В предыдущей части обзора (Часть 1: обзор возможностей и конфигурация устройства), мы рассмотрели возможности и конфигурацию устройства, а также провели тестирование производительности устройства при его работе в качестве обычного роутера. В этой части мы рассмотрим возможности и производительность VPN-сервера устройства.
VPN-сервер устройства позволяет устанавливать до 100 (!) одновременных IPSec-соединений с использованием DES, 3DES и AES шифрования. Также возможно использование сертификатов и RADIUS-сервера для аутентификации. В устройстве используется сетевой процессор, поддерживающий аппаратное ускорение алгоритмов DES и AES. Зашифрованный трафик не может быть подвергнут антивирусной проверке или проверке механизмом обнаружения и предотвращения вторжений (IDP). Алгоритм DES считается уже недостаточно криптостойкими, поэтому при тестировании он не использовался. Для тестирования использовались стендовые компьютеры под управлением Gentoo Linux (версия ядра 2.6.11).
При тестировании создавались туннели со следующими параметрами:
- Обмен ключами: IKE
- Хеш: MD5
Сокращения:
- Gentoo — стендовый компьютер
- ZyWALL — рассматриваемый роутер ZyXEL ZyWALL 70W
Производительность IPSec, 1 туннель, 3DES шифрование
Максимальная скорость: 13,02 Мбит/с — судя по всему скорость ограничена производительностью стендовых компьютеров, так как график скорости — практически прямая линия.
Производительность IPSec, 2 туннеля, 3DES шифрование
Максимальная скорость: 25,279 Мбит/с — скорость возросла практически ровно в 2 раза по сравнению с предыдущим тестом. Судя по всему, даже 2 стендовых компьютера не могут "выжать" из устройства всей производительности. График производительности как и в прошлом тесте имеет малый разброс.
Производительность IPSec, 3 туннеля, 3DES шифрование
Полудуплексный режим (half-duplex):
Полнодуплексный режим (full-duplex):
Максимальная скорость: 33,414 Мбит/с. График скорости начинает варьироваться в широких пределах — видимо только 3 используемых компьютера могут "разогнать" устройство до отказа.
Поэтапное включение туннелей при использовании 3DES шифрования
Теперь посмотрим на то, как вел себя график скорости во время тестов и при динамическом подключении туннелей. Генерация трафика в туннелях начиналась не одновременно, а с задержкой в 30 секунд. То есть сначала трафик запускался в пером туннеле, 30 секунд спустя — во 2-м, еще 30 секунд спустя — в 3-м.
Условные обозначения:
- ZyWALL — исследуемое устройство ZyXEL ZyWALL 70W UTM
- Gentoo — стендовый компьютер под управлением Gentoo Linux 2.6.11
Последовательность запуска трафика:
- 1-й туннель, передача ZyWALL -> Gentoo
- 2-й туннель, передача ZyWALL -> Gentoo
- 3-й туннель, передача ZyWALL -> Gentoo
Видно, что при подключении 2-го туннеля, скорость трафика в каждом туннеле даже не падает — это значит, что производительность упирается только в производительность стендовых компьютеров. При подключении 3-го туннеля, его производительность значительно выше, чем у 2-х остальных — это связано с тем, что 3 компьютер более мощный и может быстрее производить шифрование-дешифровку трафика.
Последовательность запуска трафика:
- 1-й туннель, передача Gentoo -> ZyWALL
- 2-й туннель, передача Gentoo -> ZyWALL
- 3-й туннель, передача Gentoo -> ZyWALL
При изменении направления трафика, ситуация принципиально не меняется — наблюдается картина аналогичная той, что была получена на прошлом графике.
Последовательность запуска трафика:
- 1-й туннель, передача fdx Gentoo && ZyWALL
- 2-й туннель, передача fdx Gentoo && ZyWALL
- 3-й туннель, передача fdx Gentoo && ZyWALL
На графике та же ситуация, что и на 2-х предыдущих графиках.
Теперь проведем те же тесты, но с использованием шифрования AES.
Производительность IPSec, 1 туннель, AES шифрование
Максимальная скорость: 31,6 Мбит/с — график имеет небольшой разброс.
Производительность IPSec, 2 туннеля, AES шифрование
Максимальная скорость: 25,852 Мбит/с — при подключении еще одного туннеля, производительность снижается, но график ведет себя весьма стабильно.
Производительность IPSec, 3 туннеля, AES шифрование
В полудуплексном режиме (half-duplex):
В полудуплексном режиме (full-duplex):
Максимальная скорость: 33,414 Мбит/с — графики варьируются в широких пределах — видимо процессор используется на все 100%.
Поэтапное включение туннелей при использовании AES шифрования
Посмотрим на то, как вел себя график скорости во время тестов и при динамическом подключении туннелей. Генерация трафика в туннелях начиналась не одновременно, а с задержкой в 30 секунд. То есть сначала трафик запускался в пером туннеле, 30 секунд спустя — во 2-м, еще 30 секунд спустя — в 3-м.
Условные обозначения:
- ZyWALL — исследуемое устройство ZyXEL ZyWALL 70W UTM
- Gentoo — стендоый компьютер под управлением Gentoo Linux 2.6.11
Последовательность запуска трафика:
- 1-й туннель, передача ZyWALL -> Gentoo
- 2-й туннель, передача ZyWALL -> Gentoo
- 3-й туннель, передача ZyWALL -> Gentoo
При включении 2-го туннеля, скорость каждого туннеля падает ровно в 2 раза, при этом суммарная скорость не изменяется, а при включении 3-го туннеля — на графике появляются резкие провалы.
Последовательность запуска трафика:
- 1-й туннель, передача Gentoo -> ZyWALL
- 2-й туннель, передача Gentoo -> ZyWALL
- 3-й туннель, передача Gentoo -> ZyWALL
Как видно из графика — уже при использовании 2-х туннелей на графике наблюдаются провалы.
Последовательность запуска трафика:
- 1-й туннель, передача fdx Gentoo && ZyWALL
- 2-й туннель, передача fdx Gentoo && ZyWALL
- 3-й туннель, передача fdx Gentoo && ZyWALL
Стабильность графика наблюдается только при использовании одного туннеля — возможно это связано с тем, что AES-шифрование сильнее нагружает процессор устройства.
Выводы:
VPN-сервер устройства обладает сравнительно высокой производительностью как при использовании 3DES-шифрования, так и при использовании AES-шифрования, а также может использовать сертификаты и RADIUS-сервер. Судя по документации, VPN-сервер устройства позволяет одновременно устанавливать до 100 IPSec VPN-соединений, но какая будет скорость в каждом туннеле при таком огромном количестве соединений, я ответить затрудняюсь.
Плюсы:
- Возможно использование локальной БД пользователей в качестве сервера аутентификации
- Возможность создания точки доступа на базе маршрутизатора
- Возможность управления через COM-порт
- Широкие возможности задания правил файрвола, сервиса NAT и параметров логирования событий
- Сравнительно высокая производительность VPN-сервера (~30-35 Мбит/с)
- Возможность использования сертификатов
- Возможность использования сервера аутентификации RADIUS
- Возможно одновременное использование до 100 VPN-соединений (теоретически)
Минусы:
- Нет возможности подробно задать параметры беспроводной связи
- Поддержка всего лишь 11 каналов беспроводной связи, вместо 13 (стандарт для восточноевропейского региона)
В следующей части обзора мы рассмотрим возможности управления полосой пропускания, SPAM-фильтрации и антивирусной защиты
- Часть первая: обзор возможностей, конфигурация и производительность
- Содержание
- Часть вторая: тестирование производительности VPN-сервера
- Часть третья: тестирование возможностей управления полосой пропускания канала, возможностей антивирусной защиты и спам-фильтра
0 комментариев
Добавить комментарий
Добавить комментарий
Пожаловаться на комментарий