iT邦幫忙

0

連線SSLVPN後跑程式很慢

最近又遇到新的問題了,又上來請益了
之前將主機放在A,然後從B跟C在別的地方,是用forti的SSLVPN做連線,然後執行程式
程式的資料匣大小大概就800MB了,本來就不快了
最近將主機搬回來B以後,再架一台國產防火牆設定SSL VPN,C地點的USER說覺得更慢了
今天有做測試,用手機熱點連SSLVPN以後,抓檔案大概每秒2~4MB
搬回來的時候有在A跟B做防火牆之間的IPSec VPN連線
剛剛測試抓一樣的檔案大概每秒4~5MB
這樣看起來如果要快一點就是要走專線或是用遠端桌面連線了嗎?

runan5678 iT邦新手 2 級 ‧ 2019-04-16 10:21:56 檢舉
上下傳線路頻寬?
所以你的意思是不是想說,C本來用IPsec跟A連線,現在改成用SSL VPN跟B連線發現下載變慢了???
假設我上述說的是對的,那很簡單
你本來用的是IPsec,網路層加密所以傳輸會比較快,多人一起下載的時候也比較不會受到影響。
但是後來你改成SSL VPN,這是靠應用層也就是CPU來加密的,越多人用越慢!

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2019-04-15 19:43:44

首先,Fortigate的機型決定加解密晶片的處理速度
所以,樓主不管用IPsecVPN或SSL-VPN都會有關

再來,國產或它牌VPN,多半都是用CPU及memory做加解密
如果你查一下它的CPU跟RAM就可以猜想到效能
再加上如果系統沒有優化這一塊,效能就更差

其次,兩個不同牌的VPN,即便用相同加密法(如3des)
但各家自有各家的演算方式
所以F牌與它牌做IPsecVPN,
很可能不能用到晶片加速的能力(等於回到軟體方式)
即便會通,穩定度與效能也不會最佳化

最後,不是只能用Fortigate
還有F牌的FortiWAN,FortiADC
採用tunnel route的模式既可加速又可備援
樓主的程式及系統也有關
如果原先就有加密傳輸則會更顯緩慢

zyman2008 iT邦大師 8 級 ‧ 2019-04-15 19:56:09 檢舉

所以F牌與它牌做IPsecVPN,
很可能不能用到晶片加速的能力(等於回到軟體方式)
即便會通,穩定度與效能也不會最佳化

如果proporsal設定是FGT端有支援硬體加速的演算法,在FGT端的加解密應該還是跑硬體加速吧.

mytiny iT邦大師 1 級 ‧ 2019-04-16 00:48:24 檢舉

按在下經驗來說,演算法等級越高
因為點對點,對等式的加解密,
加上各家設備於加解密過程演算參數可能略有差異
因而可能單一方向晶片處理並不能產生較快處理速度
有時造成無法完成金鑰處理的過程而不能建立tunnel
此時最常用的方法就是降低加密等級,例如改用MD5
(或是採用專屬的client端,如Forticlient或Fortigate)
在下未對金鑰演算作深入研究,無法得知技術細節
只能憑經驗作上述揣測
還望網上前輩予以指正

我要發表回答

立即登入回答