使用vSRX测试一下IPsec VPN各加密算法的性能差异

最新推荐文章于 2024-07-21 15:49:55 发布
最新推荐文章于 2024-07-21 15:49:55 发布
阅读量1k 收藏 15
点赞数 20
文章标签: 网络 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136523940
版权

23e8a4f9f73d8624a2b33dbed9e8239e.gif

正文共:1111 字 13 图,预估阅读时间:2 分钟

我们前面介绍了Juniper虚墙vSRX的部署Juniper虚拟防火墙vSRX部署初体验、导入到ESXi将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试、导入到EVE-NG将Juniper虚拟防火墙vSRX导入EVE-NG,并在EVE-NG中简单测试了IPsec VPN的配置配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)配置Juniper虚墙vSRX基于路由的IPsec VPN(CLI方式)

前面测的都是功能项,今天简单测试一下vSRX的转发性能,SRX配置使用导入时默认的2核CPU、4 GB内存的默认配置。

首先,我们在vSRX219的两个接口上分别挂一台主机,测试一下转发性能。

set interfaces ge-0/0/0 unit 0 family inet address 10.11.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.12.1.1/24
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone trust interfaces ge-0/0/1.0
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security policies from-zone trust to-zone trust policy default-permit match source-address any
set security policies from-zone trust to-zone trust policy default-permit match destination-address any
set security policies from-zone trust to-zone trust policy default-permit match application any
set security policies from-zone trust to-zone trust policy default-permit then permit
commit

95d25b2b8e35d7ebb034e32c53ce1e0c.png

经过多次测试,综合转发性能在7 Gbps左右,最大值在8 Gbps左右。

424d8c49cf95797f46a7ba786ad84527.png

为了相对准确,我们在vSRX220上面也测试一下。

4614d891dec85b4e6b8f4c70737d69cc.png

测试数据稍微高一点,整体不超过5%,问题不大。

然后使两台设备互联,并创建基于路由的IPsec VPN,其中vSRX219的配置如下:

set interfaces st0 unit 0 family inet address 10.120.1.1/24
set routing-options static route 10.22.1.0/24 next-hop st0.0
set security zones security-zone trust interfaces st0.0
set security ike proposal ike authentication-method pre-shared-keys
set security ike proposal ike dh-group group19
set security ike proposal ike encryption-algorithm aes-256-gcm
set security ike policy ike proposals ike
set security ike policy ike pre-shared-key ascii-text qweasd123
set security ike gateway gw address 10.12.1.2
set security ike gateway gw remote-identity inet 10.12.1.2
set security ike gateway gw external-interface ge-0/0/0
set security ike gateway gw local-address 10.12.1.1
set security ike gateway gw local-identity inet 10.12.1.1
set security ike gateway gw version v2-only
set security ike gateway gw ike-policy ike
set security ipsec proposal ipsec protocol esp
set security ipsec proposal ipsec encryption-algorithm aes-256-gcm
set security ipsec policy ipsec proposals ipsec
set security ipsec policy ipsec perfect-forward-secrecy keys group19
set security ipsec vpn ipsec ike gateway gw
set security ipsec vpn ipsec ike ipsec-policy ipsec
set security ipsec vpn ipsec bind-interface st0.0
set security ipsec vpn ipsec establish-tunnels immediately
commit

vSRX220的配置如下:

set interfaces st0 unit 0 family inet address 10.120.1.2/24
set routing-options static route 10.11.1.0/24 next-hop st0.0
set security zones security-zone trust interfaces st0.0
set security ike proposal ike authentication-method pre-shared-keys
set security ike proposal ike dh-group group19
set security ike proposal ike encryption-algorithm aes-256-gcm
set security ike policy ike proposals ike
set security ike policy ike pre-shared-key ascii-text qweasd123
set security ike gateway gw address 10.12.1.1
set security ike gateway gw remote-identity inet 10.12.1.1
set security ike gateway gw external-interface ge-0/0/0
set security ike gateway gw local-address 10.12.1.2
set security ike gateway gw local-identity inet 10.12.1.2
set security ike gateway gw version v2-only
set security ike gateway gw ike-policy ike
set security ipsec proposal ipsec protocol esp
set security ipsec proposal ipsec encryption-algorithm aes-256-gcm
set security ipsec policy ipsec proposals ipsec
set security ipsec policy ipsec perfect-forward-secrecy keys group19
set security ipsec vpn ipsec ike gateway gw
set security ipsec vpn ipsec ike ipsec-policy ipsec
set security ipsec vpn ipsec bind-interface st0.0
set security ipsec vpn ipsec establish-tunnels immediately
commit

配置完成之后,查看IPsec协商状态。

f8aaea69c89303685cc5ecacf909a00a.png

IPsec VPN协商成功,然后测试一下转发带宽。

8c970d1cfcd871a8f3bc3fdb3153df72.png

最大转发带宽大约在3.5 Gbps左右,最终稳定值在3.18 Gbps左右,还算不错。

实际上,二阶段的加密算法对性能的影响还是比较大的。我们已经知道,二阶段使用的协议分为AH和ESP,而AH仅对报文头进行校验,不做加密,只有ESP是加密数据的。而且我们使用的IPsec VPN没有配置认证算法,只使用了加密算法,所以验证算法的加密性能就简单的多。

