我遇到了一个问题,正在寻找一种比 1Gb/s 光纤链路速度更快的新安全协议/客户端/服务器 - 让我给你讲讲这个故事......
- 我有一对冗余的、不同路由的 1Gb/s 链路,距离大约为 250 英里(不是暗光纤,而是专用的点对点链路,而不是网状链路)。
- 在“客户端”端,我有一台 HP DL380 G5(2 x 双核 2.66Ghz Xeon,4GB,Windows 2003EE 32 位),在“服务器”端,我有一台 HP BL460c G6(2 x 四核 2.53Ghz Xeon,48GB,Oracle Linux 5.3 64 位)。
- 我每周需要从客户端向服务器传输大约 500 x 2GB 的文件 - 但传输需求是安全的。
- 使用 iPerf 或常规 FTP,我可以相当稳定地获得~80MB/s 的传输速度,这很棒。
- 使用 WinSCP 或 Windows SFTP,我似乎无法获得超过 ~3-4MB/s 的速度,此时服务器的 CPU 繁忙度 >3%,而客户端的 CPU0 使用率达到 ~30%。我们尝试编辑各种 TCP 窗口大小,但收效甚微。
两端都连接到使用率相当低的思科 Cat6509 和 Sup720。
我能用较新的机器替换客户端机器和/或将其移至 Linux - 但这需要时间。
显然,这些单线程安全 Windows 客户端在进行加密时引入了太多的延迟。
所以有几个问题/想法;
- 有没有性能更高的 Windows 安全协议或客户端软件可以尝试?只要能在 Windows 和 Linux 之间工作,我对协议就一无所知。
- 我是否应该使用硬件进行加密,无论是在客户端还是在网络部分?如果是,您会推荐什么?
- 我不相信仅仅更换服务器就能那速度快了很多,CPU 只占 30%,但是考虑到负载,这又高于我的预期——在客户端迁移到 Linux 可能是一个更好的主意,但会造成很大的破坏。
- 我是不是漏掉了什么技巧?
提前致谢。
答案1
我从来没有用过这个,但是这个模块适用于 Catalyst 6500s 的路由器声称它可以在线路上实现 2.5 Gb/s IPSEC。至少对于 Cisco 路由器,您还可以限制在 IP/端口对上应用 IPSec 的内容,但似乎无论如何加密所有内容都是不错的选择”
VPN 弹性和高可用性:使用创新功能,例如 IPSec 和 GRE 的状态故障转移、HSRP + RRI、DPD 以及对站点到站点隧道的动态路由更新的支持,Cisco IPSec VPN SPA 提供了卓越的 VPN 弹性和高可用性。
高速 VPN 性能可提供高达 2.5 Gbps 的 AES 和 3DES IPSec 大数据包吞吐量以及 1.6 Gbps 的互联网混合 (IMIX) 流量吞吐量。
这显然不是便宜的选择(也许是开源的),但是有了双 1Gb 链路,听起来你们有点钱。
(我突然感觉自己像是在为思科营销部门工作。)
您还可以尝试使用内置的 Windows IPSec 与 Linux 上的 IPSec 进行通信(类似于 OpenSwan)。但如果这“有效”,我会感到惊讶。
答案2
压缩并加密文件,然后使用您已知的高速“iPerf 或常规 FTP”传输加密副本。如有必要,添加一个带有加密密钥或必要密钥的额外小文件。该密钥文件可以使用 scp 或 sftp 传输,因为它非常小,性能影响不大。
另一种选择:您是否尝试过 ftps 而不是 sftp 和 scp?我不知道是否存在总体速度差异(总体而言,应该很小,但您使用的特定库/客户端/服务器可能会有所不同)。
您检查 CPU 负载并实际查找性能下降的原因是正确的。从您所说的情况来看,硬件加密或服务器升级不会有帮助,尽管如果您愿意全部通过硬件或软件设置 VPN 来保证您站点之间的流量私密,意味着您只需设置一次,而不必担心。