Более быстрый, безопасный, протокол / код, необходимый для передачи на большие расстояния
Я столкнулся с проблемой и ищу новый безопасный протокол / клиент / сервер, который быстрее по оптоволоконной линии 1 Гбит / с - позвольте мне рассказать вам историю...
- У меня есть пара избыточных каналов разной маршрутизации со скоростью 1 Гбит / с на расстоянии около 250 миль или около того (не темное волокно, а выделенная линия точка-точка, а не сетка).
- На стороне "клиента" у меня есть HP DL380 G5 (2 x двухъядерных 2,66 ГГц Xeon's, 4 ГБ, Windows 2003EE 32-bit), на стороне "сервера" у меня есть HP BL460c G6 (2 x четырехъядерных 2.53Ghz Xeons, 48 ГБ, Oracle Linux 5.3, 64-разрядная).
- Мне нужно передавать около 500 x 2 ГБ файлов в неделю с клиента на серверные машины в неделю - но передача должна быть безопасной.
- Используя как iPerf, так и обычный FTP, я могу получать примерно 80 МБ / с передачи достаточно стабильно, и это здорово.
- Используя WinSCP или Windows SFTP, я не могу получить больше, чем ~3-4 МБ / с, в этот момент ЦП сервера>3% занят, в то время как ЦП клиента составляет 30%. Мы пытались редактировать окна разных размеров TCP без особого успеха.
Оба конца подключены к довольно мало используемым Cisco Cat6509 с Sup720.
Я могу заменить клиентский компьютер более новым и / или перенести его на Linux - но это займет время.
Очевидно, что эти однопоточные защищенные клиенты Windows вносят слишком большую задержку при шифровании.
Итак, несколько вопросов / мыслей;
- Могу ли я попробовать какие-нибудь более эффективные безопасные протоколы или клиентское программное обеспечение для Windows? Я довольно гностик по протоколу, пока он работает между Windows и Linux.
- Должен ли я использовать аппаратное обеспечение для шифрования на клиентских или сетевых участках? Если так, что бы вы порекомендовали?
- Я не уверен, что простая замена сервера была бы намного быстрее, загрузка процессора составляла всего 30%, но опять-таки это больше, чем я ожидал, учитывая нагрузку - лучше перейти на Linux на стороне клиента но было бы довольно разрушительным.
- Я пропускаю трюк?
Заранее спасибо.
2 ответа
Я никогда не использовал это, но этот модуль, который работает с Catalyst 6500s, утверждает, что он может делать 2,5 Гбит / с IPSEC на проводе. По крайней мере, с помощью маршрутизаторов Cisco вы также можете ограничить область применения IPSec для пары IP/ порт, но, похоже, в любом случае было бы хорошо зашифровать все ".
Отказоустойчивость VPN и высокая доступность. Используя инновационные функции, такие как восстановление состояния после отказа для IPSec и GRE, HSRP + RRI, DPD и поддержку динамических обновлений маршрутизации через туннели между сайтами, Cisco IPSec VPN SPA обеспечивает превосходную отказоустойчивость VPN и высокая доступность.
Высокая производительность VPN обеспечивает пропускную способность IPSec AES и 3DES до 2,5 Гбит / с с большими пакетами и 1,6 Гбит / с с трафиком Internet Mix (IMIX).
Это явно не дешевый вариант (может быть, с открытым исходным кодом), но с двумя ссылками 1 Гб, похоже, у вас, ребята, есть немного денег.
(Я чувствую, что работаю на маркетинг Cisco внезапно.)
У вас также есть возможность получить встроенный Windows IPSec для общения с IPSec в Linux (что-то вроде OpenSwan). Я был бы удивлен, если бы это "только работало" все же.
Сожмите и зашифруйте файлы на месте, а затем перенесите зашифрованные копии с помощью вашего известного высокоскоростного "iPerf или обычный FTP". При необходимости добавьте дополнительный небольшой файл с ключом шифрования или необходимыми ключами. Этот ключевой файл может быть передан с помощью scp или sftp, потому что он будет настолько маленьким, что снижение производительности не будет иметь значения.
Другой вариант: пробовали ли вы ftps Vice SFTP и SCP? Я не знаю, есть ли общая разница в скорости (в целом она должна быть небольшой, но конкретные библиотеки / клиенты / серверы, которые вы используете, могут иметь значение).
Вы сделали правильную вещь, проверив загрузку процессора и, в действительности, по-настоящему ища причину снижения производительности. Исходя из того, что вы сказали, аппаратное шифрование или обновление сервера не помогут, хотя, если вы хотите, чтобы весь трафик между вашими сайтами был приватным, настройка VPN через аппаратное или программное обеспечение означала бы, что вы можете настроить его один раз и не беспокоиться об этом.