[Sysadmins] сравнение производительности тунелей

[Sysadmins] сравнение производительности тунелей

[Alexey Shabalin]

Это поверхностное сравнение с целью выбора платформы для реализации.
Специализированные железяки, способные прокачать, зашифровать 1Гб
достаточно дороги (если есть не по космическим ценам - подскажите)


Задача: организация шифрованного тунеля site-to-site по ethernet-каналу 1Гб.

Описание стенда:
2 одинаковых blade-сервера IBM HS-21XM с характеристиками:
CPU: 2 x 4-ядерных Intel E5345 2.33GHz
RAM: 16 Гб
NIC: Broadcom NetXtreme II BCM5708 1000Base-SX (B2) PCI-X 64-bit 133MHz
ОС: Linux 2.6.18-std-smp-alt12 x86_64
Сервера подключены к одному сетевому коммутатору.

Для определения скорости передачи данных использовалась утилита iperf
Инфраструктура SA не разворачивалась, все тесты проводились на
pre-shared ключах.
Результаты iperf:
950 "чистый" канал без шифрования
478 openvpn(BF-CBC-128 + lzo)
241 openvpn(BF-CBC-128)
166 openvpn(RC2-40-CBC - MD2 +lzo)
31 openvpn(RC2-40-CBC - MD2)
429 openvpn(AES + lzo)
247 openvpn(AES)
234 openssh тунель
247 ipsec-tools(BF+deflate)
191 ipsec-tools(DES+deflate)
100 ipsec-tools(3DES+deflate)

Выводы:
1. Использовать сжатие трафика перед шифрованием выгодно, несмотря на
загрузку процессора.
2. Ограничением является производительность процессора. Причём
предположительно (уточнить не удалось - top отказался показывать 8
ядер) только одного ядра - скорее всего остальные ядра при шифровании
канала незадействовались.

Господа, подскажите, возможно ли для шифрования одного тунеля
задействовать несколько ядер процессора. И почему так плохо повёл себя
raсoon по сравнению с openvpn? Я расчитывал, что ipsec, работающий на
уровне ядра окажется производительней.
Что ещё можно посмотреть из vpn для получения большей
производительности(скорости).

-- 
Alexey Shabalin

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Мерзляков Евгений Анатольевич]

В сообщении от Sunday 04 May 2008 19:34:21 Alexey Shabalin написал(а):
> top отказался показывать 8
> ядер

т.е. top у вас показывал только одну полоску CPU?
может у вас в ядре отключена поддержка SMP?
просто у меня не было возможности работать с 8-ми ядерной системой,
но на 4-х ядерной системе top у меня показывает загрузку каждого ядра 
отдельной полосочкой и с распараллеливанием все вроде нормально,
при сборке больших пакетов загрузка всех 4 ядер доходит до 100%

-- 
Мерзляков Е.А.
Jabber ID: humptydumpty@jabber.ru

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Мерзляков Евгений Анатольевич]

В сообщении от Monday 05 May 2008 08:40:11 Мерзляков Евгений Анатольевич написал(а):
> т.е. top у вас показывал только одну полоску CPU?

извиняюсь, ошибся, top показывает 1 cpu, все ядра по отдельности показывает htop :)

-- 
Мерзляков Е.А.
Jabber ID: humptydumpty@jabber.ru

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Dmitry Lebkov]

Мерзляков Евгений Анатольевич пишет:
> В сообщении от Monday 05 May 2008 08:40:11 Мерзляков Евгений Анатольевич написал(а):
>> т.е. top у вас показывал только одну полоску CPU?
> 
> извиняюсь, ошибся, top показывает 1 cpu, все ядра по отдельности показывает htop :)

procps-3.2.5-alt7. man top.

Он умеет и "все-вместе" и "1 строчка на CPU" показывать. 4 CPU точно показывает.
8 - не на чем проверить.

-- 
WBR, Dmitry Lebkov

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Alexey Shabalin]

5 мая 2008 г. 7:16 пользователь Dmitry Lebkov  написал:
> Мерзляков Евгений Анатольевич пишет:
>
>
> > В сообщении от Monday 05 May 2008 08:40:11 Мерзляков Евгений Анатольевич
> написал(а):
> >
> > > т.е. top у вас показывал только одну полоску CPU?
> > >
> >
> > извиняюсь, ошибся, top показывает 1 cpu, все ядра по отдельности
> показывает htop :)
> >
>
>  procps-3.2.5-alt7. man top.
>
>  Он умеет и "все-вместе" и "1 строчка на CPU" показывать. 4 CPU точно
> показывает.
>  8 - не на чем проверить.
top конечно умеет показывать 1 строчку на CPU, и я этим пользуюсь. Но
вот 8 ядер не показывает. (я сам с таким количеством ядер столкнулся
впервые). Эти тесты были проведены пока сервера не ушли в реальную
работу.


