Интернет-маршрутизатор Level One FBR-1411TX — возможности VPN-серверов устройства



В этом обзоре мы рассмотрим возможности VPN-серверов рассмотренного нами ранее маршрутизатора Level One FBR-1411TX.

Маршрутизатор Level One FBR-1411TX включает в себя целых 3 VPN-сервера: PPTP, L2TP и IPSec. Рассмотрим их возможности по порядку.

PPTP VPN-сервер

PPTP VPN-сервер позволяет создать до пяти различных учетных записей, однако, сколько соединений он может поддерживать — сказать сложно, так как по одной учетной записи может подключаться одновременно несколько компьютеров. PPTP VPN-сервер поддерживает 4 протокола аутентификации (PAP, CHAP, MS_CHAP и MS_CHAP_v2), а шифрование данных не поддерживает.

Тестирование производительности PPTP VPN-сервера:

PPTP-клиенты, находящиеся в WAN-сегменте роутера, подключались к роутеру, после чего проводились стандартные тесты на скорость. Тестирование проводилось при одном, двух и трех PPTP-клиентах. Результаты тестирования приведены ниже.

Обозначения:

  • LAN -> WAN — трафик идет от компьютера LAN-сегмента к PPTP-клиенту в WAN-сегменте
  • WAN -> LAN — трафик идет от PPTP-клиента в WAN-сегменте к компьютеру в LAN-сегменте
  • fdx — полнодуплексный режим — трафик идет в обоих направлениях

Производительность PPTP-сервера, 1 клиент:

Максимальная скорость: 6,27 Мбит/с — весьма низкая скорость, по сравнению со скоростью без использования VPN, особенно если учесть, что трафик не шифруется.

Производительность PPTP-сервера, 2 клиента:

Максимальная скорость: 6,52 Мбит/с — по сравнению с прошлым тестом (1 клиент) скорость не упала.

Производительность PPTP-сервера, 3 клиента, полудуплексный режим:

Производительность PPTP-сервера, 3 клиента, полнодуплексный режим:

Скорости остались почти на том же уровне, при трех клиентах провалов производительности не наблюдается — возможно, это связано с тем, что не используется шифрование.

L2TP VPN-сервер:

Настройка L2TP VPN-сервера не имеет принципиальных отличий от настройки PPTP VPN-сервера и шифрование тоже не поддерживается. Тестирование производительности проводилось так же, как и при тестировании PPTP VPN-сервера.

Производительность L2TP-сервера, 1 клиент:

Максимальная скорость: 5,45 Мбит/с — весьма низкая скорость, если учесть, что шифрование не поддерживается.

Производительность L2TP-сервера, 2 клиента:

Производительность L2TP-сервера, 3 клиента, полудуплексный режим:

Производительность L2TP-сервера, 3 клиента, полнодуплексный режим:

При возрастании количества L2TP-клиентов, производительность L2TP VPN-сервера не падает — возможно, это связано с тем, что L2TP VPN-сервер не использует шифрование.

IPSec VPN-сервер:

О некоторых особенностях настройки IPSec VPN-сервера, я уже говорил в первой части обзора. Подчеркну еще раз, что при статическом задании ключей можно использовать DES и 3DES шифрование, а при динамическом обмене ключами — интерфейс настройки не позволяет выбрать тип шифрования, впоследствии оказалось, что при динамическом обмене ключами, трафик шифруется по алгоритму AES.

Обозначения:

  • FBR-1411TX — Интернет-маршрутизатор Level One FBR-1411TX
  • gentoo — компьютер с установленным Gentoo Linux 2.6.11
  • fdx — полнодуплексный режим

Начнем с динамического обмена ключами, IKE (Internet Key Exchange).

Производительность IPSec VPN-сервера, 1 туннель, AES-шифрование:

Максимальная скорость: 16,97 Мбит/с — очень неплохая скорость, особенное если сравнивать с работой PPTP и L2TP VPN-серверов, при использовании которых скорость ниже, а шифрование не используется.

