Базируемся на FAQ http://dlink.ru/ru/faq/85/575.html
Железо DFL 210/800.

Два ISP.
Резервный канал медленный. По нему вопросов нет он сам по себе существенно медленней 12 Mbps.
Основной канал шустрый - под 30 Mbps.

Задача: полностью задействовать пропускную способность основного канала.

Промерял на стенде пропускную способность IPSec.
Стенд:
- Конец A: DFL800, Сервер в LAN, WAN DFL подключен к модели I-Net;
- Конец B: DFL800 или 210, Клиент в LAN, WAN DFL подключен к модели I-Net;
- Модель I-Net: один комутатор и один маршрутизатор.
На стенде статическая маршрутизация.

Мерил двумя методиками:
a) Непосредственная прокачка эталонных файлов с измерением времени прокачки.
б) Измерение пропускной способности посредством iperf (ipnet).

Без IPSec на сенде prerf показал ~70Mbps.
C IPSec даже при ослабленных алгоритмах шифрования (тестил на des) на том же маршруте больше 12 Mbps не получалось.

Как задействовать всю пропускную способность основного канала обойдя ограничение пропускной способности IPSec в 12 Mbps?

Пока на ум приходит только собрать в кучу несколько тунелей (3-4) и организовать на них баллансировку.
Но даже в этом случае в пике я ни когда не получу даже симметричные 20Mbps и буду попадать под ограничение 12 Mbps т.к. траф будет маршрутизироваться через разные тунели.

Выигрыш в скорости получится только при мультиюзерском использовании канала, но при этом каждый из юзверей будет ограничен 12-ю Mbps.

Варианты с PPTP VPN не предлагать - там те же 10-12 Mbps на туннель к тому же совсем слабое шифрование.

Есть ли еще какие то варианты создания тунелей для DFL 210/800
чтобы получить честную пропускную способность peer-to-peer 25 Mbps заявленную производителем для DFL210 и хотя бы 40-50 Mbps для DFL 800 без использования балансировки?
Устроит шифрование даже уровня DES, хотя лучше хотя бы 3DES.

Ну что за тишина по теме?
Народ! Откликнитесь!!!

Пытаюсь на стенде завязать две DFL-ки через GRE тунель чтобы померить скорость.
GRE тупо не поднимается, хотя все делаю по свежему UserManual для 27 прошивки (читать со с. 103)

Опишите плиз вашу методику замера поподробнее.
Я постараюсь проверить в связке 210+800.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Если надо хоть какие-то отклики по теме, то подкину чуток.

У меня на стенде между двумя DFL-210 получалось 17 МБит/с при копировании файлов через IPsec, поднятый по инструкции. Тоже, как видите, не обещанные 25 МБит/с.

Тема о GRE и PPTP
http://forum.dlink.ru/viewtopic.php?t=54566

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Дык методика описана в первом сообщении
Стенд тоже описан.
Единственное что можно добавить там где сторона A - 2k3 Server, харды SCSI в Raid-е. (важно для методики измерения по эталонным файлам).

Там где сторона B - WinXP и Debian. Результаты замеров для обеих осей эквивалентны ~12 Mbps

Я же не зря, наверно, мерил напрямую! ~70 Mbps - это то что честно позволяет железо на стенде без задействования фич поднимаемых на DFL.

Если мерить эталонными файлами то получается еще меньше, т.к. в этом измерении участвует еще обращение к дискам.

Полагаю самый честный тест это через iperf, если для Win, ipnet, если для *NIX. Он сам генерит траф и сам его меряет не задействуя диcковую подсистему.
(Надеюсь, как юзать iperf объяснять не надо...)

17 это больше чем 12

Попробуй померить не через файло, а через iperf (конечно, если есть возможность завести iperf(ipnet) сервер на другой строне). Какой будет результат?

Как уже писал, на 2х DFL-800 на стенде без IPSec ~70Mbps, Если поднят IPSec то 12Mbps

Если через PPTP виндовым клиентом к PPTP серверу на DFL-800 и по эталонной ~1Gb куче файлов, то в пике до 17-19 Mbps. Прокачка файлов велась по виндовым SMB портам.
На всех device-ах прошивка 27

Ну, на самом деле еще многое зависит от алгоритма шифрования.

Я пробовал IPSec с максимальным шифрованием Blowfish. Дык у меня получилось вообще 6Mbps и меньше. Правда процы DFL-ок были конкретно нагружены.

Собственно по этому я в своих тестах юзал DES, как самый легкий и меньше всего грузящий процы DFL-ок. Но, все равно, радикально ни чего не улучшилось в плане скорости относительно 3DES.

ставьте два dfl800, тогда скорости vpn возрастут.

По стоимости 2x DFL800 можно покусанный комп c камнем типа P4 2.8 или даже круче, в недорогом корпусе 2-3U поставить (1U все таки дороговато), а на нем *NIX поднять, реализовать там все это дело через EQ Device+ OpenVPN в 4 трубы по 12 Mbps на 4 порта, получить, до кучи, еще приличную компрессию в канале и больше не заморачиваться с DFL вообще
(Кузов 2U эквивалентен 2-м DFL-кам, так что и по стойко-местам я не слишком проиграю, по деньгам даже выиграю, проиграю только в энергопотреблении.)

