rabbit51

it's since Nov.30 2005
May.29 2014, transferred from broach

NVR500 L2TP/IPsecの最大VPN回線速度計測

2019-08-18 12:40:00 | NVR500
2011年9月にNVR500を導入して約8年が経過しようとしている。VPN(L2TP/IPsec)が2017年10月に追加されたが「IPv6未対応」であった。後継機NVR510も調べてみたが、VPN(L2TP/IPsec)は「IPv6」未対応で「L2TPv3」「IPsec」にも未対応であった。ひかり電話対応で「L2TPv3」「IPsec」対応機は、NVR700Wしか無い。。。NVR700W(¥100,500-)>=NVR510(¥37,000 ~ ¥38,800-)+RTX830(¥48,000- )の市場価格(2019年8月現在)。
どうしたものか考慮中にRTX810のスループット測定を見つけた。イントラネット内のスループット計測をしてみた。

ネットワーク構成は、ひかり電話用のホームゲートウェイ(PR-S300SE)配下にNVR500+GS116E(L2スイッチ)とWZR-HP-G300NHにOpenWrt(18.06.1)+StrongSwan(5.6.3-3)をインストールしたIKEv2 VPNサーバー。L2TP/IPsecとIKEv2のスループットを計測するため「172.24.0.0/16」のネットワークをNVR500のLAN2へsecondary addressを設定してVPN端末接続用GBT回線を設定した(192.168.1.0/24と共用NWとなるが、今回の測定に影響なしと推定した)。スループットは、IPv4だけ測定するため、IKEv2 over IPv6は、「2409:10:XXXX:YY00::/64」から「2409:10:XXXX:YY20::12:1/64」へ接続し、IPv4 over IKEv2 over IPv6のスループットを計測した。
スループットは、「iperf」を使用し、サーバとクライアント間で計測する。各計測機器用のバイナリーを使用した。
サーバは、CPU=Intel Core i7-2600 @ 3.40GHz, Memory=8Gbytes, Windows7Professional 64bitOS
クライアントは、Macbook pro(CPU=Intel Core i7-2.3GHz, Memory=16Gbytes, macOS Mojave)で計測した。
計測対象のネットワーク機器のMTUは「ぷららIPv6 IPoE環境のMTU確認」。

サーバのNWインターフェースを含まないスループット

クライアントのNWインターフェースを含まないスループット


(1)GS116Eポート間スループット
Macbook proをGS116Eポートに接続し、ポート間スループットを計測


(2)GS116Eポート - NVR500-LAN1 - NVR500-LAN2間スループット
L2スイッチに加えNVR500のルーティングが加わったスループット


定時的(5分間隔)に動作しているspeed-testと重なると2ポート同時に接続するためスループットが落ちる


ds-216jからnvr500を経由してTransix DS-Lite(IPv4 over IPv6)のスループット計測


(3)GS116Eポート - NVR500 - OpenWrt 間スループット
GS116EポートからNVR500とOpenWrtのルーティングでWZR-HP-G300NHのLANポート間のスループット

NVR500のスループットが「913Mbps」程なのでWZR-HP-G300NHのルーティング・スループットと言える。

WZR-HP-G300NH(OpenWrt)単独ルーティングのスループット


計測上スループットが逆転している。WZR-HP-G300NHのスループットがおおよそ最大「250Mbps」程で、WZR-HP-G300NHの計測以外の通信とNVR500の計測以外の通信が重なり発生していると思われる。実環境でのスループット計測が原因。
それにしても、WZR-HP-G300NHのルーティング能力が低い。。。Buffaloのファームウェアだともっとスループットが高いのかな???
Buffalo特徴で「光回線が活かせる高速ルータ」という売りで「PPPoEスループット 約131Mbps」「FTPスループット 約151Mbps」としていたので妥当なルーティング・スループットかもしれない。この頃(2009年3月発売)は、まだ「ギガ・ファミリー(2014年7月開始)」が無かった頃なので妥当な仕様か。。。

(4)OpenWrt - SWポート間スループット
WZR-HP-G300NHのLAN1-4ポート間のスループット(L2スイッチ間のスループット)



(5)NVR500 L2TP/IPsecスループット
Macbook proを「172.24.0.0/16」のネットワークへ接続し、手動設定で「172.24.1.50/255.255.0.0」のIPを設定。ルーター(デフォルトルート)は、無指定とする。


NVR500に設定したsecondary address「172.24.1.2/16」をL2TP/IPsecのVPNサーバとして接続するよう設定


VPN接続(192.168.11.25として接続された)


VPN接続を確認


「192.168.1.56」のiperf3サーバとのスループット(171Mbps - IN/OUT@LAN2)


「192.168.11.23」のiperf3サーバとのスループット(174Mbps - IN@LAN2/OUT@LAN1)


「192.168.12.155」のiperf3サーバとのスループット(166Mbps - IN/OUT@LAN2 and OpenWrt)


RTX810 <-> Debian9+StrongSwan5.5.1のスループット(MTU=1350)」事例より若干良い値となった。計測した機器のMTUは、Macbook pro及びNVR500共に1280(インターフェースMTU-40がiperf3のデフォルトMSS)。RTX810とNVR500は、CPU・クロック共に同じ(ARM/450Mhz)、メモリ容量が異なる。NVR500のESP暗号化設定は、AES-CBC/SHA1-HMACなので条件は一緒。RTX1210のL2TP/IPsecのスループットを参考にするとmacOS MojaveのL2TP/IPsecの最大スループットもこれ以上と推定される。
--- 2019/9/3追記 「macOS MojaveのIKEv2 IPsec VPN最大回線速度計測」 ---

NVR500のL2TP/IPsecのスループット実力値が約174Mbpsと思われる。
--- 2019/8/19追記 ---
「NAPT」「Security Filter」が入っていなかった事が「差異」となった可能性がある。
「NAPT」を追加して確認
ip lan2 nat descriptor 10
nat descriptor type 10 masquerade
nat descriptor address outer 10 secondary
nat descriptor masquerade static 10 1 192.168.11.250 udp 500
nat descriptor masquerade static 10 2 192.168.11.250 esp
nat descriptor masquerade static 10 3 192.168.11.250 udp 4500



「NAPT+Filter」を追加して確認
ip lan2 secure filter in 100 101 102 103 104
ip lan2 secure filter out 110 111 112

ip filter 100 pass 172.24.1.50 192.168.11.250 udp * 500
ip filter 101 pass 172.24.1.50 192.168.11.250 esp * *
ip filter 102 pass 172.24.1.50 192.168.11.250 udp * 4500
ip filter 103 reject 172.24.0.0/16 * * * *
ip filter 104 pass * * * * *
ip filter 110 pass 192.168.11.250 172.24.1.50 * * *
ip filter 111 reject 192.168.11.250 172.24.0.0/16 * * *
ip filter 112 pass * * * * *



スループット「175Mbps」で変化なし。。。
約1.1~1.5倍の差異は何が原因。。。
---

(6)OpenWrt + StrongSwan IKEv2 スループット

15Mbps。
こんなスループットなんだ。。。


------------
NVR500 L2TP/IPsecの最大VPN回線速度計測 #3
NVR500 L2TP/IPsecの最大VPN回線速度計測 #2
NVR500 L2TP/IPsecの最大VPN回線速度計測
コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする