我遇到了一个问题,我正在寻找一个新的安全协议/客户端/服务器,在1Gb / s光纤链路上速度更快 – 让我告诉你这个故事…
两端连接到相当低使用率的思科Cat6509与Sup720的。
我可以用新机器replace客户端机器和/或将其移动到Linux – 但这需要时间。
显然,这些单线程安全的Windows客户端正在引入太多的延迟来进行encryption。
所以有几个问题/想法;
提前致谢。
我从来没有使用过这个,但是与Catalyst 6500s一起工作的这个模块声称它可以在线路上做2.5 Gb / s的IPSEC。 至less在思科路由器中,您也可以限制在IP /端口对上应用的IPSec,但似乎可能是encryption所有内容的好方法“
VPN弹性和高可用性:Cisco IPSec VPN SPA利用IPSec和GRE,HSRP + RRI,DPD等状态故障转移以及对站点到站点隧道dynamic路由更新的支持等创新function,提供了出众的VPN弹性,高可用性。
高速VPN性能提供高达2.5 Gbps的AES和3DES IPSec吞吐量,大数据包和1.6 Gbps的Internet混合(IMIX)stream量。
这显然不是便宜的select(也许去开源),但与双1Gb链接,听起来像你们有一点钱。
(我觉得我突然间为思科营销工作。)
你也可以在内置的Windows IPSec上与Linux上的IPSec进行通信(比如OpenSwan)。 如果这个“刚刚工作”,我会感到惊讶。
压缩并encryption文件,然后使用已知的高速“iPerf或普通FTP”传输encryption副本。 如有必要,请添加一个带有必要encryption密钥或密钥的小文件。 这个密钥文件可以用scp或sftp传输,因为它会很小,性能不会有影响。
另一种select:你有没有尝试ftps副sftp和scp? 我不知道是否有一个普遍的速度差异(总的来说,它应该很小,但是你使用的具体库/客户端/服务器可能会有所不同)。
你通过检查CPU负载做了正确的事情,否则实际上寻找性能命中的原因。 从你说的话来说,硬件encryption或者服务器升级不是一种帮助,但是如果你想让你的站点之间的所有stream量通过硬件或者软件专门设置一个VPN,就意味着你可以设置一次而不用担心。