正文共:666 字 13 图,预估阅读时间:1 分钟
strongSwan是一个开源的基于IPsec的VPN解决方案,我计划是将strongSwan部署在CentOS系统中,但是这中间涉及到一个小问题,那就是strongSwan网关的子网怎么处理?
后来想到Linux系统能够开启转发功能,之前的服务器上云也是这么配置的(成本增加了100块,内网服务器上公网解决方案2.0重磅来袭!),要不说Linux系统被厂商拿来二次开发作为网络设备使用呢。
命令也是非常简单,只要把系统的IP转发功能打开就行了,配置文件为/proc/sys/net/ipv4/ip_forward,默认值为0,表示设备不参与IP转发。
我们先按照下图所示将两台Linux主机(4核CPU、4 GB内存)连接起来,用iperf3测一下转发性能。
得到直连时转发带宽约为10.9 Gbps。
然后在两台主机之间串接一台Linux主机(4核CPU、4 GB内存),如下如所示:
分别配置好接口地址和路由,测试Host1和Host2的互通情况。
可以看到Host2主机上有去往Host1的路由,下一跳也是通的,但是无法到达Host1。
从Host1上测试访问Host2的结果也是一样的。此时我们打开主机Linux1的IP转发功能。
echo 1 > /proc/sys/net/ipv4/ip_forward
再次测试状态就正常了。
此时用iperf3测试一下转发性能,Host2作为服务器端,打流一分钟。
性能大概是7.38 Gbps,还记得上次VSR的转发性能是6.5 Gbps左右(常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等))。期间查看Linux1主机的性能消耗,发现CPU最大利用率为23 %,内存无明显增长。
然后服务器和客户端对调测试一下,打流一分钟。
性能大概是5.45 Gbps。期间查看Linux1主机的性能消耗,发现CPU最大利用率为1.3%,内存无明显增长。应该是Linux1主机偷懒了。
要测试strongSwan,就要再加一台主机,组网拓扑改成下图这样。
配置完成之后测试Host1到Host2的连通性。
此时用iperf3测试一下转发性能,Host2作为服务器端,打流一分钟。
性能大概是6.97 Gbps,相比单台Linux主机转发的7.38 Gbps性能仅下降5.5%。然后服务器和客户端对调测试一下,打流一分钟。
得到转发性能大概是5.48Gbps,比只接一台Linux主机的5.45 Gbps甚至要高出一点点。整体而言,比两台VSR串接的2 Gbps要高出几倍了。
好了,环境保留,改天继续测试strongSwan。
长按二维码
关注我们吧
常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等)
HCL中虚拟设备的转发性能怎么样?今天我们来测一下
如何在VirtualBox上装一台CentOS虚拟机
strongSwan之ipsec.conf配置手册
使用IKEv2配置IPsec,能更快吗?
一篇能解决90%以上SSL VPN问题的武林秘籍
对VNF进行测试时有哪些注意事项?
 -- 可变参数模版和lambda)
)
