10Gbpsネットワーク環境におけるVPN速度向上方法について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
masayuki
Posts: 6
Joined: Mon Sep 27, 2021 5:29 am

10Gbpsネットワーク環境におけるVPN速度向上方法について

Post by masayuki » Thu Feb 02, 2023 5:05 am

10Gbpsネットワーク環境におけるVPN速度の検証を行っております。

添付の図のようなLANを構築し、クライアントPCからVPNサーバに対してVPN接続を行ったときに
iperfを使用してクライアントPCとVPNサーバ間の通信速度を測ったところ、
最速でも1Gbps強程度しか出ませんでした。

VPN速度を向上させる方法がございましたらご教示いただけないでしょうか。


環境等について下に記します。

機材構成
ルーター: Buffalo WXR5950AX12
L2+スイッチ: Netgear XS708T
VPNサーバ: Windows10 Pro 搭載NIC⇒Intel X540-AT2(デュアルポート)
クライアントPC: Windows10 Pro 搭載NIC⇒Marvell AQtion 10Gbit Network Adapter(シングルポート)
端末間接続用ケーブル: CAT6A

ネットワーク構成
VLAN1
セグメント: 192.168.1.0/24
各機材のIPアドレス
ルーター: 192.168.1.1
L2+スイッチ: 192.168.1.2
VPNサーバ: 192.168.1.3
クライアントPC: 192.168.1.10

VLAN20
セグメント: 192.168.20.0/24
各機材のIPアドレス
ルーター: 無し
L2+スイッチ: 無し(VLAN間で速度を測る際には192.168.20.1を設定)
VPNサーバ: 192.168.20.3
クライアントPC: 無し


状況説明
VPNサーバでは、VLAN1側のインターフェースでコネクションを受け付け、
仮想HUBがローカルブリッジしている先はVLAN20側のインターフェースとなっています。
VPNサーバのVLAN20側インターフェースのオフロード関連(IPSec、TCPチェックサム、UDPチェックサム、大量送信)は全て無効化してあります。
クライアントPC、VPNサーバ、L2+スイッチではジャンボフレームを有効化(9000)してあります。

クライアントPC(192.168.1.10)からVPNサーバ(192.168.1.3)に対してVPN接続を行い、
仮想NICに192.168.20.10のアドレスを割り当てまして、
VPNサーバとクライアントPCそれぞれでiperfを起動して速度を測りました。
VPNサーバ側起動コマンド:iperf.exe -s
クライアント側起動コマンド:iperf.exe -c 192.168.20.3 -w 921600

VPN接続のTCPコネクション数は4、SSL暗号化有効、暗号化アルゴリズムは「RC4-MD5」と「AES256-SHA256」それぞれで試しました。
結果、通信帯域は800Mbits/sec~1.1Gbits/secの間で遷移しました。


次に、L2+スイッチにVLAN20のIPアドレスを割り当てて、
VLAN1とVLAN20でルーティングできるようにルーターにスタティックルートを設定し、
VPNサーバのVLAN1側インターフェースを切断し、
クライアントからのVPN接続を切った状態で同じくiperfを起動して速度を測りました。
VPNサーバ側起動コマンド:iperf.exe -s
クライアント側起動コマンド:iperf.exe -c 192.168.20.3 -w 921600

結果、通信帯域は9.6Gbits/sec~9.9Gbits/secの間で遷移しました。


10Gbps環境であることを考えますとVPN接続時の速度が遅すぎると考えており、
これをVLAN間ルーティング時の速度に近づけたいです。


なお、上記の構成はあくまでVPN速度検証の為だけに最速を出せるであろう理想的環境を構築したものであり、
実際に使う環境とは異なります。
You do not have the required permissions to view the files attached to this post.

cedar
Site Admin
Posts: 2201
Joined: Sat Mar 09, 2013 5:37 am

Re: 10Gbpsネットワーク環境におけるVPN速度向上方法について

Post by cedar » Fri Feb 03, 2023 8:48 am

ローカルブリッジは、あまり高い性能を期待できない可能性があるので、VPN Client を導入したほうが良いかもしれません。
また、トラフィックの発生と VPN Server は、いずれも負荷のかかる処理なので、ベンチマークが目的であれば別の機体に分けたほうがよいと思います。

masayuki
Posts: 6
Joined: Mon Sep 27, 2021 5:29 am

Re: 10Gbpsネットワーク環境におけるVPN速度向上方法について

Post by masayuki » Fri Feb 03, 2023 11:23 am

早速のご回答ありがとうございます。

SoftEther VPNにおいてローカルブリッジが最も高性能という認識でしたが、間違っておりましたでしょうか。
また、「VPN Client を導入したほうが良いかもしれません。」というのが何を示しておられるのか理解しきれなかったので、
お手数ですがもう一度ご説明いただくことは可能でしょうか。

>また、トラフィックの発生と VPN Server は、いずれも負荷のかかる処理なので、ベンチマークが目的であれば別の機体に分けたほうがよいと思います。
一般家庭環境で検証しておりますので、さすがに3台目は用意できませんでした。

cedar
Site Admin
Posts: 2201
Joined: Sat Mar 09, 2013 5:37 am

Re: 10Gbpsネットワーク環境におけるVPN速度向上方法について

Post by cedar » Fri Feb 03, 2023 3:37 pm

はい。ローカルブリッジよりも仮想LANカードのほうが(通常は)高性能です。
通信の両端を VPN Client にすることで、ローカルブリッジより性能が高くなる可能性があります。

また、ボトルネックを確認するために、暗号無しでテストしてみるのも良いかもしれません。

masayuki
Posts: 6
Joined: Mon Sep 27, 2021 5:29 am

Re: 10Gbpsネットワーク環境におけるVPN速度向上方法について

Post by masayuki » Sat Feb 04, 2023 1:18 pm

ありがとうございます。
仰っていたことが理解できました。
両端をVPN Clientにして試してみます。

暗号化なしも試してみましたが、大きくは変わりませんでした。

masayuki
Posts: 6
Joined: Mon Sep 27, 2021 5:29 am

Re: 10Gbpsネットワーク環境におけるVPN速度向上方法について

Post by masayuki » Sun Feb 05, 2023 6:49 am

ご教示いただいた方法で検証した結果です。

双方VPN Clientで接続してiperfで速度を測ったところ、最速で3.0Gbpsまで出ました。
(この環境ですとUDP高速化機能を無効にしたほうが速かったです。)


次の検証として、ローカルブリッジを使った場合と双方VPNクライアント接続にした場合とで実際のファイル転送(SMB接続で30GBの単一ファイルをコピー)速度を測ったところ、
どちらも1.15GB/sで張り付いてコピーしきれました。

iperfによる検証結果よりはるかに速い速度でコピーできましたので、
やはりベンチマークは参考数字として扱うのが良いということも改めて感じました。


以上ご報告まででした。

cedar様
ご助言いただきましてありがとうございました。

Post Reply