我有一个使用两台 SonicWall(一台 TZ170 和一台 Pro1260)设置的站点到站点 VPN。有人建议我关闭加密(这样 VPN 就只能进行隧道传输)可以提高性能。(我不担心安全性,因为 VPN 是在一条受信任的线路上运行的。)
使用 FTP 和 HTTP 传输,我测量到的基准性能约为 130±10 kB/s。Ipsec(第 2 阶段)加密设置为 3DES,因此我将其设置为“无”。然而,效果却恰恰相反——性能下降到 60±30 kB/s,传输停滞了大约 25 秒,然后才有数据传到线路上。我尝试了 AES-128,吞吐量上升到 160±5 kB/s。我的线路的额定速度为 193 kB/s(它是 T1)。
与我的想法相反,更强大的 Ipsec 加密似乎可以提高吞吐量。有人能解释一下这里可能发生了什么吗?为什么没有加密会导致性能不佳且高度不稳定,并导致传输停滞?为什么 AES-128 可以提高性能?
答案1
AES 比 3DES 更快,这是因为算法设计(轮数等),而不是因为密钥大小/加密强度。我对 SonicWall 产品了解不多,但我认为防火墙产品应该能够以 T1 的线速传输流量,因此可能存在一些问题。
我不确定为什么关闭加密后性能会变得更差,但如果您不需要加密,正如 Antoine Benkemoun 所说,您实际上不需要 IPSec,尤其是 ESP(隧道模式)。
答案2
我不知道您的具体设置,但关闭加密行为导致性能下降的一个常见解释是您不仅使用加密,还使用压缩。关闭加密和压缩会显著降低性能,尤其是当您的数据包开始超过 MTU 并频繁碎片化时。您是否检查过,所以您通常不使用 IPComp?
您还应该检查关闭加密后线路上是否有任何异常。我建议使用嗅探器(如 wireshark)检查是否启用和未启用加密。这应该能让您更好地了解正在发生的事情。
我们在这里谈论的速度非常慢,几乎任何硬件都可以在不出现明显延迟的情况下进行加密,所以我猜加密开销是一个转移注意力的花招。
答案3
我的第一个猜测是,当没有加密时,MTU 不匹配。当没有加密时,您可能必须手动设置接口的 MTU 值以匹配其所在的网络。这种不匹配会导致严重的碎片化,从而导致速度降低。
答案4
我不熟悉 Sonicwall VPN,所以我只是猜测,但在我看来这可能是 QOS 问题。也许未加密的流量属于“所有其他”类别,该类别通常设置较低。