-- 
Alexey Shabalin

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Mykola S. Grechukh]

nmon


2008/5/5 Dmitry Lebkov <dima@sakhalin.ru>:
> Мерзляков Евгений Анатольевич пишет:
>
>
> > В сообщении от Monday 05 May 2008 08:40:11 Мерзляков Евгений Анатольевич
> написал(а):
> >
> > > т.е. top у вас показывал только одну полоску CPU?
> > >
> >
> > извиняюсь, ошибся, top показывает 1 cpu, все ядра по отдельности
> показывает htop :)
> >
>
>  procps-3.2.5-alt7. man top.
>
>  Он умеет и "все-вместе" и "1 строчка на CPU" показывать. 4 CPU точно
> показывает.
>  8 - не на чем проверить.
>
>  --
>  WBR, Dmitry Lebkov
>
>
>  _______________________________________________
>  Sysadmins mailing list
>  Sysadmins@lists.altlinux.org
>  https://lists.altlinux.org/mailman/listinfo/sysadmins
>

Re: [Sysadmins] сравнение производительности тунелей

[Maxim Tyurin]

Alexey Shabalin writes:

> Господа, подскажите, возможно ли для шифрования одного тунеля
> задействовать несколько ядер процессора.

А вот это не знаю. Переписывать софт надо.

> И почему так плохо повёл себя
> raсoon по сравнению с openvpn? Я расчитывал, что ipsec, работающий на
> уровне ядра окажется производительней.

Потому что ракун тормоз. Когда я тестировал (правда у меня было
100Mbit и тазики гораздо слабее) то у меня призовые места
распределились так:

1) openswan + KLIPS
2) openswan + Native IPSEC
3) openvpn
4) racoon

> Что ещё можно посмотреть из vpn для получения большей
> производительности(скорости).

Патчить ядро KLIPS патчем.
Можно взять из Debian и обработать напильником.
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] сравнение производительности тунелей

[Led]

В сообщении от Monday 05 May 2008 13:11:12 Maxim Tyurin написал(а):
> Alexey Shabalin writes:
> > Господа, подскажите, возможно ли для шифрования одного тунеля
> > задействовать несколько ядер процессора.
>
> А вот это не знаю. Переписывать софт надо.
>
> > И почему так плохо повёл себя
> > raсoon по сравнению с openvpn? Я расчитывал, что ipsec, работающий на
> > уровне ядра окажется производительней.
>
> Потому что ракун тормоз. Когда я тестировал (правда у меня было
> 100Mbit и тазики гораздо слабее) то у меня призовые места
> распределились так:
>
> 1) openswan + KLIPS
> 2) openswan + Native IPSEC
> 3) openvpn
> 4) racoon
>
> > Что ещё можно посмотреть из vpn для получения большей
> > производительности(скорости).
>
> Патчить ядро KLIPS патчем.
> Можно взять из Debian и обработать напильником.

Для >=2.6.24 патчить не получится. По личному опыту 2.6.18 и 2.6.22 - вполне 
себе патчатся и работают.

-- 
Led

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 663 bytes --]

On Mon, May 05, 2008 at 02:16:11PM +1100, Dmitry Lebkov wrote:
> Мерзляков Евгений Анатольевич пишет:
>> В сообщении от Monday 05 May 2008 08:40:11 Мерзляков Евгений Анатольевич написал(а):
>>> т.е. top у вас показывал только одну полоску CPU?
>> 
>> извиняюсь, ошибся, top показывает 1 cpu, все ядра по отдельности показывает htop :)
> 
> procps-3.2.5-alt7. man top.
> 
> Он умеет и "все-вместе" и "1 строчка на CPU" показывать. 4 CPU точно показывает.
> 8 - не на чем проверить.

Ну вот 8 как раз не показывает.

-- 
PS: Michael Shigorin по адресу community@ не живёт, хоть и
ловится.  Поправьте свой сломанный MUA :-[
		-- mike in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Michael Shigorin]

On Mon, May 05, 2008 at 04:11:43PM +0400, Pavlov Konstantin wrote:
> > procps-3.2.5-alt7. man top.  Он умеет и "все-вместе" и "1
> > строчка на CPU" показывать. 4 CPU точно показывает.  8 - не
> > на чем проверить.
> Ну вот 8 как раз не показывает.

Ага.  Кстати, забыл htop посмотреть на таких.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] сравнение производительности тунелей [JT]

[Konstantin A. Lepikhov]

Hi Dmitry!

Monday 05, at 02:16:11 PM you wrote:

> Мерзляков Евгений Анатольевич пишет:
>> В сообщении от Monday 05 May 2008 08:40:11 Мерзляков Евгений Анатольевич написал(а):
>>> т.е. top у вас показывал только одну полоску CPU?
>> 
>> извиняюсь, ошибся, top показывает 1 cpu, все ядра по отдельности показывает htop :)
> 
> procps-3.2.5-alt7. man top.
> 
> Он умеет и "все-вместе" и "1 строчка на CPU" показывать. 4 CPU точно показывает.
> 8 - не на чем проверить.
> 
В бубунте top все 8 ядер показывает, если "1" нажать:

top - 18:18:35 up 1 day,  3:26,  4 users,  load average: 0.40, 0.47, 0.40
Tasks: 116 total,   1 running, 114 sleeping,   1 stopped,   0 zombie
Cpu0  :  0.0%us,  0.0%sy,  0.0%ni, 98.7%id,  1.3%wa,  0.0%hi,  0.0%si,
0.0%st
Cpu1  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,
0.0%st
Cpu2  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,
0.0%st
Cpu3  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,
0.0%st
Cpu4  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,
0.0%st
Cpu5  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,
0.0%st
Cpu6  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,
0.0%st
Cpu7  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,
0.0%st

-- 
WBR et al.