I aften har jeg leget lidt med at sænke krypteringen af en IPsec tunnel på min microtik for at se om det løste det cpu performance problem jeg har set.

Setup er:

Microtik routeren har en  30 Mbit internet forbindelse og jeg har en intel atom baseret debian gateway på 20 Mbit som der forbindes til.

Først testede jeg med default 3DES opsætningen.

3des = 100% cpu

Som kan ses er CPU load på 100% og forsætter man  i forlangtid med denne load, begynder mikrotik routeren at lave sjove ting.
Omkring 11 MBit kan jeg presse min file overførsel op til igennem tunnelen, skal jeg aflaste cpu skal jeg ned på 6 -7 MBit før jeg har en stabil mikrotik router igen.

En reconfiguration til AES 128 ar en stor effekt på cpu load vs file overførsels hastighed.

AES 128 Microtik IPSEC

Nu benytter jeg stort set de fulde 20 MBit som der er til rådighed og mikrotik kassen køre stabilt på 72% cpu. :-)

Naturligvis betyder dette at jeg vil køre med en laveret kryptering, men realt er IPSec tunnelen's primære formål at binde de forskellige lokalationers lokal net sammen, og data sikkerheden på de filer der overføres er ikke så vigtigt endda.

Dette er lavet helt adhoc, dvs. rigtigt perfomance test er det ikke, blot en rette snor at gå efter.