vpn 10G

Hálózatok általános

Hello,

Adott:
- FreeBSD 9.1
- 10G 2 gep kozott
- 30ms latency
- UDPn ki tudom hajtani
- TCPn is ki tudom hajtani kicsit kevesebbel persze, mint UDP.
- 8x 3.5Ghz xeon (aesni t tudja)

Viszont kellene titkositott tunnel. De amint felhuzom gif0 ipip tunnelt az 600Mbit-1Gbit et kepes csak elerni.

Milyen megoldast ajanlotok, amivel egy szalon is atviheto 10G(5-6G is eleg lenne) + titkositott lesz a kapcsolat + esetleg failovert tud. AESNI-t tudja proci es freebsd alatt kepes is hasznalni (Tehat titkositassal nem lesz gond cpu nem fog elfogyni.)

Barmilyen otlet jo, nem ragaszkodom bsdhez. Ha windows tudja, akkor windows lesz, ha linux akkor linux. Csak nem szeretnem vegigszopni az utat. Olyanok irjanak plz, akik probaltak is, es nem csak elso howtot olvastak netrol.

Koszi.

  • 5026 megtekintés

( tompos v | 2013. 03. 25., h – 22:08 )

Sosem probaltam.
Megnezted, mi a szuk keresztmetszet?

tompos

( psc | 2013. 03. 25., h – 22:38 )

hello

nalunk van ket gep, kozottuk 10ge.
egyik storage (freebsd), masik esxi host.
xeon mindketto, entry-level gepek.

nalunk ugyan kicsit mas az use-case, de hasznalunk titkositast mi is. azt is mondom elore, hogy hiaba az aes-eni, lesz a titkositasnak igy is 10% koruli overheadje, es a procikat sem idle-ben fogod latni, hanem azert porognek. igaz, hogy nem nagyon, de lathatoan dolgozni fognak.
arra is szamits, hogy valoszinuleg nem fog skalazodni az encryption, igy egy magod el fog menni erre, s akkora lesz a troughtput, amit az az egy mag bír kezelni.
meg azt is vedd figyelembe, hogy egy ilyen procinak onmagaban 10-20%-at megeszi a 10ge atvitel, de gondolom a tesztek alatt ez mar feltunt.

elso korben: az ipip tunnel tamogatja egyaltalan az aesni-t? lehet vele egyaltalan titkositani?
aztan ugyis az lesz, hogy kiserletezessel, tesztelessel fogod tudni megoldani a dolgot, en ebben a sorrendben probalnam:
- ssh tunnel
- pptp (de csak zarojelben, mert nem aes-t hasznal, így az aesni utasitaskeszlet nem jo semmire)
- openvpn tunnel.

nekem az ssh tunnelhez nagy remenyeim vannak, egy probat meger. raadasul az 99%, hogy fogja is hasznalni az aesni-t.

( kalebris | 2013. 03. 25., h – 22:42 )

sub. Hogy valami epito jellegu is legyen titkositas nelkul probaltad? Lehet, hogy valami idiota limitbe futsz bele, hogy tunnel csak 1 gbit lehet vagy valami ilyesmi.

( kicca | 2013. 03. 25., h – 22:59 )

Csak titkositas nelkul probaltam.
Elso lepeskent elertem, hogy minde nelkul menjen 10G
Masodiknak felhuztam ipip tunnelt. Aztan itt alltam meg, mert nagyon gyenge.
HW titkositas majd utana jon.

( wpeople v | 2013. 03. 26., k – 10:43 )

csak pálya széléről bekiabálva: nincsen olyan 10G NIC ami hw-ből tudna ennyit titkosítani?
esetleg valami Tilera Tile-GX 8036-al ellátott szörny? ez a CPU 40gbps-t tud titkosítani...

A Mikrotik Cloud Core router ilyet használ - de csak 1G portok vannak benne

( godot v | 2013. 03. 26., k – 11:11 )

FreeBSD alatt nem tudom mi a helyzet a több core-t használó crypto implementációval, de linux-on jobb a helyzet.

http://www.strongswan.org/docs/Steffen_Klassert_Parallelizing_IPsec.pdf

A pcrypt modult kell betölteni, majd megfelelően felparaméterezni a crypto-t hogy használja.

Régebbi kerneleknél (talán 3.3 előtt?)

modprobe pcrypt
modprobe tcrypt alg="pcrypt(authenc(hmac(sha1-generic),cbc(aes-asm)))" type=3

Ekkor a /proc/crypto alatt ez lesz a preferrált:

ame : authenc(hmac(sha1),cbc(aes))
driver : pcrypt(authenc(hmac(sha1-generic),cbc(aes-asm)))
module : pcrypt
priority : 2100
refcnt : 1
selftest : passed
type : aead
async : yes
blocksize : 16
ivsize : 16
maxauthsize : 20
geniv :

Újabb kernelekhez van már API és utility:

https://sourceforge.net/projects/crconf/

crconf add driver "pcrypt(authenc(hmac(sha1-generic),cbc(aes-asm)))" type 3

Én csak AESNI nélküli gépen próbáltam és rendesen skálázódott a CPU magokkal az Ipsec.