RTX830のIPsecスループット

YAMAHA RTX830のIPsecのスループットを測定してみました。直結での計測なので実際の利用時のスピードを測るものではなく、ルーターの性能評価を行うものです。

計測環境

RTX830とDebian9をIPsecで接続し、それぞれにぶら下げたCentOS7 Aをクライアント、CentOS7 Bをサーバーとして、iperf3を実行しスループットの測定を行います。RTX830のファームウェアはRev.15.02.13です。

計測結果

トンネルのMTUを1438とし、CentOS Aでiperf3の実行した結果が以下となります。消費電力はTAP-TST10での目測値で無負荷時は4.4Wとなります。

receiver sender
暗号化 Mbps CPU 消費電力 Mbps CPU 消費電力
AES128-SHA1 897 32% 4.8W 820 43% 4.9W
AES256-SHA1 900 32% 4.8W 822 50% 4.8W
AES128-SHA256 803 30% 4.8W 798 27% 4.7W
AES256-SHA256 728 30% 4.8W 789 25% 4.8W

receiverの結果はCentOS7 Aから見てダウンロード方向、senderの結果はCentOS7 Aから見てアップロード方向の計測結果となります。RTX1210の結果と比較すると、SHA1の場合は悪い値となり、SHA256の場合には良い値となっています。

RTX830のConfig

テストに使ったRTX830のconfigは以下の通りです。IKEv2での接続としており、MTUは本検証環境では最適値となる1438に設定しております(NAT-Tなし+AES+PPPoEなし)。YAMAHAの場合にはtunnelのmtuを明示で指定しないと安全控えめの1280が自動設定されてしまい、スループットが出ませんので。

rtx830.example.comはRTX830のLAN2アドレス、debian1.example.comはDebian9のeth0アドレスを検証環境のDNSに登録しています。

ip route default gateway dhcp lan2
ip route 192.168.200.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
ip lan2 address dhcp
ip lan2 secure filter in 1000 1010 1020 2000
ip lan2 secure filter out 3000 dynamic 100 101
ip lan2 nat descriptor 1
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp
  ipsec ike version 1 2
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on
  ipsec ike local name 1 rtx830.example.com fqdn
  ipsec ike pre-shared-key 1 text presharedkey
  ipsec ike remote name 1 debian1.example.com fqdn
 ip tunnel mtu 1438
 ip tunnel tcp mss limit auto
 tunnel enable 1
ip filter 1000 pass * 192.168.100.0/24 icmp
ip filter 1010 pass * 192.168.100.1 udp * 500,4500
ip filter 1020 pass * 192.168.100.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * tcp
ip filter dynamic 101 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 udp 4500
nat descriptor masquerade static 1 3 192.168.100.1 esp
ipsec auto refresh on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

Debian9の設定

IPsecにはstrongSwan 5.5.1を使いました。テストでは暗号化の方法を変えてテストしていますが、RTX830側のconfigは固定にし、strongSwan側のespの設定は以下の4パターンで変えながらテストを行っています。

  • esp=aes128-sha1!
  • esp=aes256-sha1!
  • esp=aes128-sha256!
  • esp=aes256-sha256!
IPsec関連(strongSwan)
# cat /etc/ipsec.conf

conn rtx830
        left=%defaultroute
        leftid=debian1.example.com
        right=rtx830.example.com
        rightid=rtx830.example.com
        leftsubnet=192.168.200.0/24
        rightsubnet=192.168.100.0/24
        keyexchange=ike
        authby=secret
        type=tunnel
        ike=aes128-sha1-modp1024!
        esp=aes128-sha1!
        reauth=no
        auto=start
        keyingtries=%forever

# cat /etc/ipsec.secrets

: PSK "presharedkey"

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です