远程传输所需的更快、更安全的协议/代码

Question

我遇到了一个问题，我正在寻找一种新的安全协议/客户端/服务器，它在 1Gb/s 光纤链路上速度更快——让我告诉你这个故事......

• 我在大约 250 英里的距离上有一对冗余的、路由多样的 1Gb/s 链路（不是暗光纤，而是专用的点对点链路，不是网状网络）。
• 在“客户端”端，我有一个 HP DL380 G5（2 个双核 2.66Ghz Xeon，4GB，Windows 2003EE 32 位），在“服务器”端我有一个 HP BL460c G6（2 个四核 2.53 Ghz Xeons，48GB，Oracle Linux 5.3 64 位）。
• 我每周需要将大约 500 x 2GB 的文件从客户端传输到服务器计算机 - 但传输需要安全。
• 使用 iPerf 或常规 FTP 我可以相当一致地获得 ~80MB/s 的传输，这很棒。
• 使用 WinSCP 或 Windows SFTP，我似乎无法获得超过 ~3-4MB/s 的数据，此时服务器的 CPU 繁忙 > 3%，而客户端的 CPU0 利用率达到 ~30%。我们尝试编辑各种 TCP 窗口大小，但收效甚微。

• 两端都通过 Sup720 连接到使用率很低的 Cisco Cat6509。

• 我可以用更新的机器替换客户端机器和/或将其移至 Linux - 但这需要时间。

显然，这些单线程安全 Windows 客户端在加密时引入了过多的延迟。

所以有几个问题/想法；

• 是否有任何性能更高的 Windows 安全协议或客户端软件可以尝试？只要它能在 Windows 和 Linux 之间工作，我就非常了解协议。
• 我应该使用硬件在客户端还是网络部分进行加密？如果是这样，你会推荐什么？
• 我不相信，只是交换服务器将是更快，CPU的只有30％，但随后又认为的高比我预料中给出的负荷-转向Linux在客户端可以是更好的主意但会非常具有破坏性。
• 我错过了一个技巧吗？

提前致谢。

Answer 1

压缩和加密文件，然后使用您已知的高速“iPerf 或常规 FTP”传输加密副本。如有必要，添加一个额外的小文件，其中包含一个或多个必要的加密密钥。该密钥文件可以使用 scp 或 sftp 传输，因为它很小，性能损失无关紧要。

另一种选择：您是否尝试过 ftps 副 sftp 和 scp？我不知道是否有一般的速度差异（总体来说应该很小，但是您使用的特定库/客户端/服务器可能会有所不同）。

您通过检查 CPU 负载并实际寻找性能下降的原因来做正确的事情。根据您的说法，硬件加密或服务器升级无济于事，尽管如果您希望站点之间的所有流量都通过硬件或软件私有设置 VPN 意味着您可以设置一次而不必担心。

Answer 2

我从未使用过这个，但这个与 Catalyst 6500s 配合使用的模块声称它可以在线路上执行 2.5 Gb/s IPSEC。至少对于 Cisco 路由器，您还可以限制 IPSec 在 IP/端口对上的应用，但似乎无论如何加密所有内容可能会更好”

VPN 弹性和高可用性：利用创新功能，例如 IPSec 和 GRE 的状态故障转移、HSRP + RRI、DPD 以及通过站点到站点隧道支持动态路由更新，Cisco IPSec VPN SPA 提供卓越的 VPN 弹性和可用性。高可用性。

高速 VPN 性能可为大数据包提供高达 2.5 Gbps 的 AES 和 3DES IPSec 吞吐量，为互联网混合 (IMIX) 流量提供高达 1.6 Gbps 的吞吐量。

这显然不是一个便宜的选择（也许会开源），但有了双 1Gb 链路，听起来你们有一点现金。

（我突然觉得自己在为思科营销工作。）

您还可以尝试使用内置的 Windows IPSec 来与 Linux 上的 IPSec（例如 OpenSwan）进行通信。如果这“有效”，我会感到惊讶。