LANCOM Techpaper Routing-Performance



Ähnliche Dokumente
LANCOM Techpaper Routing Performance

LANCOM Techpaper Routing-Performance

LANCOM Techpaper Performance

LANCOM Techpaper Routing-Performance

LANCOM Techpaper Routing-Performance

LANCOM Techpaper Routing-Performance

Technical Note ewon über DSL & VPN mit einander verbinden

teamsync Kurzanleitung

Registrierung eines VPN-Zuganges ins Hamnet

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

Anleitung zur Nutzung des SharePort Utility

Anleitung über den Umgang mit Schildern

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Bundesverband Flachglas Großhandel Isolierglasherstellung Veredlung e.v. U g -Werte-Tabellen nach DIN EN 673. Flachglasbranche.

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

WLAN Konfiguration. Michael Bukreus Seite 1

LANCOM Techpaper Performance-Analyse der LANCOM Router

Modellbildungssysteme: Pädagogische und didaktische Ziele

Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten

Güte von Tests. die Wahrscheinlichkeit für den Fehler 2. Art bei der Testentscheidung, nämlich. falsch ist. Darauf haben wir bereits im Kapitel über

Professionelle Seminare im Bereich MS-Office

Einrichtung des GfT Leitsystems für GPRS Verbindungen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Anbindung des eibport an das Internet

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Multimedia und Datenkommunikation

STRATO Mail Einrichtung Android 4.4

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

Technical Note Nr. 101

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

STRATO Mail Einrichtung Mozilla Thunderbird

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Simulation LIF5000. Abbildung 1

WinVetpro im Betriebsmodus Laptop

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

Hilfedatei der Oden$-Börse Stand Juni 2014

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

C.M.I. Control and Monitoring Interface. Zusatzanleitung: Datentransfer mit CAN over Ethernet (COE) Version 1.08

Benutzerhandbuch bintec R1200 / R1200w(u) / R3000 / R3000w / R3400 / R3800(wu) GRE

Zwischenablage (Bilder, Texte,...)

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.

Erfahrungen mit Hartz IV- Empfängern

Installation OMNIKEY 3121 USB

Netzwerkeinstellungen unter Mac OS X

QM: Prüfen -1- KN

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Cisco AnyConnect VPN Client - Anleitung für Windows7

Artenkataster. Hinweise zur Datenbereitstellung. Freie und Hansestadt Hamburg. IT Solutions GmbH. V e r s i o n

Standortbericht bintec elmeg GmbH

Lizenzierung von SharePoint Server 2013

Zahlenwinkel: Forscherkarte 1. alleine. Zahlenwinkel: Forschertipp 1

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Primzahlen und RSA-Verschlüsselung

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Synchronisations- Assistent

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

SO FUNKTIONIERT DIE VERBINDUNG MIT LIFETIME TOMTOM TRAFFIC

Schnellstart - Checkliste

OECD Programme for International Student Assessment PISA Lösungen der Beispielaufgaben aus dem Mathematiktest. Deutschland

Virtual Private Network. David Greber und Michael Wäger

Lizenzierung von SharePoint Server 2013

Anleitung zum Umwandeln des TL-WR841N Routers in einen Freifunk-Knoten*

Statistische Auswertung:

3D-Konstruktion Brückenpfeiler für WinTrack (H0)

Anleitung. Verschieben des alten -Postfachs (z.b. unter Thunderbird) in den neuen Open Xchange-Account

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Laufzeit-Vergleich verschiedener Switching-Technologien im Automatisierungs-Netz

Lizenzierung von StarMoney 10 bzw. StarMoney Business 7 durchführen

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Informationen zum neuen Studmail häufige Fragen

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Statuten in leichter Sprache

Dynamisches VPN mit FW V3.64

Umfrage der Klasse 8c zum Thema "Smartphones"

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Internet online Update (Mozilla Firefox)

Welche Lagen können zwei Geraden (im Raum) zueinander haben? Welche Lagen kann eine Gerade bezüglich einer Ebene im Raum einnehmen?

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Guide DynDNS und Portforwarding

SCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...

Einfache Varianzanalyse für abhängige

Buchhaltung mit WISO EÜR & Kasse 2011

Webalizer HOWTO. Stand:

Projektmanagement in Outlook integriert

QTrade GmbH Landshuter Allee München Seite 1

Speicher in der Cloud

Tutorial about how to use USBView.exe and Connection Optimization for VNWA.

