連線SSLVPN後跑程式很慢

sslvpn

ta456 2019-04-15 17:03:56 ‧ 4834 瀏覽

分享至

最近又遇到新的問題了，又上來請益了
之前將主機放在A，然後從B跟C在別的地方，是用forti的SSLVPN做連線，然後執行程式
程式的資料匣大小大概就800MB了，本來就不快了
最近將主機搬回來B以後，再架一台國產防火牆設定SSL VPN，C地點的USER說覺得更慢了
今天有做測試，用手機熱點連SSLVPN以後，抓檔案大概每秒2~4MB
搬回來的時候有在A跟B做防火牆之間的IPSec VPN連線
剛剛測試抓一樣的檔案大概每秒4~5MB
這樣看起來如果要快一點就是要走專線或是用遠端桌面連線了嗎?

runan5678 iT邦研究生 1 級 ‧ 2019-04-16 10:21:56 檢舉

上下傳線路頻寬?

納貝 iT邦新手 1 級 ‧ 2019-04-16 15:38:02 檢舉

所以你的意思是不是想說，C本來用IPsec跟A連線，現在改成用SSL VPN跟B連線發現下載變慢了???
假設我上述說的是對的，那很簡單
你本來用的是IPsec，網路層加密所以傳輸會比較快，多人一起下載的時候也比較不會受到影響。
但是後來你改成SSL VPN，這是靠應用層也就是CPU來加密的，越多人用越慢！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2019-04-15 19:43:44

首先，Fortigate的機型決定加解密晶片的處理速度
所以，樓主不管用IPsecVPN或SSL-VPN都會有關

再來，國產或它牌VPN，多半都是用CPU及memory做加解密
如果你查一下它的CPU跟RAM就可以猜想到效能
再加上如果系統沒有優化這一塊，效能就更差

其次，兩個不同牌的VPN，即便用相同加密法(如3des)
但各家自有各家的演算方式
所以F牌與它牌做IPsecVPN，
很可能不能用到晶片加速的能力(等於回到軟體方式)
即便會通，穩定度與效能也不會最佳化

最後，不是只能用Fortigate
還有F牌的FortiWAN，FortiADC
採用tunnel route的模式既可加速又可備援
樓主的程式及系統也有關
如果原先就有加密傳輸則會更顯緩慢

回應 2
分享
檢舉

zyman2008 iT邦大師 6 級 ‧ 2019-04-15 19:56:09 檢舉

所以F牌與它牌做IPsecVPN，
很可能不能用到晶片加速的能力(等於回到軟體方式)
即便會通，穩定度與效能也不會最佳化

如果proporsal設定是FGT端有支援硬體加速的演算法,在FGT端的加解密應該還是跑硬體加速吧.

mytiny iT邦超人 1 級 ‧ 2019-04-16 00:48:24 檢舉

按在下經驗來說，演算法等級越高
因為點對點，對等式的加解密，
加上各家設備於加解密過程演算參數可能略有差異
因而可能單一方向晶片處理並不能產生較快處理速度
有時造成無法完成金鑰處理的過程而不能建立tunnel
此時最常用的方法就是降低加密等級，例如改用MD5
(或是採用專屬的client端，如Forticlient或Fortigate)
在下未對金鑰演算作深入研究，無法得知技術細節
只能憑經驗作上述揣測
還望網上前輩予以指正