通过 IPSEC 隧道传输数据时带宽较低

通过 IPSEC 隧道传输数据时带宽较低

我们有两台服务器彼此相连。当我们通过“简单”物理接口相互进行 iperfing 时 - 我们获得了约 5GB/S 的带宽。但是当我通过隧道 (strongswan) GRE 接口发送流量时。我仅获得约 400mbits 的流量,并且使用了一些 ksoftirq 进程。有什么补救措施吗?服务器非常强大:Intel Xeon E5-2620 0 @ 2.00GHz。

答案1

根据这篇 libreswan 维基文章加密吞吐量很大程度上受所使用的加密方法和 MTU 设置的影响。文章还指出,网卡的设置也极大地影响了性能。

在该 wiki 文章中,他们发布了在配备类似 CPU(Xeon CPU E5-2630 0 @ 2.30GHz)的服务器上进行的测试结果。其结果是未加密(不使用 IPsec)为 9.41 Gbits/sec,IPsec AES128-SHA1(esp=aes128-sha1)为 935 Mbits/sec,因此如果您还使用 AES-CBC-128+SHA1,您的结果似乎很真实。您还可以看到,更新的 AES-GCM-128(esp=aes_gcm128-null)是一种更高效的加密方法,使用该方法可实现更好的 4.03 Gbits/sec 最大吞吐量。因此,如果可能,请切换到 AES-GCM 并仔细检查 MTU 设置。

相关内容