Online Bestellsystem Bedienungsanleitung

Meinungen der Bürgerinnen und Bürger in Hamburg und Berlin zu einer Bewerbung um die Austragung der Olympischen Spiele

Berechnung der Erhöhung der Durchschnittsprämien

ZAHLUNGSAVIS. Im Zahlungsprogrammteil automatisch erstellen

Transkript:

Techpaper Routing-Performance Einleitung Anwendungen in der Kommunikation und Unterhaltung basieren zunehmend auf IP-Netzwerken. Um die erforderlichen Bandbreiten zuverlässig bereitstellen zu können, müssen die in der Struktur verwendeten Netzwerkkomponenten ausführlich und intensiv getestet werden. Systems stellt in diesem Techpaper die Messverfahren zur Ermittlung der Routing- und VPN-Performance von Central Site und VPN Gateways und die resultierenden Ergebnisse vor. Untersucht werden dabei verschiedene Aspekte, die zur Beurteilung der Leistungsfähigkeit eines Routers herangezogen werden. Dazu gehören die Übertragungsleistung bei Verbindungen zwischen dem LAN und dem Internet (WAN) sowie die internen Datenübertragungen im eigenen Netzwerk (LAN-LAN). Eine besondere Bedeutung kommt der Performance bei verschlüsselten Datenverbindungen über VPN zu, da viele Geschäftsprozesse auf gesicherten WAN-Verbindungen aufsetzen. Testaufbau Alle UDP-Performance-Werte wurden im Testlabor gemessen. Für die Tests wurde ein IXIA-Testsystem eingesetzt. IXIA erlaubt durch den Einsatz so genannter Test-Suiten die Simulation verschiedener Anwendungen. Dabei kann z. B. der Datendurchsatz in automatisch aufgebauten VPN-Tunneln ermittelt werden oder die reine Routing-Performance zwischen LAN und WAN bei unioder bi-direktionaler Datenübertragung. IXIA ist ein führender Anbieter von Testsystemen für IP-basierte Infrastrukturen und Dienste. Die Testsysteme von IXIA werden weltweit von Netzwerkgeräteherstellern und anderen Unternehmen zur Sicherstellung der Funktionalität und Verlässlichkeit von komplexen IP-Netzwerken, -Geräten und -Anwendungen verwendet. Für die Datenübertragung selbst werden entweder feste Frame-Größen verwendet oder Kombinationen verschiedener Frame-Größen, die einem natürlichen Datenfluss entsprechen. Diese Kombinationen werden auch als In- IXIA IXIA IxAutomate IxVPN IxAutomate IxVPN verschlüsselte Übertragung WAN-Port LAN-Port LAN-Port WAN-Port ROUTER ROUTER Abbildung 1: IXIA Testsystem für Routing-Verbindungen und verschlüsselte VPN-Verbindungen zwischen LAN und WAN 1

ternet Mix oder kurz IMIX bezeichnet. Die Auswahl der IMIX-Muster hat eine große Bedeutung für die Testergebnisse, da von den verwendeten Frame-Größen die Performance einer Verbindung stark beeinflusst wird. Mit einer geeigneten Auswahl der Ports an dem getesteten Router können sowohl Verbindungen zwischen LAN und WAN wie auch reine LAN-LAN-Verbindungen getestet werden. Routing-Performance (UDP) Bei der Routing-Performance wird untersucht, welcher maximale Datendurchsatz erzielt werden kann, bei dem der Router gerade noch keine Pakete verwerfen muss. Für die Messung werden UDP-Pakete in verschiedenen Größen verwendet, damit das Verhalten bei unterschiedlichen Anwendungen dargestellt wird. Die Grenzwerte sind 64 Gerät 64 128 256 512 124 128 1518 Framerate 1781EW 5,96 12,256 27,47 47,949 91,971 4,922 134,957 546,66 1781EF+ 48,4 95,952 183,9 347,826 674,572 863,698 983,161 87176,857 71+ VPN 62,622 125, 237,37 467,153 99,414 984,615 986,996 18944,698 91+ VPN 87,912 175,342 343,164 68,851 98,843 984,615 986,996 139125,76 Tabelle 1: LAN-LAN-Routing - bei und durchschnittliche Framerate [Frames/s] 14 12 1 Framerate [Frames/s] 8 6 4 2 1781EW 1781EF+ 71+ VPN 91+ VPN Diagramm 1: LAN-LAN-Routing - Framerate 1 9 8 7 6 5 4 3 2 1 1781EW 1781EF+ 71+ VPN 91+ VPN 64 218 256 512 124 128 1518 Diagramm 2: LAN-LAN-Routing - Datendurchsatz 2

