IPSec-Throughput: APU1D vs APU2C

Nach dem Upgrade meiner Internetanbindung stach mir als Erstes sofort der eher bescheidene, maximale IPSec-Durchsatz der APU1-Boards ins Auge. Dies war aufgrund der fehlenden AES-Einheit eigentlich auch nicht anders zu erwarten. Um nun diesen Flaschenhals beseitigen zu können, beschloss ich kurzerhand die Anschaffung eines APU2-Boards. Mit einer, gegenüber einem APU1-Board, nun hardwarebeschleunigten AES-Verschlüsselung und erst noch doppelt so vielen (4 Stk.) CPU-Kernen sollte der IPSec-Durchsatz doch deutlich zu steigern sein, oder etwa nicht?

Erste Messungen waren leider ziemlich ernüchternd, der Durchsatz steigerte sich lediglich um ca. 10Mbps. Über die Gründe tappe ich aktuell noch im Dunkeln. Unter Umständen liegt hier aber auch nur ein klassisches Layer-8 Problem vor. Ich bleib jedenfalls am Ball.

APU1D2

  • Betriebssystem: pfSense 2.2.6
  • IPSec: IKEv2, AES256, SHA256
  • Crypto-Support:
(cryptodev) BSD cryptodev engine
 [RSA, DSA, DH]
     [ available ]
(rsax) RSAX engine support
 [RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]
  • IPerf-Messungen:
root@STRUBAND-E7450:~# iperf3 -c monitoring -i 1 -R                 
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  42.7 MBytes  35.8 Mbits/sec   51             sender
[  4]   0.00-10.00  sec  42.7 MBytes  35.8 Mbits/sec               receiver

APU2C4

  • Betriebssystem: pfSense 2.2.6
  • IPSec: IKEv2, AES256, SHA256
  • Crypto-Support:
(cryptodev) BSD cryptodev engine
 [RSA, DSA, DH, AES-128-CBC, AES-192-CBC, AES-256-CBC]
     [ available ]
(rsax) RSAX engine support
 [RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]

IPerf-Messungen:

root@STRUBAND-E7450:~# iperf3 -c monitoring -i 1 -R              
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  54.2 MBytes  45.4 Mbits/sec   25             sender
[  4]   0.00-10.00  sec  51.3 MBytes  43.0 Mbits/sec                  receiver

5 Gedanken zu „IPSec-Throughput: APU1D vs APU2C

  1. Hi,

    hast du mal geschaut ob die AES HW ueberhaupt genutzt wird? 10% scheint ja eher dadurch begruendet zu sein das die CPU potenter und neuer ist. AES in HW sollte wesentlcih mehr bringen. Der Flaschenhals koennte aber auch woanders liegen. Ich nicht wirklich firm mit IPSec, jedoch mit OpenVPN und hier kann das Problem dann zB. am Hashing liegen das die CPU dann auslastet, weil keine HW beschleunigung am Start ist.
    Was sagt denn top waehrend des tests? IRQ load am Anschlag? Schonmal OpenVPN getestet? Oder IP-Fire? Was ist den der generelle Routing Durchsatz? etc…
    Ausserdem wuerde ich den IPerf nie auf dem kleinen Board (bzw Gegenstelle) selbst ausfuehren. Das verursacht auch jede Menge Load. Das koennte auch das Prob. sein.
    Rein vom Gefeuhl her und aus Erfahrung sollte mit der CPU mehr gehn.

    @ MAX eine Firewall in ner VM ist zum testen OK, aber in Live Umgebungen aus Sicherheitsgruenden ein No-go.

  2. Du kannst ja deiner Firewall auch als VM laufen lassen das funktioniert in meinem Labor sehr zuverlässig. Hab zwei Sophos im Cluster betrieb die Switchen hin und her und das mit kaum nennenswerter Downtime beim Wechseln(ist im einstelligen ms berreich), schwächere Verschlüsselung ist absolut keine Lösung den SHA1 ist sowieso schon lange als insecure gebrandmarkt, SHA256 sollte Minimum sein.

    Virtuelle Firewalls sind zwar nicht immer das Goldene aber du hast ja schon nen großen VMware oder halt dein kleiner Supermicro würde sich ja eigentlich schon lohnen oder bevor du dir nochmehr ins Haus holst?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.