LINUX.ORG.RU
ФорумAdmin

iSCSI+Racoon/ipsec производительность

 , ,


0

2

Добрый день! Появилась необходимость создать «безопасный» iSCSI-target для образов виртуальных машин, решил обезопасить его с помощью ipseс, но производительность линка упала в 5 раз, вместо 1Gbit/sec получаю максимум 200Mbit/sec. Перепробовал все алгоритмы шифрования, но выше 200Mbit/sec пригнуть не удалось. Есть возможность разогнать ipsec хотя бы до 500Mbit/sec?

1. Извращенец однозначно
2. Вангую за то что упираетесь в проц, что тот же top показывает на обеих сторонах?

anc ★★★★★ ()
Ответ на: комментарий от anc

1. поясните. Возможно я пошел не тем путем? мне необходимо шифровать трафик между инициатором и таргетом

Sherman ()
Ответ на: комментарий от anc

2.в проц не упираюсь, с обеих сторон по 16 ядер, только вот кажется мне, что не умеет он использовать много ядер, потому как загружены только 2.

Sherman ()
Ответ на: комментарий от Sherman

1. поясните.

Поясню, как понял (иначе зачем тут ipsec?) Вы предполагаете использовать хранилку «где-то там», т.е. на не устойчивом канале. Блоковый девайс держать на неустойчивом канале уже «не есть хорошо». А точнее пушистого зверька ждите.

anc ★★★★★ ()
Ответ на: комментарий от Sherman

iperf и туда и обратно в студию. И также без ipsec. Что бы было с чем сравнить.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

я не предполагаю использовать хранилку где-то там, она находится на устойчивом канале в 1Gbit. IPsec нужен, что бы обезопасить канал от прослушки, но не об этом речь, самое важное, что меня интересует - почему такое пенальти по пропускной при использовании алгоритма шифрования aes 128? я бы понял, если бы пенальти было 50%, ну ладно 60%, но не 80% же.

Sherman ()
Ответ на: комментарий от Sherman

Хм. Мистика. Но все-таки. Вы пишите разницу 180-200 и 800-900, не идеальный же канал получаеться?

anc ★★★★★ ()
Ответ на: комментарий от Sherman

загрузка процессора при этом какая? Как настроен racoon?

Pinkbyte ★★★★★ ()
Ответ на: комментарий от anc

разница из-за того, что этот таргет уже используется, а настройку ipsec'a я делаю на vlan'e

Sherman ()
Ответ на: комментарий от Pinkbyte

одно ядро 100%, второе 30-60%, все остальные бездействуют. ipsec настроен по этому мануалу https://kamaok.org.ua/?p=2059 только без поднятия туннеля, таргет в прямой видимости через пару свитчей.

Sherman ()
Ответ на: комментарий от Sherman

Racoon только IKE демон, занимающийся согласованием ключей. Не думаю что просадка от него.

Для интереса можно IKE оставить, а шифрование выключить. Посмотреть на результат

MadMax ()
Ответ на: комментарий от Sherman

Ну, осталось посмотреть на cat /proc/cpuinfo, может у тебя там тостер вместо сервера

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Sherman

Шутку оценил, смешно. Если серьезно - нормальное железо, для таких-то скоростей.

cat /proc/interrupts покажи на всякий случай(хотя если выжимал 800Мегабит без IPSEC, он вряд ли будет полезен). И ждём еще конфиг racoon-а, хотя, как уже справедливо заметили - вся магия делается в ядре, racoon нужен только для согласования и смены ключей(PFS, вот это вот всё). Так что сюда же - название дистрибутива и конфиг ядра(если ядро - самосборное или недистрибутивное).

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.