Byte als kleinster und 1518 Byte als größter Frame auf dem Ethernet. Der Test verschiedener Router-Modelle zeigt den Einfluss der jeweiligen Hardware (Prozessor bzw. Interfaces). Bei der Messung wird zunächst die Framerate ermittelt, die als Performance-Indikator der getesteten Hardware angesehen werden kann. Beim Routing ist die Framerate für unterschiedliche Frame-Größen fast konstant, da beim Routing der Frames nur die Header untersucht werden dieser Vorgang ist nahezu unabhängig von der Größe der gerouteten Frames. Aus diesem Grund wird nur die durchschnittliche Framerate angegeben. Der Durchsatz bei einer bestimmten Frame-Größe (oder sogar einem Größenmix, siehe IMIX auf Seite 6) kann deshalb bereits näherungsweise durch Multiplikation mit der Framerate errechnet werden. Bei konstanter Framerate ist der Datendurchsatz dann direkt abhängig von der Frame- Größe. Je größer die Frames, desto größere Datenvolumen können übertragen werden. Die Anzahl der maximalen Frames pro Sekunde wird durch die Leistungsfähigkeit des Interfaces bzw. des Übertragungsmediums begrenzt. Die Messung der Routing-Performance bezieht sich auf die Größe der Ethernet-Frames, also die Size-on-Wire. Zum Vergleich von Paketgrößen für Anwendungen müssen daher die entsprechenden Header und Trailer abgezogen werden. Bei einem Frame von 512 Byte ergibt sich z. B. eine UDP-Datagrammgröße von 47 Byte (512 Byte 18 Byte Ethernet-Header 2 Byte IP-Header 4 Byte FCS Trailer) bzw. nach Abzug des UDP-Headers (8 Byte) eine UDP-Nutzlast von 462 Byte. Beim Routing werden zwei Anwendungen untersucht: Beim WAN-LAN-Routing werden Daten aus dem WAN empfangen und an eine Gegenstelle im LAN weitergegeben. Beim LAN-LAN-Routing werden die Daten nur innerhalb des lokalen Netzwerks von einem LAN-Port zum anderen LAN-Port weitergegeben. Bei den Messergebnissen ist zu erkennen, dass der Durchsatz mit der Frame-Größe fast linear ansteigt, bis das Limit der Gigabit-Schnittstelle erreicht ist. Gerät 64 128 256 512 124 128 1518 Framerate 1781EW 5,216 1,144 2,844 41,837 83,347 13,862 122,419 26,166 1781EF+ 32,389 65,9 125,49 253,968 482,564 642,57 736,893 61891,646 71+ VPN 45,455 9,99 182,77 36,56 721,127 882,759 985,714 87, 91+ VPN 62,136 131,417 265,1 52,325 978,967 984,615 986,996 4722,741 Tabelle 2: WAN-LAN-Routing - bei und durchschnittliche Framerate [Frames/s] 14 12 Framerate [Frames/s] 1 8 6 4 2 1781EW 1781EF+ 71+ VPN 91+ VPN Diagramm 3: WAN-LAN-Routing - Framerate 3

