Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom

[es] :: Enterprise Networking :: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom

[ Pregleda: 4038 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Dennis
Chicago, IL

Član broj: 17804
Poruke: 356
*.hsd1.il.comcast.net.



+11 Profil

icon Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom27.05.2015. u 01:49 - pre 107 meseci
Pozdrav,

Potreban mi je savet koji tip VPN konekcije je najbolji za prekookeansku site-to-site VPN konekciju. Enkripcija za sada nije bitna, a saobracaj je uglavnom UDP (VoIP) mada ima i nesto TCP (HTTP, RDP).

Probao sam L2TP tunel i recimo da VoIP radi korektno, ali strana web servera se daleko (5-10 puta) sporije učitava u odnosu kada se isti sajt otvori kroz Internet.
IPIP tunel je tu negde, nisam primetio bitniju razliku.

Oprema koja može bi bila korisćena je Cisco - MikroTik ili MikroTik - MikroTik.

Latencija izmedju linkova uglavnom varira izmedju 150 i 160ms.
 
Odgovor na temu

yolja624

Član broj: 9380
Poruke: 1856



+643 Profil

icon Re: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom27.05.2015. u 05:00 - pre 107 meseci
reci mi jos koliki protok imas na ta dva site-a? Za VoIP ne treba nesto puno da to radi korektno.
 
Odgovor na temu

PaStvarno
Novi Sad, Srbija

Član broj: 276152
Poruke: 184



+21 Profil

icon Re: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom27.05.2015. u 12:40 - pre 107 meseci
Pa, za sam saobracaj tip enkripcije nije toliko bitan, jer je samo payload enkriptovan. Network headeri nisu enkriptovani inace saobracaj ne bi bilo moguce proslediti.

Tako da se samo svodi na to koliko su dobri uredjaji za enkripciju - koji tip enkripcije rade bolje ili losije (kojom brzinom sami uredjaji mogu da rade Encryption/Decryption). Trebalo naci testiranja raznih uredjaja koliko su brzi za neki tip enkripcije (kada odlucis koja enkripciju ces koristiti).
Recimo - Cisco ima rutere sa podrskom za DES/3DES/AES VPN Encryption Module - znacajno ubrzavaju encrypt/decrypt.

Recimo ovde imas za neke cisco module sta podrzavaju:
VPN Modules for Cisco 1841, 2800 and 3800 Series Integrated Services Routers

[Ovu poruku je menjao PaStvarno dana 27.05.2015. u 13:54 GMT+1]
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
95.180.116.*



+638 Profil

icon Re: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom28.05.2015. u 22:32 - pre 107 meseci
PPtP sa kratkim pass-om, ako ti zastita nije toliko bitna.
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 794



+630 Profil

icon Re: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom29.05.2015. u 12:36 - pre 107 meseci
Posmatraj to ovako: tunel ti sluzi da prebacis IP pakete sa kraja na kraj i u opstem slucaju moze da se predstavi kao:

+-----------------+-------------------------+-----------------+--------------+
| Outer IP header | Tunnel protocol headers | Inner IP header | Data Payload |
| (20 bytes) ! (protocol-dependent) | (20 bytes) | (Variable) |
+-----------------+-------------------------+-----------------+--------------+
Kada ne koristis tunel, odnosno kada prenosis pakete izmedju tacke A i B koristeci Internet, paketi ti izgledaju ovako:

+-----------------+--------------+
| Outer IP header | Data Payload |
| (20 bytes) | (Variable) |
+-----------------+--------------+
Outer IP header = zaglavlje Internet paketa.
Tunnel protocl headers = zaglavlje koje zbirnounose pojedini protokli (PPTP, L2TP, LT2Pv3, GRE, IPsec, IPsec+GRE ...)
Inner IP header = zaglavlje paketa koji putuje kroz tunel
Data Payload = aktuelni podaci koji se prenose, zajedno sa eventualnim L4-L7 hederima.

Visak (overhead) koji ti ubija protok je zbir ova dva polja izmedju, pri cemu je "Inner IP Header" uvek 20 bajtova, koju god varijantu da koristis.
Tako da ti se posao svodi na minimizovanje zaglavlja koje unose pojedini tunelski protokoli (Tunnel Protocl Headers, TPH).

GRE
TPH ti se svodi na GRE header, koji moze da ima 4-16 bajtova. Najmanje ima 4 bajta, to je kada ne koristis Checksum, Key i Sequence Number i ujedno unosi najmanji overhead. Tu nema enkripcije, svi paketi se prenose totalno otvoreno.

L2TP
L2TP koristi UDP (port 1701), pa TPH cine UDP zaglavlje (8 bajtova) + L2TP zaglavlje (8 bajtova) + PPP zaglavlje (4 bajta) = 20 bajtova. Mislim da je to previse.

PPTP
PPTP koristi GRE + PPP, pa TPH cine GRE zaglavlje (4 bajta) + PPP zaglavlje (4 bajta) = 8 bajtova. Ako koristis MPPE sa kratkim kljucem ovo moze da bude sasvim solidna opcija, mali overhead, a imas i enkripciju.

IPsec
Zavisi koji mod koristis (transportni ili tunelski), koje zaglavlje (AH/ESP), algoritam enkripcije, da li koristis uz to i GRE itd. Vise detalja mozes da nadjes ovde, ali sve varijante unose prilican overhead.

Takodje dobro pogledaj i ovo, sto se bas odnosi na VoIP.
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 794



+630 Profil

icon Re: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom29.05.2015. u 14:50 - pre 107 meseci
Za TCP servise: proveri da li ti je na serverima u kernelu ukljucen Selective Ack (SACK) i Window Scaling.
To je bitna stvar kod linkova sa vecim RTT.
Za Linux pogledaj vise informacija ovde:
http://kaivanov.blogspot.nl/2010/09/linux-tcp-tuning.html
 
Odgovor na temu

Dennis
Chicago, IL

Član broj: 17804
Poruke: 356
*.hsd1.il.comcast.net.



+11 Profil

icon Re: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom14.07.2015. u 22:09 - pre 105 meseci
Pozdrav,

B3R1, hvala puno na informacijama, to je ono sto mi je trebalo. Izvinjavam se sto se nisam odgovirio ranije.
Provericu i za Window Scaling, nisam se setio da i tu mogu da napravim ustedu za TCP.
VoIP je za sada ok, koristim G.729.
Ovo je malo veci domaci zadatak, pa ce mi trebati vremena da dam povratne informacije.
 
Odgovor na temu

[es] :: Enterprise Networking :: Izbor tipa Site-to-Site VPN konekcije sa najmanje overhead - a za linkove sa velikom latencijom

[ Pregleda: 4038 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.