В предыдущих статьях уже рассматривался многофункциональный беспроводной роутер, мультимедиа и VPN сервер OvisLink WMU-9000VPN. Здесь же мы проведем тестирование производительности VPN-соединения на базе этого роутера, а также посмотрим как настраивается и работает служба QoS.
Тестирование производительности IPSEC соединения:
Производительность IPSEC туннеля определялась следующим образом:
- С одной стороны ставилось тестируемое устройство, в LAN-сегменте которого находился компьютер с установленным endpoint-сенсором
- С другой — стендовый компьютер, являющийся шлюзом для сети, скрытой за ним, в которой находился второй компьютер с endpoint-сенсором
- Между устройством и шлюзом устанавливался туннель типа сеть-сеть
- После этого осуществлялись стандартные для проводного сегмента тесты на генерацию трафика
Общая картина подключений развернута на следующем рисунке:
При тестировании менялся только алгоритм шифрования, а другие параметры туннеля оставались неизменными:
- Тип туннеля : IPSEC
- Хеш-алгоритм: SHA1
- Обмен ключами: IKE
Устройство поддерживает 2 алгоритма шифрования: 3DES, AES128. Для удобства при тестировании в качестве второго роутера был использован стендовый компьютер под управлением Gentoo Linux 2.6.11, так как ОС Windows XP не поддерживает AES128 шифрования.
Сокращения:
- Gentoo — стендовый компьютер под управлением Gentoo Linux 2.6.11
- WMU — VPN роутер
Производительность IPSEC туннеля, 3DES шифрование:
Максимальная скорость: 2.23 Мбит/с — очень низкий показатель для 3des шифрования, а если еще одновременно использовать все 100 туннелей, которые позволяют создать роутер — результат, думаю, сильно разочарует. В полнодуплексном режиме график распределения скоростей выглядит так:
Производительность IPSEC туннеля, AES128 шифрование:
Максимальная скорость: 4.68 Мбит/с. В полнодуплексном режиме график распределения скоростей выглядит так:
Масштабируемость:
Теперь определим производительность IPSEC при добавлении еще одного туннеля. Все остальные параметры соединения — как и в предыдущем тесте.
Производительность IPSEC, 2 туннеля, 3DES шифрование:
Максимальная скорость: 2,27 Мбит/с — принципиальных отличий от показателей тестов с одним туннелем нет. Средние скорости передачи примерно одинаковы, но на графике присутствуют небольшие провалы:
Производительность IPSEC, 2 туннеля, AES128 шифрование:
Максимальная скорость: 4,78 Мбит/с. В полнодуплексном режиме график распределения скоростей выглядит так:
Алгоритм шифрования AES128 является более ресурсоемким, чем 3DES, но все тесты, приведенные выше, показали более высокую скорость передачи при использовании именно AES128 шифрования. Возможно, устройство имеет аппаратную поддержку AES128 шифрования. Тем не менее, судя по тестам, можно говорить, что скорость IPSEC VPN-соединений очень низкая.
При добавлении второго туннеля суммарная скорость остается на прежнем уровне как при 3DES так и при AES128 шифровании.
Тестирование производительности PPTP соединения:
Производительность PPTP соединения определялась следующим образом: PPTP-клиент в WAN-сегменте подключался к PPTP-серверу, коим служил наш роутер, далее производились стандартные тесты на скорость. Напомню, что рассматриваемый роутер не поддерживает шифрование PPTP-соединений.
Обозначения:
- Client — компьютер в WAN-сегменте, являющийся клиентом и подключающийся к роутеру.
- WMU — рассматриваемый роутер OvisLink WMU-9000VPN
- fdx — передача данных в обе стороны одновременно
Производительность PPTP, 1 клиент:
Максимальная скорость: 3.39 Мбит/с — очень низкий показатель, особенно если учесть, что шифрование не используется.
Масштабируемость:
Обозначения:
- Client1 и Client2 — компьютеры в WAN-сегменте, являющиеся клиентами и подключающиеся к роутеру.
- WMU — рассматриваемый роутер OvisLink WMU-9000VPN
- fdx — передача данных в обе стороны одновременно
Производительность PPTP, 2 клиента:
Максимальная скорость: 3,39 Мбит/с. Максимальная скорость практически не изменилась, по сравнению с тестами при одном туннеле, но распределение скорости межу точками не всегда равномерно. График распределения скоростей в полном дуплексе приведен на следующем рисунке:
Обзор возможностей QoS (Quality of Sevice)
QoS — механизм, позволяющий разделить трафик на группы и назначить каждой группе приоритет, а также позволяющий задать пропускную способность канала.