836220148945aa3e3880de1accb7efe4.png

在IPsec VPN的配置界面,我们可以看到,Juniper支持的加密算法包括DES(不推荐)、3DES(不推荐)、AES-CBC(128位、192位、256位)、AES-GCM(128位、192位、256位),一共8种算法。

3ae825ecfacfb22b577f4cd69f18d643.png

正常应该是3DES-CBC的加密性能是最低的,我们修改加密算法试一下。

7af8dd3273b1fcd452f02f9d44d58a9f.png

再小测一下性能。

03ef28fe0c1704744b6a4b76fceeeddc.png

果然,传输带宽就暴跌至139 Mbps了,只有AES-GCM-256算法(3.18 Gbps)的4.3 %。相比之下,其他算法的性能都会优于这个值。

比如说我们将加密算法修改为AES-GCM-128。

5ed2c87aaf0fcd72c728a118f5bda544.png

再小测一下性能。

33d48ee6fe7dad65b00771e50567f917.png

传输带宽约为3.45 Gbps,相比AES-GCM-256算法(3.18 Gbps),提升了大概8.5%,不出意外的,这应该是加密性能最高的算法了,相比之下,其他算法的性能应该都会低于这个值。

与AES-GCM-128算法对应的还有一个AES-CBC-128算法,我们换上这个试一下。

b60d30d90e34e95786b6a9a3ad5acf95.png

再小测一下性能。

2589fb96171f14ddc6df3d5e964be1b0.png

传输带宽约为1.89 Gbps,性能大概是AES-GCM-128算法(3.45 Gbps)的55 %,应该是个中间值。

根据已经测得的几组数据,盲推一下,感觉算法的加密性能从高到低应该依次是:AES-GCM-128、AES-GCM-192、AES-GCM-256、AES-CBC-128、AES-CBC-192、AES-CBC-256、DES-CBC、3DES-CBC。

a992a67c4329f42696a9572e0ce0597d.gif

长按二维码
关注我们吧

7eedd744fb21a82d538bafc31d56d858.jpeg

f478bd055048bc8ce93680da81bea338.png

配置Juniper虚墙vSRX基于路由的IPsec VPN(CLI方式)

配置Juniper虚墙vSRX基于策略的IPsec VPN(CLI方式)

配置Juniper虚墙vSRX基于路由的IPsec VPN(WEB方式)

配置Juniper虚墙vSRX基于策略的IPsec VPN(WEB方式)

Juniper虚拟防火墙vSRX配置防火墙策略实现业务转发

将Juniper虚拟防火墙vSRX导入EVE-NG

将Juniper虚拟防火墙vSRX部署在ESXi进行简单测试

使用Python脚本实现SSH登录设备

配置VMware实现从服务器到虚拟机的一键启动脚本

CentOS 7配置Bonding网卡绑定

小测一下HCL中VSR的转发性能

轻轻松松达到1.8 Gbps,果然HCL还是搭配高档电脑更好使

Windows Server调整策略实现999999个远程用户用时登录

成了!Tesla M4+Windows 10+Anaconda+CUDA 11.8+cuDNN+Python 3.11

Danileaf_Guo
关注
IPSEC性能测试设备配置】
qq_28201689的博客
04-17 523
1、测试ipsec性能值,任何设备都只需要一对流量口,在有combo口的情况下,流量入接口和ipsec的通信口都要用combo口进行测试,能测出最大性能值。本次性能测试DUT1为01, DUT2 为02 (对端设备性能必须为等于、高于被测设备,对端设备版本可以不一致)2、DUT1添加路由,出接口为tunnel0,目的地址为ge10 2.2.2.1/24。2、配置ipsec协商,需要注意高级里面的加密算法,此加密方式根据性能测试指标选择;3、注意最大字节数,因为会分片,所以最大测试为1400字节;
使用IXIA测试IPSEC性能
qq_28201689的博客
08-10 768
防护墙IPSEC性能测试 防火墙IPSEC 新建,并发,应用层吞吐,及2544性能(最简单),主要是新建并发性能,有想了解的欢迎留言,暂时还没更新。
dpdk结合sriov测试vpp ipsec性能
lingshengxiyou的博客
11-24 1112
既然veth pair不好用,那就用物理网卡,但卡又不够用,外面交换机又不受控制,突然想到了sriov,多虚出来几个物理网卡。vpp另一个网卡本来想直接用整个物理网卡,但是结果用着用着就莫名其妙NO-CARRIER了,提示没有接网线,原因不明,reboot物理机就好了,试着用vf就没再碰到这个问题。测试结果300s的数据,测试了vpp三层转发,用openssl的ipsec和用dpdk mb crypto的ipsec,分别是5Mpps,1.4Mpps和1.2Mpps。领取,关注我持续更新哦!
IPSec测试方法
08-22
IP安全协议(IPSec测试方法
信而泰IPSec测试方法
XINERTEL的博客
12-04 212
IPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。通过这些协议,在两个设备之间建立一条IPSec隧道。
网测科技_IPsec VPN吞吐测试案例
Netitest的博客
11-10 409
介绍IPsec VPN吞吐测试案例
H3C与VPN高级应用(二)ASA防火墙上实现IPSec VPN的原理与配置指南
洛秋的博客
07-21 724
IPSec(Internet Protocol Security)是一套用于在IP网络上进行安全通信的协议集,通过对数据包进行加密和认证,提供端到端的安全保障。IPSec主要包括两个阶段:ISAKMP/IKE阶段1和ISAKMP/IKE阶段2。ISAKMP/IKE阶段1:在此阶段,双方建立安全通道,协商加密算法和密钥交换方法。ISAKMP/IKE阶段2:在此阶段,双方使用阶段1生成的安全通道,协商IPSec SA(安全关联),用于保护实际数据传输。
HCL模拟器IPSec VPN实验
05-13
HCL模拟器IPSec VPN实验
实验4-IPSec VPN
最新发布
10-16
理解VPN技术的工作原理,了解不同类型VPN技术的主要作用以及各自的主要应用环境。能够完成IPSec VPN技术的应用,并熟练掌握IPSec VPN技术相关的配置命令。公司之间建立VPN隧道,实现跨互联网私有网络
IPSec VPN的原理与配置
2301_78256093的博客
06-14 9627
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
IPSec加密流程学习笔记.pdf
11-30
个人学习ipsec加密过程中整理的学习笔记,供大家参考学习。里面主要说明了ipsec策略匹配、报文封装等核心处理流程,同时对加密中的部分知识点进行解释说明
3个著名加密算法(MD5、RSA、DES)的解析
08-17
3个著名加密算法(MD5、RSA、DES)的解析
IPSec
phoenix1415的博客
08-05 2681
ipsec
第十代酷睿 I7 IPSEC加密转发性能测试报告
weixin_42954685的博客
09-02 536
对第十代酷睿I7进行IPSEC加密转发性能测试,下图是组网图。两台I7的设备各自有2个独立的物理网口,其中网口L为LAN,网口W为WAN。发包测试仪采用晨晓科技的千兆发包仪。 针对不同报文长度,在不丢包的情况下,测试结果如下表 ...
加密流量协议(1)--IPSec协议介绍
zx113187的博客
04-01 1786
互联网安全协议(Internet Protocol Security,IPSec)是一种网络层安全协议,主要用于保护IP通信的机密性、完整性以及身份验证。它是一种公认的安全协议,广泛应用于加密通信与其他安全网络连接中,如Cisco VPN、Microsoft DirectAccess等网络服务都是采用的IPsec协议。报文首部认证协议(AH)提供数据完整性校验和身份认证功能,还可以防止重放攻击(Replay Attacks)。封装安全荷载协议(ESP)
IPsec原理+实现 一文全介绍
qingwangheni的博客
01-28 2411
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
加密流量协议(1)--IPSec协议介绍_ipsec加密,阿里程序员的网络安全之路
2401_84254057的博客
04-11 951
源目IP为明文状态,适用于主机间传输数据。源IP及数据重新封装,适用于VPN等加密流量通信。
Juniper防火墙系列-04-Juniper防火墙IPSec VPN的配置
qq_43416206的博客
04-09 800
Juniper 所有系列防火墙(除部分早期型号外)都支持 IPSec VPN,其配置方式有多种,包括:基于策略的 VPN、基于路由的 VPN、集中星形 VPN 和背靠背 VPN 等。在这里,我们主要介绍最常用的 VPN 模式:基于策略的 VPN。 站点间(Site-to-Site)的 VPNIPSec VPN 的典型应用,这里我们介绍两种站点间基于策略 VPN 的实现方式:站点两端都具备静态公网 IP 地址;站点两端其中一端具备静态公网IP 地址,另一端动态公网 IP 地址。
juniper防火墙基于路由的IPsec ***配置
weixin_33958366的博客
05-23 692
一、环境说明北京公司需要和上海分公司建立安全通信的×××,便于北京总公司与上海分公司资源共享安全。需建立两条子网通道规划地址如下:北京总公司地址规划:外网接口地址:218.23.23.23/24内部VLAN地址:10.0.0.0/24 10.0.1.0/24 上海分公司地址规划:外网接口地址:218.241.241.23/24内部VLAN地址:172.173.0.0...
IPSec有哪些加密算法
11-09
Sec协议支持多种加密算法,包括对称加密算法和非对称加密算法。其中对称加密算法包括DES、3DES、AES等,非对称加密算法包括RSA、DSA等。...除了加密算法IPSec协议还包括完整性校验算法和密钥管理算法等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值