1 9 8 7 6 5 4 3 2 1 64 218 256 512 124 128 1518 Diagramm 4: WAN-LAN-Routing - Datendurchsatz 1781EW 1781EF+ 71+ VPN 91+ VPN Routing-Performance (TCP) UDP-Messungen zeigen sehr gut, welche Performance maximal erzielt werden kann. Da ein großer Teil des Datentransfers allerdings über TCP abgewickelt wird, ist es auch wichtig, ein entsprechendes Szenario zu untersuchen. Die TCP-Messung erfolgt mit iperf, welches den TCP-Datendurchsatz zwischen zwei Computern misst. Diese werden über einen Router verbunden. Wobei der Computer auf der Seite des WAN als Server agiert, von dem die Datenpakete über den Router an den Computer im LAN übertragen werden, was der Download-Richtung entspricht. Gerät Datendurchsatz bei 5 TCP-Sessions 1781EW 95,6 1781EF+ 58,4 71+ VPN 691,3 91+ VPN 939, Tabelle 3: WAN-LAN-Routing - Die TCP-Messungen mit iperf wurden ohne NAT ausgeführt, da iperf keine direkte Messung mit NAT erlaubt. Die dabei ermittelten Messwerte korrelieren bei LCOS sehr gut mit den Werten, die an einem echten WAN-Anschluss mit NAT in der Praxis nachvollzogen werden können. Dies hat einerseits mit der Traffic-Struktur von iperf im Vergleich zu 4 einem HTTP-Download zu tun, und andererseits mit der LCOS 8.8 Firewall, die im NAT-Betrieb nur eine etwas geringere Performance wie im Betrieb ohne NAT erzielt. Die beiden für die Messung genutzten Computer haben eine identische Hardware- und Software-Ausstattung: Intel Core i7 CPU Intel PRO/1 NIC Ubuntu.4 / Kernel 2.6.38 Zur Messung wurde die Software iperf 2.5 eingesetzt. Der Parameter TCP-Window-Size wurde auf 256 kb festgelegt und die Messung wurde mit fünf simultanen Sessions durchgeführt. Abbildung 1 2: Schematische Darstellung des Testaufbaus 9 8 7 6 5 4 3 2 1 1781EW 1781EF+ Diagramm 5: TCP-Routing - Datendurchsatz 71+ VPN 91+ VPN

IPSec-Routing-Performance Anders als bei der reinen Routing-Performance werden die Frames beim VPN- bzw. IPSec-Routing nicht unverändert von einem Interface zum anderen weitergegeben. Bei der Verschlüsselung der Daten für den VPN-Tunnel wird der ursprüngliche Frame gekapselt und mit zusätzlichen Informationen versehen. Für die Betrachtung der IPSec Routing-Performance hat das zwei wichtige Auswirkungen: Die verschlüsselten Frames sind größer als die nicht verschlüsselten Frames. Bei den Messergebnissen muss daher angegeben werden, auf welchem Interface eine bestimmte Frame-Größe betrachtet wird bzw. ob es sich um verschlüsselte oder unverschlüsselte Frames handelt. Die hier vorgestellten Werte beziehen sich immer auf die unverschlüsselte Größe der Frames. Ein IP-Paket von 42 Byte wird unverschlüsselt z. B. in einem Frame von 64 Byte transportiert. Bei einer AES-Verschlüsselung wächst der Frame z. B. auf 126 Byte an (42 Byte IP-Paket + 18 Byte Ethernet + 4 Byte FCS + 2 Byte IP + 8 Byte ESP + 16 Byte Initialisierungs-Vektor (IV) + 1 Byte Padding + 1 Byte Padding-Länge + 12 Byte Authentication). Gerät 64 128 256 512 124 128 1418 Framerate 1781EW 3,68 8,42 16,9 34,25 65,23 8,7 88,7 7955,471 1781EF+ 18,7 38,5 76,99 144,42 277, 339,58 371,76 35181,171 71+ VPN 28,81 56,17 16,68 25,65 386,89 469,8 515,9 4998,28 91+ VPN 39,96 76,63 149,19 286,13 53,13 645,38 712, 6944,562 Tabelle 4: IPSec-Routing (Decryption) - bei und durchschnittliche Framerate [Frames/s] 7 6 Framerate [Frames/s] 5 4 3 2 1 1781EW 1781EF+ 71+ VPN 91+ VPN Diagramm 6: IPSec-Routing (Decryption) - Framerate 8 7 6 5 4 3 2 1 1781EW 1781EF+ 71+ VPN 91+ VPN 64 218 256 512 124 128 1418 Diagramm 7: IPSec-Routing (Decryption) - Datendurchsatz 5

