IPSEC over VSAT

[enceladus]

Szyfrowanie transmisji przez łącza VSAT znakomicie (20-40%) - ( GRE over IPSEC )spowalnia pracę aplikacji - pytanie czy macie doświadczenie odnośnie takich konfiguracji ? Jakie mechanizmy szyfrowania pozwolą na dobrą pracę ?
Tutaj jest wyjaśnienie dlaczego pojawia się spowolnienie: http://news.ecoustics.com/bbs/messages/ ... 27542.html

[gaph]

Kup Spacenet Prysm Application Enabler - akceleruje TCP (przed zaszyfrowaniem) w sprzężeniu z routerem wyposażonym w NM-1VSAT.

pozdrawiam

[pjeter]

Hmm, zastanowil bym sie takze nad:
http://www.cisco.com/en/US/products/ps6 ... 8218c.html
W zaleznosci od typu aplikacji AFAIR mozna dokupic kolejne licencje i dostac jeszcze wiekszego kopa (od defaultowej kompresji TCP/IP). Na ostatnim klubie prelegencji zachwycali sie ww. produktem i cytowali przyspieszenie do 50-100x ;) np. Citrixa czy CIFSa(samba). (Ja tylko cytuje ;)). Ma podobno jakies super nowatorskie algorytmy budowania slownikow.

PJ

[enceladus]

Zmieniłem tunnel mode na transport mode, 3des/sha na 3des/md5, zmniejszyłem MTU w tunelu GRE i jest lepiej, tzn mam czasy odpowiedzi na poziomie 600-1200ms, zamiast 1500-2500.
Jutro/dziś powalczę jeszcze, ale rokowania są całkiem dobre Sprawdzę z DMVPNem.

gaph, pjeter proponujecie rozwiązania sprzętowe, ja mam możliwość tylko tuningu

[pjeter]

zmniejszyłem MTU w tunelu GRE

IP MTU - jesli sie moge przczepic ;)

Po tym gre chodzi ci dynamiczny routing , cos oprocz IP ? Jak nie to wywal GRE i zostaw sam ipsec w tunnel mode (sprobowac mozna - zawsze to troszke mniej niz GRE + transport, I guess).

No i koniecznie trzeba sprobowac 'comp-lzs' na transform-setach z obu stron - jesli tylko masz akceleratory albo bardzo maly ruch.

PJ

[enceladus]

IP MTU - jesli sie moge przczepic

Możesz - zastosowałem "brutalne" uproszczenie

Po tym gre chodzi ci dynamiczny routing , cos oprocz IP ? Jak nie to wywal GRE i zostaw sam ipsec w tunnel mode (sprobowac mozna - zawsze to troszke mniej niz GRE + transport, I guess).

Dynamiczny darowałem sobie na wstępie, zbyt prosta struktura - w centrali jest tylko redystrybucja static-ów. Robienie tego bez GRE nie nastawia mnie optymistycznie - to takie struganie zapałek toporem
Chyba policzę na sucho każdą kombinację, ile mają narzutu.

No i oczywiscie mozna sprobowac 'comp-lzs'

niestety w centrali nie jest wspierany już sprawdzałem.

[kktm]

Szyfrowanie transmisji przez łącza VSAT znakomicie (20-40%) - ( GRE over IPSEC )spowalnia pracę aplikacji - pytanie czy macie doświadczenie odnośnie takich konfiguracji ? Jakie mechanizmy szyfrowania pozwolą na dobrą pracę ?
Tutaj jest wyjaśnienie dlaczego pojawia się spowolnienie: http://news.ecoustics.com/bbs/messages/ ... 27542.html

hej, szyfracja na pewno pomoze to pewne, zwroc jeszcze uwage na drugi czynnik, ktory wg. mnie jest glowna przyczyna twojego problemu. Chodzi mi o ruch TCP. Problem tu jest z potwierdzaniem segmentow za kazdym razem przez protokol. Niby masz siec szybka (duzy bandwith), ale jednoczesnie wolna (duzy delay) , to sie nazywa "fat network" czy jakos tak.

Wyguglaj czy na twoich koncowkach mozesz zwiekszyc rozmiar okna dla tcp, to na pewno pomoze. rozmiar zgodnie z jakims rfc moze miec wiecej niz 2 bajty.
Na routerze jest to komenda ip tcp window-size- ale z routera po tcp nic nie bedziesz za duzo wysylal wiec mozna ja darowac.

EDIT: zamiast szyfracji mialem w glowie kompresje- o to mi chodzilo

[enceladus]

Znalazłem ciekawe FAQ związane z tematem - może ktoś będzie potrzebował:
http://www.spidersat.net/faqs_ip_over_satellite.htm