我在具有 2 个 ADSL 连接(下行 8Mb,上行 512Kb)的远程办公室和具有 10Mb EFM 连接(上行和下行均为 10Mb)的主办公室之间设置了 VPN。
VPN 是一个 IPSec 连接,使用 ADSL 的 DrayTek 2930 路由器和 EFM 端的 DrayTek 3200 路由器。但是,我无法通过此连接(使用 iperf 测试)从主办公室获得超过 600Kb 左右的速度(流量几乎总是从主办公室到远程办公室)
虽然我意识到存在开销并且我永远不会通过此 VPN 获得可用的“完整”带宽,但我想认为我应该考虑一些可能有助于改进它的东西。
我曾尝试使用 DrayTek 的内置“VPN 中继”功能,这些功能旨在平衡连接,但这似乎并没有太大改善。
我想我的问题是 - 这是我应该从这种设置中期望得到的那种性能吗,我只能忍受它,还是我应该能够通过一些 VPN 魔法从中挤出更多的东西?
问题是许多带有 VPN 服务器/客户端的廉价路由器实际上无法以线速(甚至以全 WAN 速度)使用 VPN 功能。
我曾经管理过一个组织,其中总部有一台 Draytek Vigor 2950,最初连接到我们升级到 50Mb 的 2Mb 服务。通常有 10-15 个远程站点使用 Draytek Vigor 2800/2820 进行连接。
当我们升级到 50Mb 时,我们发现网站仍然无法使用超过 2Mb 的 VPN 带宽。我使用我的家用电脑作为 VPN 客户端使用 10Mb 连接进行连接,但仍然看到类似的结果。
然后我用带有 2 个 Xeon p4 的 pfSense 路由器替换了总部 2950,突然发现更多的 VPN 带宽 - 用我的家用电脑重做相同的测试突然产生了几乎接近全部 10 Mb 的可用带宽供我测试。
然后我打算在工作台上用一些 2800/2820 测试 2950,但是随着我看到 2950 被 pfSense 替换后的改进,我认为坚持使用 2950 毫无意义。站点 28*0 的速度有所提高,但是连接速度更快(超过 10Mb)的站点仍然无法充分利用 - 我怀疑是由于 28*0.0 的限制。
在做了更多调查之后,我发现了一个命令可以从命令行对我的 pfSense 路由器进行基准测试,该命令显示加密吞吐量会因数据包大小而异。我怀疑 2950 声称的 90Mb VPN 吞吐量使用了在现实世界中从未见过的大量数据包,尽管公平地说,Draytek 并不是唯一犯有这种做法的供应商。如果您可以使用 iperf 更改数据包大小,如果您能看到差异,我不会感到惊讶。
一旦您考虑了您的设备是否足够强大,可以以您希望的速度维持 VPN 隧道,下一步就是在预算允许的情况下考虑 WAN 优化设备。Riverbed Technologies 和 Cisco 等公司生产的设备努力减少通过 VPN 发送的实际流量,同时在两端没有明显差异。
也可以使用 Drayteks 尝试启用 vj 压缩,看看是否有帮助。
| 归档时间: |
|
| 查看次数: |
14308 次 |
| 最近记录: |