Der Vorgang der Verschlüsselung (Encryption) bzw. Entschlüsselung (Decryption) benötigt Rechenzeit im Router. Dieser Vorgang verläuft in zwei Stufen, die bei der Verschlüsselung sequentiell ablaufen müssen. Bei der Entschlüsselung hingegen können diese Stufen parallel durchgeführt werden, was bei Modellen mit VPN- Hardware-Beschleuniger zu einem deutlichen Performance-Vorsprung im Vergleich zur Verschlüsselung führt. Die Messergebnisse zeigen daher einen signifikanten Unterschied zwischen Decryption- und Encryption-Richtung. Alle Werte für das IPsec-Routing sind hier für jeweils einen VPN-Tunnel angegeben. Beim Aufbau von bis zu 1 Tunneln zeigt sich im Laborbetrieb eine nahezu konstante Framerate über die Anzahl der aktiven Tunnel. Im realen Einsatz wird jedoch die Framerate mit der Anzahl der Tunnel abnehmen auf Grund der Vorgänge, die für jeden Tunnel separat ausgeführt werden müssen (z. B.durch das Erneuern der verwendeten Schlüssel). Gerät 64 128 256 512 124 128 1418 Framerate 1781EW 3,9 6,29,56 24,14 47,7 58,83 65,5 5854,4 1781EF+ 14,72 3,38 6,65 9,17 232,6 283,89 316,57 28734,53 71+ VPN 18,4 36,41 73,95 144,5 281,8 346,73 375,86 34739,8 91+ VPN 26,1 52,34 13,42 23,68 39,31 472,64 519,23 48841,61 Tabelle 5: IPSec-Routing (Encryption) - bei und durchschnittliche Framerate [Frames/s] 7 6 Framerate [Frames/s] 5 4 3 2 1 1781EW 1781EF+ 71+ VPN 91+ VPN Diagramm 8: IPSec-Routing (Encryption) - Framerate 6 5 4 3 2 1 1781EW 1781EF+ 71+ VPN 91+ VPN 64 218 256 512 124 128 1418 Diagramm 9: IPSec-Routing (Encryption) - Datendurchsatz 6

Gerät IMIX IMIX 1 IMIX 2 1781EW 25,38 19,52 21,43 1781EF+ 8,9 95,7 5,16 71+ VPN 166,88 131,73 162,2 91+ VPN 234,21 184,43 225,46 Tabelle 6: IPSec-Routing (Decryption) - 25 2 15 1 5 IMIX IMIX 1 IMIX 2 1781EW 1781EF+ 71+ VPN 91+ VPN Diagramm 1: IPSec-Routing (Decryption) Gerät IMIX IMIX 1 IMIX 2 1781EW 22,19 17,2 21,43 1781EF+ 2,8 9,55 19,39 71+ VPN 138,73 1,2 135,9 91+ VPN 193, 158,21 189,44 Tabelle 6: IPSec-Routing (Encryption) - 25 2 15 1 5 IMIX IMIX 1 IMIX 2 1781EW 1781EF+ 71+ VPN 91+ VPN Diagramm : IPSec-Routing (Encryption) IPSec-Routing mit verschiedenen IMIXen (Decryption und Encryption) Als Alternative zu den Messungen mit festen Frame-Größen wurden Messreihen mit verschiedenen IMIX-Mustern durchgeführt. Die IMIX-Muster simulieren einen realen Datenverkehr, der sich aus unterschiedlichen Frame-Größen zusammensetzt. Für die Zusammenstellung der genutzten Frame-Größen gibt es keine verbindliche Richtlinie, daher wurden für die Messung neben der Voreinstellung des IXIA-Testsystems (IMIX ) zwei weitere gängige Muster verwendet (IMIX 1 und IMIX 2). Die einzelnen Muster verwenden die folgenden Frame-Zusammenstellungen: IMIX : 45% 64 Byte, 2% 128 Byte, 5% 256 Byte, 3% 512 Byte, 2% 124 Byte, 1% 128 Byte, 24% 1364 Byte. IMIX 1: 7x 64 Byte, 4x 57 Byte, 1x 1418 Byte. IMIX 2: 58% 9 Byte, 2% 92 Byte, 24% 594 Byte, 16% 1418 Byte. Bei einem angenommenen Overhead von 1 Byte ist 1418 Byte die maximale Frame-Größe, die verschlüsselt noch auf dem Ethernet übertragen werden kann (bei 1518 Byte als maximale Frame-Größe IEEE 82.3). Für die Messungen wurde eine AES128-SHA-Verschlüsselung verwendet, die Tunnel wurden in LAN-WAN-Richtung aufgebaut. Auch bei diesen Messungen ist wieder zu erkennen, dass die Entschlüsselung der Daten (Decryption) schneller erfolgt als die Verschlüsselung (Encryption)., Systems und LCOS sind eingetragene Marken. Alle anderen verwendeten Namen und Bezeichnungen können Marken oder eingetragene Marken ihrer jeweiligen Eigentümer sein. Änderungen vorbehalten. Keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen. 7/13 www.lancom.de Systems GmbH I Adenauerstr. 2/B2 I 52146 Würselen I Deutschland I E-Mail info@lancom-systems.de

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback