Je ne suis pas expert sur la question protocolaire mais y'a pas un problème de nombre de cessions TCP simultanées a supporter par le routeur? Du genre prévoir minimum 300 cessions par utilisateur?
Et des questions d'IO supportables par les processeurs et de capacités de calculs des co-processeurs etc... Les Clavister que j'utilisais en IPSec avec certif X509 chez mes clients chiffraient a 80meg en AES256 avec une MTU a 1500 et 12000 cessions TCP et ça c'était il y a 5 ans. On doit pouvoir trouver de quoi faire aujourd'hui pour pas cher et mieux. Juste une remarque sur les Mikrotik 1036, pour l'instant il n'y a qu'un proc utilise pour le Chiffrement, les 35 autres sont utilisés par les autres services (Nat et autres). Et des la V7 de l'os la gestion multi proc sera opérationnelle. Seb > Le 8 avr. 2015 à 09:34, Olivier Cochard-Labbé <oliv...@cochard.me> a écrit : > > 2015-04-07 21:08 GMT+02:00 Jérôme Nicolle <jer...@ceriz.fr>: > >> >> >> J'ai benchmarké mes CCR1016 et ERLite (à respectivement 400 et 100Mbps >> en AES128CBC), et il semble que le CCR1036 monte à 800Mbps. >> >> Ces débits sont sans routage complexe, NAT ou firewalling, donc à >> diviser par deux avec un setup à peu près complet pour un réseau d'une >> dizaine de sites (la famille, c'est important) avec un quasi-full-mesh >> de tunnels et du BGP dedans. > Bonjour, > > Quelle est la bonne méthodologie pour réaliser des benchs de performance > d'une passerelle IPSec/SSL ? > Pour bencher un routeur, les tests a effectuer sont détaillés dans les RFC > 2544 et RFC 3222. > Personnellement, je me contente de mesurer le nombre maximum de petits > paquets routé (le pire des cas) et d'estimer des performances réalistes en > utilisant une distribution IMIX. > Pour un firewall, il y a la RFC 3511. > > Mais pour mesurer les performances d'une passerelle IPsec/SSL, quelle est > la bonne méthode ? > => Devons-nous nous contenter de générer un maximum de gros paquet (MTU > max) pour mesurer uniquement la performance du module de chiffrement (mais > pas du routage) ? > => Ou simplement continuer à générer des petits paquets (MTU min) en > activant le chiffrement, et donc mesurer l'impact au niveau du module de > routage seulement ? > > La seule étude sur la méthodologie pour bencher des passerelles IPSec que > j'ai trouvée est ici: > http://www.mecs-press.org/ijcnis/ijcnis-v4-n9/IJCNIS-V4-N9-1.pdf > > Est-ce cette méthode que vous utilisez ? Il y en a-t-il d'autre ? > > Merci, > > Olivier > http://bsdrp.net > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
