В этом обзоре мы рассмотрим возможности VPN-серверов рассмотренного нами ранее маршрутизатора Level One FBR-1411TX.
Маршрутизатор Level One FBR-1411TX включает в себя целых 3 VPN-сервера: PPTP, L2TP и IPSec. Рассмотрим их возможности по порядку.
PPTP VPN-сервер
PPTP VPN-сервер позволяет создать до пяти различных учетных записей, однако, сколько соединений он может поддерживать — сказать сложно, так как по одной учетной записи может подключаться одновременно несколько компьютеров. PPTP VPN-сервер поддерживает 4 протокола аутентификации (PAP, CHAP, MS_CHAP и MS_CHAP_v2), а шифрование данных не поддерживает.
Тестирование производительности PPTP VPN-сервера:
PPTP-клиенты, находящиеся в WAN-сегменте роутера, подключались к роутеру, после чего проводились стандартные тесты на скорость. Тестирование проводилось при одном, двух и трех PPTP-клиентах. Результаты тестирования приведены ниже.
Обозначения:
- LAN -> WAN — трафик идет от компьютера LAN-сегмента к PPTP-клиенту в WAN-сегменте
- WAN -> LAN — трафик идет от PPTP-клиента в WAN-сегменте к компьютеру в LAN-сегменте
- fdx — полнодуплексный режим — трафик идет в обоих направлениях
Производительность PPTP-сервера, 1 клиент:
Максимальная скорость: 6,27 Мбит/с — весьма низкая скорость, по сравнению со скоростью без использования VPN, особенно если учесть, что трафик не шифруется.
Производительность PPTP-сервера, 2 клиента:
Максимальная скорость: 6,52 Мбит/с — по сравнению с прошлым тестом (1 клиент) скорость не упала.
Производительность PPTP-сервера, 3 клиента, полудуплексный режим:
Производительность PPTP-сервера, 3 клиента, полнодуплексный режим:
Скорости остались почти на том же уровне, при трех клиентах провалов производительности не наблюдается — возможно, это связано с тем, что не используется шифрование.
L2TP VPN-сервер:
Настройка L2TP VPN-сервера не имеет принципиальных отличий от настройки PPTP VPN-сервера и шифрование тоже не поддерживается. Тестирование производительности проводилось так же, как и при тестировании PPTP VPN-сервера.
Производительность L2TP-сервера, 1 клиент:
Максимальная скорость: 5,45 Мбит/с — весьма низкая скорость, если учесть, что шифрование не поддерживается.
Производительность L2TP-сервера, 2 клиента:
Производительность L2TP-сервера, 3 клиента, полудуплексный режим:
Производительность L2TP-сервера, 3 клиента, полнодуплексный режим:
При возрастании количества L2TP-клиентов, производительность L2TP VPN-сервера не падает — возможно, это связано с тем, что L2TP VPN-сервер не использует шифрование.
IPSec VPN-сервер:
О некоторых особенностях настройки IPSec VPN-сервера, я уже говорил в первой части обзора. Подчеркну еще раз, что при статическом задании ключей можно использовать DES и 3DES шифрование, а при динамическом обмене ключами — интерфейс настройки не позволяет выбрать тип шифрования, впоследствии оказалось, что при динамическом обмене ключами, трафик шифруется по алгоритму AES.
Обозначения:
- FBR-1411TX — Интернет-маршрутизатор Level One FBR-1411TX
- gentoo — компьютер с установленным Gentoo Linux 2.6.11
- fdx — полнодуплексный режим
Начнем с динамического обмена ключами, IKE (Internet Key Exchange).
Производительность IPSec VPN-сервера, 1 туннель, AES-шифрование:
Максимальная скорость: 16,97 Мбит/с — очень неплохая скорость, особенное если сравнивать с работой PPTP и L2TP VPN-серверов, при использовании которых скорость ниже, а шифрование не используется.
Производительность IPSec VPN-сервера, 2 туннеля, AES-шифрование:
Максимальная скорость: 18,585 Мбит/с — при добавлении еще одного туннеля средняя скорость возросла на 1,5–2 Мбит/с. Посмотрим, как поведет себя трафик при добавлении еще одного туннеля.
Производительность IPSec VPN-сервера, 3 туннеля, AES-шифрование:
полудуплексный режим:
полнодуплексный режим:
Максимальная скорость: 18,838 Мбит/с — процессор устройства хорошо справляется с возросшим количеством IPSec VPN-туннелей.
Теперь рассмотрим, как ведет себя скорость при постепенном подключении VPN-туннелей. Трафик в туннелях запускался с интервалом 30 секунд — то есть сначала запускался трафик в первом туннеле, 30 секунд спустя — во втором, еще 30 секунд спустя — в третьем. Тесты проводились для двух полудуплексных режимов (2 теста: сначала трафик гнался в одном направлении, затем в обратном) и для полнодуплексного режима.
При включении трафика в каждом следующем туннеле, скорость практически сразу начинает делиться примерно равномерно между туннелями.
Теперь воспользуемся ручным заданием ключей шифрования. При этом используется 3DES или DES шифрование. DES-шифрование на сегодняшний день уже считается недостаточно криптостойким, поэтому тестирование проводилось только при использовании 3DES-шифрования.
Производительность IPSec VPN-сервера, 1 туннель, 3DES-шифрование:
Максимальная скорость: 11,95 Мбит/с — сравнительно низкая производительность (если сравнивать с аналогичным тестом при использовании AES-шифрования).
Производительность IPSec VPN-сервера, 2 туннеля, 3DES-шифрование:
Максимальная скорость: 20,294 Мбит/с — при добавлении еще одного туннеля максимальная скорость значительно возрастает.
Производительность IPSec VPN-сервера, 3 туннеля, 3DES-шифрование:
в полудуплексном режиме:
в полнодуплексном режиме:
Максимальная скорость: 20,454 Мбит/с — при добавлении третьего туннеля падения скорости не происходит — IPSec VPN-сервер хорошо справляется с несколькими туннелями, хотя сложно сказать, как он себя поведет, если количество одновременно работающих туннелей будет близко к своему максимальному значению (40 туннелей).
Рассмотрим, как ведет себя график скорости при постепенном подключении VPN-туннелей. Трафик в туннелях запускался с интервалом 30 секунд Тесты проводились для двух полудуплексных режимов (2 теста: сначала трафик гнался в одном направлении, затем в обратном) и для полнодуплексного режима.
В некоторых тестах, после включения очередного потока, трафик распределяется между потоками неравномерно.
Подводя итоги, можно сказать, что было бы неплохо, если бы в документации возможности VPN-серверов и их настройки описывались более подробно — чтобы не приходилось гадать, какое шифрование используется в каждом конкретном случае.
При использовании PPTP и L2TP VPN-серверов шифрование трафика не используется и при этом скорость этого самого трафика значительно ниже, чем при использовании IPSec VPN-сервера, в котором применяется 3DES или AES — шифрование. Причины такого поведения так и остались тайной.
При использовании IPSec VPN-сервера по непонятным причинам скорость возрастает пропорционально количеству используемых туннелей — так в случае использования 3DES шифрования при тестировании с одним туннелем, скорость составила порядка 11-12 Мбит/с, а при использовании двух туннелей — около 20 Мбит/с — то есть почти в 2 раза больше.
Плюсы:
- Высокая производительность IPSec VPN-сервера
- Возможность использования ручного задания ключей для IPSec VPN-сервера
Минусы:
- Отсутствие шифрования при использовании PPTP и L2TP VPN-серверов
- Низкая производительность PPTP и L2TP VPN-серверов
- Невозможен выбор алгоритма шифрования и хеширования при использовании механизма динамического обмена ключами IKE (Internet Key Exchange) в настройках IPSec VPN-сервера
Навигация: