5 votes

Améliorer les performances des VPN - un cryptage plus fort = plus de performances ?

J'ai mis en place un VPN site à site avec deux SonicWall (un TZ170 et un Pro1260). On m'a suggéré de désactiver le cryptage (de sorte que le VPN ne soit qu'un tunnel) pour améliorer les performances. (Je ne suis pas concerné par la sécurité, car le VPN fonctionne sur une ligne de confiance).

En utilisant les transferts FTP et HTTP, j'ai mesuré mes performances de base à environ 130±10 kB/s. Le cryptage Ipsec (Phase 2) était défini sur 3DES, je l'ai donc défini sur "none". Cependant, l'effet a été opposé -- les performances ont chuté à 60±30 kB/s, et les transferts se bloquent pendant environ 25 secondes avant que les données n'arrivent sur la ligne. J'ai essayé AES-128 et le débit est monté à 160±5 kB/s. La vitesse nominale de ma ligne est de 193 kB/s (c'est une T1).

Contrairement à ce que je pourrais penser, un cryptage Ipsec plus fort semble améliorer le débit. Quelqu'un peut-il expliquer ce qui se passe ici ? Pourquoi l'absence de cryptage entraînerait-elle des performances médiocres et très variables, et provoquerait-elle le blocage des transferts ? Pourquoi l'AES-128 améliore-t-il les performances ?

1 votes

T1 = 180KBps. Avec l'overhead TCP, c'est environ 165KBps de débit maximum.

0 votes

L'utilisation d'AES n'augmentera l'utilisation de la bande passante que de quelques octets, car il s'agit d'un chiffrement par blocs. L'utilisation de RC4, un chiffrement par flux, n'augmentera pas la bande passante d'un seul bit par rapport à un transfert de texte brut.

4voto

blueadept Points 516

AES est plus rapide que 3DES en raison de la conception de l'algorithme (nombre de tours, etc.), et non en raison de la taille de la clé ou de la puissance de chiffrement. Je ne connais pas bien les produits SonicWall, mais je suppose que le produit pare-feu devrait être capable de faire passer le trafic à la vitesse de la ligne pour un T1, donc il peut y avoir des problèmes à ce niveau.

Je ne sais pas pourquoi les performances sont moins bonnes lorsque vous désactivez le chiffrement, mais si vous n'avez pas besoin de chiffrement, comme l'a dit Antoine Benkemoun, vous n'avez pas vraiment besoin d'IPSec, et surtout pas d'ESP (mode tunnel).

3voto

pehrs Points 8739

Je ne connais pas votre configuration exacte, mais l'une des explications courantes de la baisse des performances en désactivant le comportement de cryptage est que vous n'utilisez pas seulement le cryptage, mais aussi la compression. Désactiver à la fois le chiffrement et la compression réduit considérablement les performances, surtout si vos paquets commencent à dépasser la MTU et à être fragmentés fréquemment. Avez-vous vérifié si vous n'avez pas l'habitude de fonctionner avec IPComp ?

Vous devriez également vérifier s'il y a quelque chose de bizarre sur la ligne lorsque vous désactivez le cryptage. Je vous recommande d'utiliser un renifleur tel que wireshark et d'y jeter un coup d'œil avec et sans cryptage activé. Cela devrait vous donner une bien meilleure idée de ce qui se passe.

Les vitesses dont nous parlons ici sont si lentes que presque n'importe quel matériel peut effectuer le cryptage sans retard notable, donc je suppose que la surcharge de cryptage est une fausse piste.

1voto

Ali Chehab Points 451

Je pense d'abord qu'il s'agit d'un décalage de MTU, en l'absence de cryptage. Lorsqu'il n'y a pas de cryptage, vous devez peut-être définir manuellement la valeur MTU de l'interface pour qu'elle corresponde au réseau sur lequel elle se trouve. Ce décalage entraînerait une fragmentation importante qui se traduirait par des vitesses inférieures.

0voto

Antoine Benkemoun Points 7284

Le cryptage est un processus fastidieux qui nécessite du temps CPU. C'est encore plus vrai dans le cas de 3DES qui est DES fait trois fois. En le désactivant, vous obtiendrez un petit gain de performance en supprimant tous les en-têtes et le cryptage. La différence devrait être plutôt minime (10% au maximum je dirais).

Je suis surpris que l'on puisse désactiver le cryptage dans IPSec. Quoi qu'il en soit, je suis presque sûr que ce n'est pas fait pour être utilisé comme ça.

Si vous voulez avoir un tunnel sans cryptage, vous ne devriez pas utiliser IPSec mais PPTP ou L2TP.

Le MTU ne devrait pas être un problème dans cette situation, mais vous devriez quand même y jeter un coup d'œil.

0 votes

RFC 2410 : "L'algorithme de chiffrement NULL et son utilisation avec IPsec". Utilisé pour fournir une authentification et une intégrité sans confidentialité ;)

0 votes

Ah merci, je viens d'apprendre quelque chose. Mais je pense toujours que c'est complètement exagéré =)

0voto

John Gardeniers Points 27097

Je ne connais pas le VPN Sonicwall, donc je ne fais que supposer, mais il me semble que c'est peut-être une question de QOS. Peut-être que le trafic non crypté tombe dans la catégorie "tous les autres", qui a souvent un réglage bas.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X