Речь не о том как смаcштабировать DFL, а всего лишь о том, что я хочу получить, хотя бы на стенде, заявленную D-Link производительность с шифрованием 3DES в VPN соединении точка-точка.

Я хочу либо получить рекомендацию в том как получить заявленную производительность, либо изменить описание железяк, и честно признаться, что данные железяки это делать НЕ УМЕЮТ!.

К сожалению, если все таки не умеют, то 2 шт. 800 и 3 шт. 210 придется юзать as is. Назад продавателю я их уже сдать не смогу:?

Однако, в этом случае я просто в будущем не буду приобретать никакую продукцию D-Link в корпоративных целях, не взирая на то, что в планах покупка небольшой кучки коммутаторов 35, 38 и 36 серии (в частности, придется чесать репу, чем заменить DGS-3612G и радикально перекраивать проект под другого производителя):cry:

ЗЫ: Если все-таки пойти по пути масштабирования DFL-ок, то понадобятся еще белые адреса для дополнительных Devices, что само по себе проблемно. К тому же это существенно повысит стоимость владения каналами!!!

В характеристиках производительности есть сноска под цифрой 4: Максимальная производительность на основе RFC 2544 (для межсетевых экранов). Фактическая производительность может изменяться в зависимости от сетевых условий и активности сервисов.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465

Честную производительность (для межсетевых экранов) на стенде я видел - это ~70 Mbps. (две DFL-800 морда в морду через коммутатор и маршрутизатор)

Измерения проводились как с поднятым NAT и дальнейшим пробросом на сервер и, соответственно, на клиетна через правила SAT, так и при тупой статической маршутизации. Результаты эквивалентны. Т.е. при работе DFL-ки, как чистого firewall-а у нее еще остатся куча неиспользованной дури и в данной ситуации пропускная способность ограничивается не DFL-кой, а железом стенда.

Возможно, эта цифра была бы еще выше если бы на стенде были высокопроизводительный коммутатор и аналогичный маршрутизатор.

Речь идет о том, что при организации IPSec скорость падает до 12 Mbps при шифровании всего лишь DES. При усилении алгоритма шифрования до 3DES наблюдается небольшое увеличени загрузки процов DFL-ок но не более 20%. Скорость в тунеле при этом остается в том же диапазоне, т.е. те же 12 Mbps.
Как это лечить? Или тоже найдется ссылка на какой ни-ть RFC?

Если в тепличных "сетевых условиях" не получается добыть заявленную производительность, то о какой тогда производительности можно говорить в "боевых" "сетевых условиях"?
О тех же 12 Mbps? Тогда может быть дело не в "производительности межсетевых экранов", а в каких то косяках связанных с IPSec? Ведь проц DFL-ки даже недогружается до 50% в моменты прокачки трафика сгенеренного iperf!

"...Может в консерватории что-то подправить?..." /М. Жванецкий/

Если я правильно понял, то разумного продолжения этой темы не предвидится.

И разумных рекомендаций по увеличению производительности IPSec от представителей производителя я, к сожалению, похоже, тоже не получу...

Хорошо, буду иметь это ввиду при очередной масштабной закупке активного сетевого оборудования...

Очень жаль, стоимость оборудования D-Link весьма доступная, по сравнению с той же CISCO, но тут уж ни чего не поделаешь

1.Производительность IPSec на DFL-210 25 мегабит. Это агрегированная величина, итого вы получите 12 в каждую сторону одновременно.

Так, что устройство вам честно выдало максимум.

Если надо больше, то ждем новую линейку DFL (DFL-260/E)

Если производительность не дотягивает до 12, то:

1.Смотрим на MTU, фрагментация способствует падению производительности 2 раза.
2.Смотрим какое шифрование используется (не все виды шифрование DFL поддерживает аппаратно)
3.Так же не забываем, что если софт использует кучу мелких пакетов, это тоже покажет меньшую производительность.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

12 Mbps было между двумя DFL-800.
Исходя из вышесказанного и сравнивая производительность DFL-800 (производительность VPN у вас на сайте для этого device отсутствует) и DFL-210 у меня должно было получиться не менее 25Mbps, а не 10-12.
Или я что-то недопонимаю?
MTU уменьшал до 1400 - эффект тот же. Тестовый сетевой флуд по тестируемому порту - стандартный для iperf по 8 kb на сегмент.

Добрый день!

А ни кто не проверял производительность IPSec в зависимости от прошивки, на эту мысль натолкнуло следующее: У нас используются два DFL-210 для соединения офиса и филиала,прошивки на них старенькие 2.05.00. так в реальных условиях закачка тестового файла в 100М дает чуть больше 20 мегабит,3DES,MD5.Куплено ещё два DFL-210 c 2.26 тупо перенёс настройки ручкими(не через бекап) и получил 11 мегабит, Перешиваю их на 2.20.02 и вижу уже 12 мегабит! Дальше проверить не было времени, сроки поджимали,стоят пока с 2.20. Так может чего в прошивках подрезали?