У меня есть VPN-соединение между сайтами с двумя SonicWall (TZ170 и Pro1260). Мне посоветовали отключить шифрование (чтобы VPN только туннелировал), чтобы повысить производительность. (Меня не волнует безопасность, потому что VPN работает по надежной линии.)
Используя передачи по FTP и HTTP, я измерил свою базовую производительность примерно на 130 ± 10 кБ / с. Для шифрования Ipsec (фаза 2) было установлено значение 3DES, поэтому я установил его на «нет». Однако эффект был противоположным - производительность упала до 60 ± 30 кБ / с, и передача остановилась примерно на 25 секунд, прежде чем какие-либо данные перешли по линии. Я попробовал AES-128, и пропускная способность увеличилась до 160 ± 5 кБ / с. Номинальная скорость моей линии - 193 кБ / с (это Т1).
Вопреки тому, что я думал, более сильное шифрование IPsec, похоже, улучшает пропускную способность. Кто-нибудь может объяснить, что здесь может происходить? Почему отсутствие шифрования приводит к низкой и сильно изменчивой производительности и к остановке передачи? Почему AES-128 улучшает производительность?
AES быстрее, чем 3DES, из-за конструкции алгоритма (количество раундов и т. Д.), А не из-за размера ключа / надежности шифрования. Я мало что знаю о продуктах SonicWall, но я предполагаю, что продукт межсетевого экрана должен иметь возможность передавать трафик на линейной скорости для T1, поэтому там могут быть некоторые проблемы.
Я не уверен, почему вы увидите, что производительность хуже, когда вы отключите шифрование, но если вам не нужно шифрование, как сказал Антуан Бенкемун, вам действительно не нужен IPSec, особенно ESP (туннельный режим).
Я не знаю вашей точной настройки, но одним из распространенных объяснений снижения производительности при отключении шифрования является то, что вы используете не только шифрование, но и сжатие. Отключение шифрования и сжатия значительно снижает производительность, особенно если ваши пакеты начинают превышать MTU и часто фрагментируются. Вы проверяли, что обычно не работаете с IPComp?
Вы также должны проверить, нет ли чего-нибудь странного в строке, когда вы выключаете шифрование. Я рекомендую воткнуть туда сниффер, например wirehark, и посмотреть как с включенным шифрованием, так и без него. Это должно дать вам гораздо лучшее представление о том, что происходит.
Скорости, о которых мы здесь говорим, настолько низки, что практически любое оборудование может выполнять шифрование без заметных задержек, поэтому я полагаю, что накладные расходы на шифрование - отвлекающий маневр.
Мое первое предположение было бы несовпадением MTU, когда нет шифрования. при отсутствии шифрования вам может потребоваться вручную установить значение MTU для интерфейса в соответствии с сетью, в которой он находится. Это несоответствие вызовет значительную фрагментацию, что приведет к снижению скорости.
Шифрование - это утомительный процесс, требующий процессорного времени. Это еще более верно в случае 3DES, который выполняет DES трижды. Отключение его немного повысит производительность за счет удаления всех служебных заголовков и шифрования. Разница должна быть минимальной (я бы сказал, максимум 10%).
Меня удивляет, что в IPSec можно отключить шифрование. В любом случае, я почти уверен, что он не предназначен для такого использования.
Если вы хотите иметь туннель без шифрования, вам следует использовать не IPSec, а PPTP или L2TP.
MTU не должно быть проблемой в этой ситуации, но вы все равно должны посмотреть.
Я не знаком с Sonicwall VPN, поэтому я просто предполагаю, но мне кажется, что это может быть проблема QOS. Возможно, незашифрованный трафик попадает в категорию «все остальные», которая часто имеет низкую настройку.