैं अपने सिर के शीर्ष से 20 विभिन्न संभावनाओं के बारे में सोच सकता हूं जिसमें पेजिंग भी शामिल है जो ओएस संस्करण से संस्करण तक भिन्न हो सकते हैं।

चपटी कील
स्रोत
0

मैं सोच रहा था कि क्या यह है क्योंकि कृत्रिम प्रतीक्षा या नींद को क्रिप्टो में डाला गया है। यह बहुत संभावना नहीं है, लेकिन ...

http://www.tau.ac.il/~tromer/acoustic/

यह एक टिप्पणी के रूप में पोस्ट नहीं किया जा सकता है, इस तरह से एक बेहतर फिट होगा।

रेमंड बन्नन
स्रोत
0

यह हो सकता है कि किसी भी विशिष्ट समय में केवल दो में से एक को संतृप्त किया जाता है, लेकिन औसत रूप से ऐसा लगता है कि वे दोनों लगभग 50% हैं (क्योंकि कर्नेल बेतरतीब ढंग से दोनों कोर को एक एकल-थ्रेडेड IPsec प्रक्रिया प्रदान करता है; हालाँकि जहाँ तक मैं कर रहा हूँ; ध्यान दिया लिनक्स (विंडोज के विपरीत) आमतौर पर एक ही कोर पर एक धागा रखने की कोशिश करता है)।

कुछ छोटी अवधि में IPSec नेटवर्क के लिए भी प्रतीक्षा कर सकता है, जो धीमी अंतरण दर के साथ संयोजन में, खराब बफरिंग का संकेत होगा।

इसके अलावा संपीड़न (यदि कोई हो) और प्रोटोकॉल ओवरहेड आपके परीक्षणों को प्रभावित कर सकता है।

mik
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.