Производительность IPSec VPN-сервера, 2 туннеля, AES-шифрование:

Максимальная скорость: 18,585 Мбит/с — при добавлении еще одного туннеля средняя скорость возросла на 1,5–2 Мбит/с. Посмотрим, как поведет себя трафик при добавлении еще одного туннеля.

Производительность IPSec VPN-сервера, 3 туннеля, AES-шифрование:

полудуплексный режим:

полнодуплексный режим:

Максимальная скорость: 18,838 Мбит/с — процессор устройства хорошо справляется с возросшим количеством IPSec VPN-туннелей.

Теперь рассмотрим, как ведет себя скорость при постепенном подключении VPN-туннелей. Трафик в туннелях запускался с интервалом 30 секунд — то есть сначала запускался трафик в первом туннеле, 30 секунд спустя — во втором, еще 30 секунд спустя — в третьем. Тесты проводились для двух полудуплексных режимов (2 теста: сначала трафик гнался в одном направлении, затем в обратном) и для полнодуплексного режима.





При включении трафика в каждом следующем туннеле, скорость практически сразу начинает делиться примерно равномерно между туннелями.

Теперь воспользуемся ручным заданием ключей шифрования. При этом используется 3DES или DES шифрование. DES-шифрование на сегодняшний день уже считается недостаточно криптостойким, поэтому тестирование проводилось только при использовании 3DES-шифрования.

Производительность IPSec VPN-сервера, 1 туннель, 3DES-шифрование:

Максимальная скорость: 11,95 Мбит/с — сравнительно низкая производительность (если сравнивать с аналогичным тестом при использовании AES-шифрования).

Производительность IPSec VPN-сервера, 2 туннеля, 3DES-шифрование:

Максимальная скорость: 20,294 Мбит/с — при добавлении еще одного туннеля максимальная скорость значительно возрастает. 

Производительность IPSec VPN-сервера, 3 туннеля, 3DES-шифрование:

в полудуплексном режиме:

в полнодуплексном режиме:

Максимальная скорость: 20,454 Мбит/с — при добавлении третьего туннеля падения скорости не происходит — IPSec VPN-сервер хорошо справляется с несколькими туннелями, хотя сложно сказать, как он себя поведет, если количество одновременно работающих туннелей будет близко к своему максимальному значению (40 туннелей).

Рассмотрим, как ведет себя график скорости при постепенном подключении VPN-туннелей. Трафик в туннелях запускался с интервалом 30 секунд Тесты проводились для двух полудуплексных режимов (2 теста: сначала трафик гнался в одном направлении, затем в обратном) и для полнодуплексного режима.





В некоторых тестах, после включения очередного потока, трафик распределяется между потоками неравномерно.

Выводы:

Подводя итоги, можно сказать, что было бы неплохо, если бы в документации возможности VPN-серверов и их настройки описывались более подробно — чтобы не приходилось гадать, какое шифрование используется в каждом конкретном случае.

При использовании PPTP и L2TP VPN-серверов шифрование трафика не используется и при этом скорость этого самого трафика значительно ниже, чем при использовании IPSec VPN-сервера, в котором применяется 3DES или AES — шифрование. Причины такого поведения так и остались тайной.

При использовании IPSec VPN-сервера по непонятным причинам скорость возрастает пропорционально количеству используемых туннелей — так в случае использования 3DES шифрования при тестировании с одним туннелем, скорость составила порядка 11-12 Мбит/с, а при использовании двух туннелей — около 20 Мбит/с — то есть почти в 2 раза больше.

Плюсы:

  • Высокая производительность IPSec VPN-сервера
  • Возможность использования ручного задания ключей для IPSec VPN-сервера

Минусы:

  • Отсутствие шифрования при использовании PPTP и L2TP VPN-серверов
  • Низкая производительность PPTP и L2TP VPN-серверов
  • Невозможен выбор алгоритма шифрования и хеширования при использовании механизма динамического обмена ключами IKE (Internet Key Exchange) в настройках IPSec VPN-сервера

 

Навигация:

 

Оборудование предоставлено компанией СВЕГА компьютер

 

 




Дополнительно

iXBT BRAND 2016

"iXBT Brand 2016" - Выбор читателей в номинации "Процессоры (CPU)":
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.