В рассматриваемом роутере механизм QoS можно применить только к исходящему трафику, контролируя тем самым обратный канал в Интернет. Полное описание всех возможностей QoS для данного устройства отсутствует, поэтому проводится несколько тестов для обрисовки общих принципов настройки.
В рассматриваемом устройстве присутствует разграничение пропускной способности по группе IP-адресов или по приложению (протокол иили порт), но возможность редактировать список приложений отсутствует.
Тестирование QoS для приложений:
Для тестирования мы гоняли 3 различных вида трафика (Telnet, HTTP, SMTP). Менялись приоритеты на трафик и ширина канала для трафика определенного приоритета.
Тест 1:
Ширина канала для трафика высокого приоритета составляла 8000 кбит/с, среднего приоритета — 5000 кбит/с, низкого — 2000 кбит/с.
На Telnet трафик ставился высокий приоритет, на HTTP — средний, SMTP — низкий:
График распределения скоростей по времени выглядит так:
Из графика видно, что скорость трафика сильно различается, но совсем не так, как задано в настройках QoS. Скорость трафика, имеющего самый высокий приоритет, оказалась самой низкой, но, судя по тестам производительности проводного сегмента, ограничение все же накладывается (там скорость достигала 16 Мбит/с).
Тест 2:
Приоритеты на трафик оставались неизменными (Telnet — High; HTTP — medium; SMTP — Low), а ширина канала для всех приоритетов устанавливалась в 1000 кбит/с, как показано на рисунке:
График распределения скоростей:
Снова наблюдается странная картина — трафик с наиболее высоким приоритетом имеет наименьшую скорость передачи.
Тест 3:
У всех видов трафика было снято разделение на приоритеты, а пропускная способность канала ограничивалась до 100 кбит/с для каждого приоритета (ее можно задать только по приоритетам).
График распределения скоростей выглядит так:
Тестирование прерывается на второй минуте, но явно видно, что общая пропускная способность канала делится поровну между потоками.
Тестирование QoS для групп IP-адресов:
Особенность настройки QoS для групп пользователей состоит в том, что для группы можно задать как пропускную способность, так и приоритет. Поэтому мы можем варьировать пропускной способностью по приоритетам и пропускной способностью по группам, а также самими приоритетами.
Тест 1:
Устанавливаем пропускную способность по приоритетам в 1 кбит/с для каждого приоритета, пропускную способность по IP-адресам устанавливаем в 2000 кбит/с, для первого IP-адреса ставим приоритет High, а для второго Low. Тест идет 3 минуты. Через 1.5 минуты после начала меняем приоритеты High <-> Low.
График распределения скоростей выглядит так:
Несмотря на то, что в середине теста мы поменяли приоритеты, скорости еще некоторое время не менялись, то есть смена приоритетов обладает некоторой инерцией.
Тест 2:
Устанавливаем ширину канала для приоритетов: 2000 кбит/с для High, 1000 кбит/с для Medium и 500 кбит/с для Low. Ширина канала для каждого IP адреса устанавливается в 2000 кбит/с, причем одному назначается приоритет High, а второму — Low.
Результаты приведены на следующем графике:
Тест 3:
Устанавливаем ширину канала для всех приоритетов в 1 кбит/с. Ширина канала для одного IP адреса устанавливается в 2000 кбит/с, а для второго — в 4000 кбит/с, обоим адресам назначается приоритет High.
Результаты приведены на следующем графике:
Тест 4:
Устанавливаем ширину канала для всех приоритетов в 1 кбит/с. Ширина канала для первого IP адреса устанавливается в 2000 кбит/с, а для второго — в 4000 кбит/с, причем первому назначается приоритет High, а второму — Low.
Результаты приведены на следующем графике:
Выводы:
IPSEC VPN-соединения обладают очень низкой производительностью, причем при использовании более ресурсоемкого шифрования AES128, результаты тестов на скорость более чем в 2 раза превосходят результаты при 3DES шифровании.
PPTP VPN-соединения также показывают низкую производительность и при этом не используют шифрования.
Механизм QoS реализован только для исходящего трафика. Из-за отсутствия его подробного описания в документации, проводились только обзорные тесты, а разобраться в его работе рядовому пользователю будет очень затруднительно.
Исправление прошивки может сильно повысить "цену" этому устройству.
Плюсы:
- Поддержка AES-шифрования
- Поддержка QoS
Минусы:
- Низкая скорость IPSEC VPN-соединений
- Низкая скорость PPTP VPN-соединений
- Отсутствие шифрования при использовании в качестве PPTP VPN сервера
- Скудное описание возможностей QoS в документации
- Распределение приоритетов QoS по приложениям не реализовано или работает неправильно.
