Интернет-роутер ZyXEL ZyWALL 70W UTM EE и ZyWALL Turbo Card

Часть вторая: тестирование возможностей VPN-сервера устройства


В предыдущей части обзора (Часть 1: обзор возможностей и конфигурация устройства), мы рассмотрели возможности и конфигурацию устройства, а также провели тестирование производительности устройства при его работе в качестве обычного роутера. В этой части мы рассмотрим возможности и производительность VPN-сервера устройства.

VPN-сервер устройства позволяет устанавливать до 100 (!) одновременных IPSec-соединений с использованием DES, 3DES и AES шифрования. Также возможно использование сертификатов и RADIUS-сервера для аутентификации. В устройстве используется сетевой процессор, поддерживающий аппаратное ускорение алгоритмов DES и AES. Зашифрованный трафик не может быть подвергнут антивирусной проверке или проверке механизмом обнаружения и предотвращения вторжений (IDP). Алгоритм DES считается уже недостаточно криптостойкими, поэтому при тестировании он не использовался. Для тестирования использовались стендовые компьютеры под управлением Gentoo Linux (версия ядра 2.6.11).

При тестировании создавались туннели со следующими параметрами:

  • Обмен ключами: IKE
  • Хеш: MD5

Сокращения:

  • Gentoo — стендовый компьютер
  • ZyWALL — рассматриваемый роутер ZyXEL ZyWALL 70W

 

Производительность IPSec, 1 туннель, 3DES шифрование

Максимальная скорость: 13,02 Мбит/с — судя по всему скорость ограничена производительностью стендовых компьютеров, так как график скорости — практически прямая линия.

 

Производительность IPSec, 2 туннеля, 3DES шифрование

Максимальная скорость: 25,279 Мбит/с — скорость возросла практически ровно в 2 раза по сравнению с предыдущим тестом. Судя по всему, даже 2 стендовых компьютера не могут "выжать" из устройства всей производительности. График производительности как и в прошлом тесте имеет малый разброс.

Производительность IPSec, 3 туннеля, 3DES шифрование

Полудуплексный режим (half-duplex):

Полнодуплексный режим (full-duplex):

Максимальная скорость: 33,414 Мбит/с. График скорости начинает варьироваться в широких пределах — видимо только 3 используемых компьютера могут "разогнать" устройство до отказа.

Поэтапное включение туннелей при использовании 3DES шифрования

Теперь посмотрим на то, как вел себя график скорости во время тестов и при динамическом подключении туннелей. Генерация трафика в туннелях начиналась не одновременно, а с задержкой в 30 секунд. То есть сначала трафик запускался в пером туннеле, 30 секунд спустя — во 2-м, еще 30 секунд спустя — в 3-м.

Условные обозначения:

  • ZyWALL — исследуемое устройство ZyXEL ZyWALL 70W UTM
  • Gentoo — стендовый компьютер под управлением Gentoo Linux 2.6.11

Последовательность запуска трафика:

  • 1-й туннель, передача ZyWALL -> Gentoo
  • 2-й туннель, передача ZyWALL -> Gentoo
  • 3-й туннель, передача ZyWALL -> Gentoo

Видно, что при подключении 2-го туннеля, скорость трафика в каждом туннеле даже не падает — это значит, что производительность упирается только в производительность стендовых компьютеров. При подключении 3-го туннеля, его производительность значительно выше, чем у 2-х остальных — это связано с тем, что 3 компьютер более мощный и может быстрее производить шифрование-дешифровку трафика.

 

Последовательность запуска трафика:

  • 1-й туннель, передача Gentoo -> ZyWALL
  • 2-й туннель, передача Gentoo -> ZyWALL
  • 3-й туннель, передача Gentoo -> ZyWALL

При изменении направления трафика, ситуация принципиально не меняется — наблюдается картина аналогичная той, что была получена на прошлом графике.

