2019年6月3日 / 最終更新日 : 2019年6月4日 nosense ネットワーク機器

FortiGate 60DのIPsecスループット

FortiGate 60DのIPsecのスループットを測定してみました。L2TP/IPsecでは揮わなかったFortiGate 60Dですが、データシート上はIPsecのスループットが1Gbps(512byte)と記載があり、なんとかこのスピード近くでIPsec接続をしてみたいところです。

計測環境

FortiGate 60DとDebian9をIPsecで接続し、それぞれにぶら下げたCentOS7 Aをiperf3のクライアント、CentOS7 Bをiperf3のサーバーとして、スループットの測定を行います。FortiGate 60Dのファームウェアはv6.0.5となります。

計測結果

CentOS Aでiperf3の実行した結果が以下となります。無負荷時の消費電力はTAP-TST10での目測値で7.8Wとなります。

receiver sender
暗号化 Mbps CPU 消費電力 Mbps CPU 消費電力
AES128-SHA1 904 5% 8.1W 823 5% 8.1W
AES256-SHA1 904 4% 8.1W 825 5% 8.1W
AES128-SHA256 901 2% 8.1W 839 2% 8.1W
AES256-SHA256 901 4% 8.1W 855 3% 8.1W

900Mbpsオーバー。FortiGate 60D、めっちゃ速いですっ。

カタログスペックのIPsec 1Gbpsは嘘偽りではなかったです。ライセンス切れの中古なら、ヤフオクでわずか3,000円前後で入手可能のマシンの性能とは思えません。PPPoEのスループットが174Mbpsしか出ないことや、L2TP/IPsecのスループットが42.9Mbpsしか出ないことと比較したときのこのアンバランス感がなんとも言えません。PPPoEのスループットが遅かったので、我が家ではFortiGate 60Dはずっと倉庫に眠ってましたが、何か利用の余地を考慮する必要がありそうです。スループットの問題からPPPoEは他のルーターに任せる必要があるので、その点は構成を考る必要はありますけど。

FortiGate 60DのConfig

テストに使ったFortiGate 60Dのconfigは以下の通りです。fortigate.example.comはFortiGate 60Dのwan1アドレス、debian.example.comはDebian9のeth0アドレスを検証環境のDNSに登録しています。

config vpn ipsec phase1-interface
    edit "to Debian"
        set type ddns
        set interface "wan1"
        set ike-version 2
        set proposal aes128-sha1
        set localid "fortigate.example.com"
        set dhgrp 2
        set remotegw-ddns "debian.example.com"
        set psksecret presharedkey
    next
end

config vpn ipsec phase2-interface
    edit "to Debian"
        set phase1name "to Debian"
        set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256
        set dhgrp 2
        set src-subnet 192.168.100.0 255.255.255.0
        set dst-subnet 192.168.200.0 255.255.255.0
    next
end

config firewall policy
    edit 2
        set srcintf "internal"
        set dstintf "to Debian"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
    edit 3
        set srcintf "to Debian"
        set dstintf "internal"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
    next
end

config router static
    edit 1
        set dst 192.168.200.0 255.255.255.0
        set device "to Debian"
    next
end

Debian9の設定

IPsecにはstrongSwan 5.5.1を使いました。テストでは暗号化の方法を変えてテストしていますが、FortiGate側のconfigは固定にし、strongSwan側のespの設定は以下の4パターンで変えながらテストを行っています。

  • esp=aes128-sha1!
  • esp=aes256-sha1!
  • esp=aes128-sha256!
  • esp=aes256-sha256!
IPsec関連(strongSwan)
# cat /etc/ipsec.conf

conn fortigate
        left=%defaultroute
        leftid=debian.example.com
        right=fortigate.example.com
        rightid=fortigate.example.com
        leftsubnet=192.168.200.0/24
        rightsubnet=192.168.100.0/24
        keyexchange=ike
        authby=secret
        type=tunnel
        ike=aes128-sha1-modp1024!
        esp=aes128-sha1!
        reauth=no
        auto=start
        keyingtries=%forever

# cat /etc/ipsec.secrets

: PSK "presharedkey"
カテゴリー
ネットワーク機器

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です