LINUX.ORG.RU
ФорумAdmin

iSCSI+Racoon/ipsec производительность

 , ,


0

2

Добрый день! Появилась необходимость создать «безопасный» iSCSI-target для образов виртуальных машин, решил обезопасить его с помощью ipseс, но производительность линка упала в 5 раз, вместо 1Gbit/sec получаю максимум 200Mbit/sec. Перепробовал все алгоритмы шифрования, но выше 200Mbit/sec пригнуть не удалось. Есть возможность разогнать ipsec хотя бы до 500Mbit/sec?


1. Извращенец однозначно
2. Вангую за то что упираетесь в проц, что тот же top показывает на обеих сторонах?

anc ★★★★★
()
Ответ на: комментарий от anc

1. поясните. Возможно я пошел не тем путем? мне необходимо шифровать трафик между инициатором и таргетом

Sherman
() автор топика
Ответ на: комментарий от anc

2.в проц не упираюсь, с обеих сторон по 16 ядер, только вот кажется мне, что не умеет он использовать много ядер, потому как загружены только 2.

Sherman
() автор топика
Ответ на: комментарий от Sherman

1. поясните.

Поясню, как понял (иначе зачем тут ipsec?) Вы предполагаете использовать хранилку «где-то там», т.е. на не устойчивом канале. Блоковый девайс держать на неустойчивом канале уже «не есть хорошо». А точнее пушистого зверька ждите.

anc ★★★★★
()
Ответ на: комментарий от anc

я не предполагаю использовать хранилку где-то там, она находится на устойчивом канале в 1Gbit. IPsec нужен, что бы обезопасить канал от прослушки, но не об этом речь, самое важное, что меня интересует - почему такое пенальти по пропускной при использовании алгоритма шифрования aes 128? я бы понял, если бы пенальти было 50%, ну ладно 60%, но не 80% же.

Sherman
() автор топика
Ответ на: комментарий от anc

разница из-за того, что этот таргет уже используется, а настройку ipsec'a я делаю на vlan'e

Sherman
() автор топика
Ответ на: комментарий от Sherman

Racoon только IKE демон, занимающийся согласованием ключей. Не думаю что просадка от него.

Для интереса можно IKE оставить, а шифрование выключить. Посмотреть на результат

MadMax
()
Ответ на: комментарий от Sherman

Шутку оценил, смешно. Если серьезно - нормальное железо, для таких-то скоростей.

cat /proc/interrupts покажи на всякий случай(хотя если выжимал 800Мегабит без IPSEC, он вряд ли будет полезен). И ждём еще конфиг racoon-а, хотя, как уже справедливо заметили - вся магия делается в ядре, racoon нужен только для согласования и смены ключей(PFS, вот это вот всё). Так что сюда же - название дистрибутива и конфиг ядра(если ядро - самосборное или недистрибутивное).

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.