Я тестирую несколько сценариев StrongSwan (в частности, вот этот) и я обнаружил кое-что интересное, когда запустил iperf3 -c
(клиент) от дорожного воина Кэрол и iperf3 -s
(сервер) от клиента Алисы, я получаю скорость около 87 Мбит. Когда идете в другую сторону, бегая iperf3 -s
(сервер) от дорожного воина Кэрол и iperf3 -c
(клиент) от клиента Алисы, я получаю скорость всего около 64 Мбит.
Почему это? Мой маршрутизатор, действующий как шлюз, похоже, не обращает внимания на загрузку процессора, независимо от того, работаю ли я PSK
или x509 certs
. Это также не имеет большого значения, погода или нет, я использую IKEv1
или IKEv2
. Падение производительности между двумя направлениями всегда составляет около 20 Мбит.
Я подумал, что это может быть мощность процессора, но, как я уже сказал, это, похоже, не играет большой роли. Мои предложения сконфигурированы так:
children {
net {
local_ts = xxx.xxx.xxx.xxx/24
updown = /usr/local/libexec/ipsec/_updown iptables
esp_proposals = aes128-sha256
}
version = 1
proposals = default, aes128-sha256-modp4096
В чем дело? Это просто проблема того, как IPSec и / или StrongSwan обрабатывают зашифрованный трафик?
РЕДАКТИРОВАТЬ: Наша сеть составляет 1 Гбит, поэтому в сети, в которой я работаю, нет узких мест. (К вашему сведению, выполнение этого теста при обходе туннеля дает скорость в среднем 100 Мбит / с) Я не верю, что это оборудование имеет какое-либо аппаратное ускорение, но даже в этом случае процессор не так сильно нагружен. Если бы мне пришлось угадывать сейчас, я бы сказал, что, возможно, выбраны предложения ESP. Придется поэкспериментировать с этим.
РЕДАКТИРОВАТЬ № 2: после экспериментов с Site 2 Site PSK, похоже, что эта проблема специфична для этой конфигурации. В S2S скорости идентичны в обоих направлениях. Полагаю, этого следовало ожидать, поскольку модель S2S в основном симметрична.