Zywall Site to Site IPSEC bandwith problema

 ( FBK | 2018. augusztus 28., kedd - 11:11 )

Sziasztok,

adott 2db ZyWALL USG-310 -es tűzfal, a probléma az, hogy mindkét eszköz bőven 100/100 -as NET alatt lóg, de kettejük Site To Site IPSEC -je erőteljesen asszimetrikus sebességet mutat:

UDP connection established.
Packet size 1k bytes: 18.45 MByte/s (92%) Tx, 17.66 MByte/s (78%) Rx.
Packet size 2k bytes: 5015.58 KByte/s (98%) Tx, 2042.90 KByte/s (98%) Rx.
Packet size 4k bytes: 6360.53 KByte/s (97%) Tx, 112.84 KByte/s (99%) Rx.
Packet size 8k bytes: 4617.07 KByte/s (94%) Tx, 446.76 KByte/s (98%) Rx.
Packet size 16k bytes: 5448.01 KByte/s (96%) Tx, 109.00 KByte/s (99%) Rx.
Packet size 32k bytes: 5593.59 KByte/s (97%) Tx, 97.22 KByte/s (99%) Rx.
Done.

H:\NetIO>netio.exe -t k9mgv01.k9.local

NETIO - Network Throughput Benchmark, Version 1.31
(C) 1997-2010 Kai Uwe Rommel

TCP connection established.
Packet size 1k bytes: 4853.52 KByte/s Tx, 1398.45 KByte/s Rx.
Packet size 2k bytes: 4748.86 KByte/s Tx, 1492.04 KByte/s Rx.
Packet size 4k bytes: 5283.29 KByte/s Tx, 1412.04 KByte/s Rx.
Packet size 8k bytes: 5005.34 KByte/s Tx, 1378.54 KByte/s Rx.
Packet size 16k bytes: 4950.39 KByte/s Tx, 1357.04 KByte/s Rx.
Packet size 32k bytes: 4717.51 KByte/s Tx, 1400.93 KByte/s Rx.
Done.

Valaki találkozott már hasonlóval?

Köszi!
FBK

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.


UDP connection established.
Packet size 1k bytes: 18.45 MByte/s (92%) Tx, 17.66 MByte/s (78%) Rx.

Ez a kb. 150Mbit/sec nem tűnik rossznak titkosítással. Milyen algoritmussal megy ez? Van más opció?

3DES-SHA1 DH2

van persze, feljebb tolhato siman.

alapvetoen a problema ott van, hogy pl egy SMB masolas eseten teljesen aszinkron a tunnel, X - Y oldalra 6MB/s forditott irany 1MB/s, pedig a vonalak azonos sebesseguek es ez a kulonbseg a TCP-s teszten gyonyoruen lathato is, nagyobb csomagmeretnel az UDP-n is. Jatszottam MTU -val, de semmi valtozas, egyelore nincs otletem, persze google a baratom, de hatha szivott mar valaki hasonloval.

--
FBK

Csak kósza tippem van, hogy ehhez a cipherhez nincs vagy kevés a hw gyorsítás. Esetleg aes vagy blowfish alapúval? Egyébként a speckó szerint 1424byte-os csomagmérettel tud 650Mbps-t VPN-en. Az IDP vagy más tartalom ellenőrzés nincs ráeresztve a VPN-re?

chipper modositas AES128-SHA256 -ra es voila hasit.

koszi szepen az otletet.

--
FBK