IPSEC over VSAT
IPSEC over VSAT
Szyfrowanie transmisji przez łącza VSAT znakomicie (20-40%) - ( GRE over IPSEC )spowalnia pracę aplikacji - pytanie czy macie doświadczenie odnośnie takich konfiguracji ? Jakie mechanizmy szyfrowania pozwolą na dobrą pracę ?
Tutaj jest wyjaśnienie dlaczego pojawia się spowolnienie: http://news.ecoustics.com/bbs/messages/ ... 27542.html
Tutaj jest wyjaśnienie dlaczego pojawia się spowolnienie: http://news.ecoustics.com/bbs/messages/ ... 27542.html
<: Enceladus :>
- gaph
- CCIE / Instruktor CNAP
- Posty: 419
- Rejestracja: 23 lip 2004, 21:16
- Lokalizacja: Wrocław, Polska
- Kontakt:
Re: IPSEC over VSAT
Kup Spacenet Prysm Application Enabler - akceleruje TCP (przed zaszyfrowaniem) w sprzężeniu z routerem wyposażonym w NM-1VSAT.
pozdrawiam
pozdrawiam
| Few people know what actually goes on in the CCIE Lab, it's shrouded in mystery |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |
| and of course there's the NDA. | Sometimes our friends go to the lab |
| and return CCIEs. | Sometimes they don't return at all. |
Hmm, zastanowil bym sie takze nad:
http://www.cisco.com/en/US/products/ps6 ... 8218c.html
W zaleznosci od typu aplikacji AFAIR mozna dokupic kolejne licencje i dostac jeszcze wiekszego kopa (od defaultowej kompresji TCP/IP). Na ostatnim klubie prelegencji zachwycali sie ww. produktem i cytowali przyspieszenie do 50-100x ;) np. Citrixa czy CIFSa(samba). (Ja tylko cytuje ;)). Ma podobno jakies super nowatorskie algorytmy budowania slownikow.
PJ
http://www.cisco.com/en/US/products/ps6 ... 8218c.html
W zaleznosci od typu aplikacji AFAIR mozna dokupic kolejne licencje i dostac jeszcze wiekszego kopa (od defaultowej kompresji TCP/IP). Na ostatnim klubie prelegencji zachwycali sie ww. produktem i cytowali przyspieszenie do 50-100x ;) np. Citrixa czy CIFSa(samba). (Ja tylko cytuje ;)). Ma podobno jakies super nowatorskie algorytmy budowania slownikow.
PJ
Zmieniłem tunnel mode na transport mode, 3des/sha na 3des/md5, zmniejszyłem MTU w tunelu GRE i jest lepiej, tzn mam czasy odpowiedzi na poziomie 600-1200ms, zamiast 1500-2500.
Jutro/dziś powalczę jeszcze, ale rokowania są całkiem dobre Sprawdzę z DMVPNem.
gaph, pjeter proponujecie rozwiązania sprzętowe, ja mam możliwość tylko tuningu
Jutro/dziś powalczę jeszcze, ale rokowania są całkiem dobre Sprawdzę z DMVPNem.
gaph, pjeter proponujecie rozwiązania sprzętowe, ja mam możliwość tylko tuningu
<: Enceladus :>
IP MTU - jesli sie moge przczepic ;)enceladus pisze:zmniejszyłem MTU w tunelu GRE
Po tym gre chodzi ci dynamiczny routing , cos oprocz IP ? Jak nie to wywal GRE i zostaw sam ipsec w tunnel mode (sprobowac mozna - zawsze to troszke mniej niz GRE + transport, I guess).
No i koniecznie trzeba sprobowac 'comp-lzs' na transform-setach z obu stron - jesli tylko masz akceleratory albo bardzo maly ruch.
PJ
Ostatnio zmieniony 19 gru 2006, 00:46 przez pjeter, łącznie zmieniany 1 raz.
Możesz - zastosowałem "brutalne" uproszczeniepjeter pisze: IP MTU - jesli sie moge przczepic
Dynamiczny darowałem sobie na wstępie, zbyt prosta struktura - w centrali jest tylko redystrybucja static-ów. Robienie tego bez GRE nie nastawia mnie optymistycznie - to takie struganie zapałek toporempjeter pisze: Po tym gre chodzi ci dynamiczny routing , cos oprocz IP ? Jak nie to wywal GRE i zostaw sam ipsec w tunnel mode (sprobowac mozna - zawsze to troszke mniej niz GRE + transport, I guess).
Chyba policzę na sucho każdą kombinację, ile mają narzutu.
niestety w centrali nie jest wspierany już sprawdzałem.pjeter pisze: No i oczywiscie mozna sprobowac 'comp-lzs'
<: Enceladus :>
Re: IPSEC over VSAT
hej, szyfracja na pewno pomoze to pewne, zwroc jeszcze uwage na drugi czynnik, ktory wg. mnie jest glowna przyczyna twojego problemu. Chodzi mi o ruch TCP. Problem tu jest z potwierdzaniem segmentow za kazdym razem przez protokol. Niby masz siec szybka (duzy bandwith), ale jednoczesnie wolna (duzy delay) , to sie nazywa "fat network" czy jakos tak.enceladus pisze:Szyfrowanie transmisji przez łącza VSAT znakomicie (20-40%) - ( GRE over IPSEC )spowalnia pracę aplikacji - pytanie czy macie doświadczenie odnośnie takich konfiguracji ? Jakie mechanizmy szyfrowania pozwolą na dobrą pracę ?
Tutaj jest wyjaśnienie dlaczego pojawia się spowolnienie: http://news.ecoustics.com/bbs/messages/ ... 27542.html
Wyguglaj czy na twoich koncowkach mozesz zwiekszyc rozmiar okna dla tcp, to na pewno pomoze. rozmiar zgodnie z jakims rfc moze miec wiecej niz 2 bajty.
Na routerze jest to komenda ip tcp window-size- ale z routera po tcp nic nie bedziesz za duzo wysylal wiec mozna ja darowac.
EDIT: zamiast szyfracji mialem w glowie kompresje- o to mi chodzilo
Ostatnio zmieniony 19 gru 2006, 11:12 przez kktm, łącznie zmieniany 1 raz.
"Trust no one"
Znalazłem ciekawe FAQ związane z tematem - może ktoś będzie potrzebował:
http://www.spidersat.net/faqs_ip_over_satellite.htm
http://www.spidersat.net/faqs_ip_over_satellite.htm
<: Enceladus :>