フレッツNGNを用いたIPSec VPNのチューニング
4年前に投稿したNGN経由のVPN構築について、先日こんなコメントが来ていた。
 |
具体的な利用環境や機種がわからないので答えるのが難しいのと、
その胸をコメント欄で返答しようとも考えたが折角なのでブログ記事にしてみた。
~ 注意事項 ~
チューニングは環境に合わせる物なので、筆者の設定が各々には合わない可能性があります。
利用環境によってはレスポンスが悪化する可能性がある点も認識頂いた上でお読みください。
以下はYAMAHA RTX830+フレッツ光(関東)で試した結果となります。
………
NGN網を使ったIPSec VPNでレスポンスが遅くなるのは、経験上パターンがある程度収束する。
筆者がテストした結果のみなので検証パターンが足りないのは重々承知の上だが、
自宅ネットワークのレベル感なら大体は当てはまると思う。
1. 光加入者線端局装置(OLT)の輻輳
発生する確率が高いものの、利用者ではどうしようも無く接続先のOLTを変更するしかない。
フレッツ光を再契約してリナンバリングされると接続先も変更されるらしいため、
該当しそうな場合はフレッツ光を再契約した方が速い。
見分け方は色々あるが、夜間帯(18:00~22:00)に速度とレスポンスが低下するならコレの可能性がある。
かの有名な、Home NOC Operators’ Groupの同人誌でも同じネタを取り上げられていたので、
NGN網を使ったVPNをする際には発生してしまう事なのだと思う。
2. VPN装置の処理速度不足
ルータやファイアウォールは、VPNを高速処理するために専用チップを積んでいるケースがある。
エンタープライズ用の機器は専用チップ(アクセラレーター)を積んでいる事が多く処理も速いが、
ハードウェアで処理できない物はCPUで処理する必要があり、比較して処理速度が低下する。
また、古い装置を使っている場合もCPU処理でIPSec VPNを捌くので遅くなりやすい。
CPU負荷が上がる要因は他にも色々あるが大きな影響を受ける物にログ出力もある。
アクセスログやNAT・NAPTのアドレス変換履歴を全てログ出力していると処理負荷がかかるため、
場合によってはログ出力を停止するなど、CPU負荷を下げるためのチューニングも求められる。
なお、YAMAHA RTX830は取説のP15に「ハードウェアVPNアクセラレーターを搭載」と明記されており、
それなりの処理ならチップで処理してくれる様だった。
3. 過剰な暗号アルゴリズム強度
IPSec VPNの暗号強度を最強まで強めたい心情は良くわかるが、
NTTの閉域網ともいえるNGNでVPNを張るのに、暗号強度を強める必要があるかは考えた方が良い。
ググって出てくる設定例では、AES256-CBC・SHA256-HMACの設定例が非常に多いが、
RTX830でIPSec VPNしつつ速度も求めるには重い処理なので、デフォルト値の方が確実に早くなる。
…IPSec VPNをせずにカプセリング化するのみが最速になるが、本末転倒なのでこの場では割愛。
4. MTU/MSSの調整不良
デフォルトは確実にフラグメント化してしまうためチューニングが必須だが、一番難しいのがコレ。
インターネット回線とIPSec VPNの暗号化方式で変わるため最適値は自ら計算する必要がある。
本ブログ(DigiLoog)をはじめ、Qiitaや他の技術サイトで掲載されている値をそのまま設定すると、
最適な状態にはならないので変更が必須となる。
………
他にも気にすべき箇所を挙げたらキリがないが、上記を抑えつつ筆者は以下のような設定をしている。
オーソドックスにIPSec VPNを張るだけにして、L2TPなど負荷がかかる設定はあえて避けている。
ファストパス設定など他にも設定項目はあるものの、全部掲載は避けたいので一部のみをご紹介。
可変パラメータとしてMTUとMSSがあるが、環境によって様々なのでこの場では割愛。
MTUとMSSの設定を適当にすると速度とレスポンスはガタ落ちするのでコレは丁寧に実施すべし。
pingを使った調整と手計算で最適な値を計算するか、次のサイトなどを参考に設定すれば大丈夫。
tunnel select 1
tunnel encapsulation ipsec
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike version 1 2
ipsec ike keepalive log 1 on
ipsec ike keepalive use 1 on rfc4306 10 3
ipsec ike log 1 key-info message-info payload-info
ipsec ike local name 1 LOCAL.EXAMPLE.JP fqdn
ipsec ike message-id-control 1 on
ipsec ike pre-shared-key 1 text PRE-SHARED-KEY
ipsec ike remote name 1 REMOTE.EXAMPLE.JP fqdn
|
IPSec VPNはチューニングが難しい上、NGN VPNは回線混雑にも左右されるのが大変だったりする。
しかし、安価に多拠点を相互接続する用途では選択肢に上がるので、自宅ラック勢などは試してみてほしい。
