我有两个SonicWall(TZ170和Pro1260)的站点到站点VPN。 有人build议closuresencryption(所以VPN只是隧道)将提高性能。 (我不关心安全性,因为VPN运行在可信线路上。)
使用FTP和HTTP传输,我测量了大约130±10 kB / s的基线性能。 Ipsec(阶段2)encryption设置为3DES,所以我将其设置为“无”。 但是,效果却相反 – 性能下降到60±30kB / s,在传输任何数据之前传输失速约25秒。 我尝试了AES-128,吞吐量达到了160±5kB / s。 我的线的额定速度是193 kB / s(这是一个T1)。
相反,我认为,更强大的Ipsecencryption似乎可以提高吞吐量。 任何人都可以解释什么可能在这里? 为什么没有encryption导致性能差和变化很大,并导致转移失速? 为什么AES-128提高性能?
由于algorithmdevise(循环次数等),AES比3DES更快,而不是因为密钥大小/encryption强度。 我对SonicWall产品了解不多,但是我认为防火墙产品应该能够以T1线速传输stream量,所以可能会出现一些问题。
我不确定为什么当closuresencryption时你会看到性能更差,但是如果你不需要encryption的话,正如Antoine Benkemoun所说的那样,你并不需要IPSec,特别是不需要ESP(隧道模式)。
我不知道你的确切设置,但是关于encryption行为更糟的一个常见的解释是你不仅使用encryption,而且使用压缩。 closuresencryption和压缩会显着降低性能,特别是如果您的数据包开始超过MTU并频繁分散。 你有没有检查,所以你通常不与IPComp运行?
当你关掉encryption的时候,你还应该检查是否有什么奇怪的事情。 我build议在那里粘贴一个嗅探器,例如wireshark,看看是否encryption打开。 它应该给你一个更好的想法发生了什么事情。
我们在这里谈到的速度非常慢,几乎任何硬件都可以在没有明显延迟的情况下进行encryption,所以我猜测encryption开销是一个红鲱鱼。
我的第一个猜测是MTU不匹配,当没有encryption存在。 当没有encryption时,您可能需要手动设置接口的MTU值以匹配它所在的networking。 这种不匹配会导致显着的分裂,这将转化为更低的速度。
encryption是一个繁琐的过程,需要CPU时间。 对于三次DES完成的3DES,情况更是如此。 禁用它将通过删除所有的开销头文件和encryption来提高性能。 差异应该是相当微小的(最多10%,我会说)。
令我感到惊讶的是,您可以在IPSec中禁用encryption。 无论如何,我非常确定,这并不意味着要这样使用。
如果你想有一个没有encryption的隧道,你不应该使用IPSec,而是使用PPTP或L2TP。
在这种情况下,MTU不应该是一个问题,但你应该看看。
我对Sonicwall VPN并不熟悉,所以我只是猜测,但在我看来,它可能是一个QOS的事情。 也许未encryption的stream量正在进入“所有其他”类别,而这个类别往往设置较低。