 

Последовательность запуска трафика:

  • 1-й туннель, передача fdx Gentoo && ZyWALL
  • 2-й туннель, передача fdx Gentoo && ZyWALL
  • 3-й туннель, передача fdx Gentoo && ZyWALL

На графике та же ситуация, что и на 2-х предыдущих графиках.

Теперь проведем те же тесты, но с использованием шифрования AES.

Производительность IPSec, 1 туннель, AES шифрование

Максимальная скорость: 31,6 Мбит/с — график имеет небольшой разброс.

Производительность IPSec, 2 туннеля, AES шифрование

Максимальная скорость: 25,852 Мбит/с — при подключении еще одного туннеля, производительность снижается, но график ведет себя весьма стабильно.

Производительность IPSec, 3 туннеля, AES шифрование

В полудуплексном режиме (half-duplex):

В полудуплексном режиме (full-duplex):

Максимальная скорость: 33,414 Мбит/с — графики варьируются в широких пределах — видимо процессор используется на все 100%.

Поэтапное включение туннелей при использовании AES шифрования

Посмотрим на то, как вел себя график скорости во время тестов и при динамическом подключении туннелей. Генерация трафика в туннелях начиналась не одновременно, а с задержкой в 30 секунд. То есть сначала трафик запускался в пером туннеле, 30 секунд спустя — во 2-м, еще 30 секунд спустя — в 3-м.

Условные обозначения:

  • ZyWALL — исследуемое устройство ZyXEL ZyWALL 70W UTM
  • Gentoo — стендоый компьютер под управлением Gentoo Linux 2.6.11

Последовательность запуска трафика:

  • 1-й туннель, передача ZyWALL -> Gentoo
  • 2-й туннель, передача ZyWALL -> Gentoo
  • 3-й туннель, передача ZyWALL -> Gentoo

При включении 2-го туннеля, скорость каждого туннеля падает ровно в 2 раза, при этом суммарная скорость не изменяется, а при включении 3-го туннеля — на графике появляются резкие провалы.

 

Последовательность запуска трафика:

  • 1-й туннель, передача Gentoo -> ZyWALL
  • 2-й туннель, передача Gentoo -> ZyWALL
  • 3-й туннель, передача Gentoo -> ZyWALL

Как видно из графика — уже при использовании 2-х туннелей на графике наблюдаются провалы.

 

Последовательность запуска трафика:

  • 1-й туннель, передача fdx Gentoo && ZyWALL
  • 2-й туннель, передача fdx Gentoo && ZyWALL
  • 3-й туннель, передача fdx Gentoo && ZyWALL

Стабильность графика наблюдается только при использовании одного туннеля — возможно это связано с тем, что AES-шифрование сильнее нагружает процессор устройства.

Выводы:

VPN-сервер устройства обладает сравнительно высокой производительностью как при использовании 3DES-шифрования, так и при использовании AES-шифрования, а также может использовать сертификаты и RADIUS-сервер. Судя по документации, VPN-сервер устройства позволяет одновременно устанавливать до 100 IPSec VPN-соединений, но какая будет скорость в каждом туннеле при таком огромном количестве соединений, я ответить затрудняюсь.

Плюсы:

  • Возможно использование локальной БД пользователей в качестве сервера аутентификации
  • Возможность создания точки доступа на базе маршрутизатора
  • Возможность управления через COM-порт
  • Широкие возможности задания правил файрвола, сервиса NAT и параметров логирования событий
  • Сравнительно высокая производительность VPN-сервера (~30-35 Мбит/с)
  • Возможность использования сертификатов
  • Возможность использования сервера аутентификации RADIUS
  • Возможно одновременное использование до 100 VPN-соединений (теоретически)

Минусы:

  • Нет возможности подробно задать параметры беспроводной связи
  • Поддержка всего лишь 11 каналов беспроводной связи, вместо 13 (стандарт для восточноевропейского региона)

 

В следующей части обзора мы рассмотрим возможности управления полосой пропускания, SPAM-фильтрации и антивирусной защиты

 

 

Оборудование предоставлено российским представительством компании ZyXEL

 




Дополнительно

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.