LAN,WANは擬似環境
目的:
ネットワーク「192.168.10.0/24」〜
ネットワーク「192.168.20.0/24」を
IPsecトンネルモードで接続する
VPN構築
IPsecトンネルモード編
IPsecトンネルモードテスト版
構築予定図
|
環境: LAN,WANは擬似環境
目的: ネットワーク「192.168.10.0/24」〜 ネットワーク「192.168.20.0/24」を IPsecトンネルモードで接続する
|
テストに用いた機器
| PC | IPsecゲートウエイ | Mifer | 詳細 |
| IPsecゲートウエイ | Nanami | 詳細 | |
| クライアント | Chitose | 詳細 | |
| クライアント | Sasara | 詳細 | |
| ネットワークアナライザ | Rufer | 詳細 | |
| HUB | 10.1.1.0/24(仮想WAN用) | 100BASEダムハブ |
GWとPCの接続はクロスケーブルを用いています。
<簡略図>
Chitose <-- クロスケーブル --> Mifer <--- HUB ---> Nanami <-- クロスケーブル --> Sasara
簡略な流れですが、この流れで接続を構築しました。
接続しただけではGW間のアソシエーション(IPトンネル)は構築されませでしたが、
どちらかのクライアントからPingを飛ばすと少し間が在ってから、トンネルが構築されました。
下に、一応テスト結果を上げますが、テストはあくまでも「接続テスト」であって、
「転送速度テスト」じゃありません。また、結果は環境に左右されますので、速度などは「目安」と考えてくださいね
また、あくまでもローカルな環境を前提にした「実験」です!!
IPアドレス、IPフィルターやIKEの詳細、承認方法は簡略設定ですので、
間違っても、この設定のままインターネットには接続しないで下さい。
利用する方は、ご自分の責任の上ご利用くださいね
TCPパケット転送結果 表中のPC名の後にある数字は、平均CPU使用率です
TCPパケットの転送結果です。1対1でのTCPパケットですから、綺麗な結果が出ました。
IPsec無効化の場合で「Chitose」のCPUパワーには余裕がある?
これは、もしや、「Sasara」が足を引っ張ってるかも知れませんね
UDPパケット転送結果 表中のPC名の後にある数字は、平均CPU使用率です
また、表中の「0」や赤字は、予期せぬ数字です。なぜ、この数値になったのか原因が不明
ある意味、まったく信用のできない結果になりました。実験として失敗なのかもしれません・・・
(そもそも、バーストUDPパケットのテストをすること自体が間違いか?)別の見方をすれば、この環境ではUDPパケットは使えないって結果が判明しましたけど
ちなみにパケット転送中、GW(Mifer,Nanami共)マウスすら動きません。
W2Kが標準で装備している
「IP セキュリティ モニタ」(ファイ名「ipsecmon」で存在します、XPでは別の名前で)で見る限り、
6割程度のパケットはGW間でロスしているようです。(特に大きいパケットの場合は如実にロスしてます)
///////////////////////
--------------------------------------------------------
本音を言えば、まだまだテスト項目が足りませんね、(GWからクライアントへのテスト、GW−GW間テスト)
あと重要な「転送パケットのIPフィルタ処理」を行った場合の低下率
(今回のテストでは全パケット/ポートを通過させています)
実際、全てのクライアント(Chitose,Sasara)とゲートウエイ(Mifer,Nanami)のスペックが揃っていれば、
もっと正確なテストが可能なのでしょうが・・・
まあ、MS Windowsが、IPsecをどれだけサポートしているか判っただけでも良かったです。
ちなみに・・・
Y2KServerでは(たぶん、XPでも同じだと思われます)
プロトコルモードは、 トンネリングモードとトランスポートモードをサポートし
ESP単独、AH単独、ESP+AHの組み合わせ暗号化アルゴリズムもDES、3DES
承認アルゴリズムは、MD5、SHA-1(文献で確認できませんでしたが、HMACをサポート?)
IKEも
リキーのタイミング指定
PFSの指定、各種承認方法のサポートなど
基本的なことはサポートしているようです。
また、OSがサービスとしてIPsecを動作している為だと思うのですが、
L2TPとの組み合わせはもとより、PPTPとの組み合わせも可能なようです(テストしてませんが・・・)
しかしテストにて、UDPパケットの結果を見る限り、
ESP 3DESを用いる場合、「Mifer」程度じゃパワー不足です。(Pen3 450Mhz)
カプセル化が追いついていません。(「Nanami」でも力不足ですが・・・)
・カプセル化処理にAHを付けても余りパワーの低下が発生していません。
・Md5とSHA1の低下率が余り無い(1割程度)
・Chitose <> Mifer 間の転送にネックがあるような・・・Sasaraが弱いような・・・
「UDPの平均送受信速度」はあまりに、テスト結果が不信だった為削除いたしました。
不安定なんです・・・、100Kbbs〜10Mbbsと値が安定しませんでした。
又、クライアントがパケットの送信終了後暫く、UDPパケットが流れていたり
(しかもその時の転送レートはものすごく高速)
送信中でも、 いきなりパッタリ止まったりとあくまでも予想の範囲ですが、GWがパワー不足な為、
カプセル化されたパケット 解除処理が追いついていない為だと思われます。あと、今回GWとクライアントはクロスケーブルで接続した為か、
各LANポートの相性が如実に出たのかもしれません・・・
(Chitose <> Mifer にはその疑いが多いにあり)
今回テストには、Y2KSeverを用いましたが、Y2K Pro、XP ProでもIPsecゲートウエイは可能なので、
この程度のハードスペックでも、知人との2点間接続程度(ADSL程度)なら十分利用できるレベルなような気もしなくもないような?
まあ、UNIX系を用いたほうがいい結果はだせそうですが・・・それはそれ・・・