pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

IPSEC-VPN経由のスループット検証メモ(QoS設定時)

環境


LAN2側パスでUDPを優先する優先制御を設定。
TCP通信で帯域をフルに利用する状態で、UDP通信を発生させた場合の動作を確認する。
ルーターのコンフィグは後述。

動作確認

PingのRTT

# ping -s 1472 192.168.100.251 -c 1 > /dev/null 2>&1 ; ping -s 1472 192.168.100.251 -c 50 | tail -2
50 packets transmitted, 50 received, 0% packet loss, time 49070ms
rtt min/avg/max/mdev = 25.276/25.383/25.554/0.058 ms

UDPスループット

# iperf3 -c 192.168.100.251 -l 1252 -u -b 70M -t 30 | grep -B4 "iperf Done."
warning: UDP block size 1252 exceeds TCP MSS 1228, may result in fragmentation / drops
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec   250 MBytes  70.0 Mbits/sec  0.000 ms  0/209659 (0%)  sender
[  5]   0.00-30.45  sec  3.32 MBytes   913 Kbits/sec  0.125 ms  206806/209583 (99%)  receiver

iperf Done.

QoS動作確認

以下動作を確認
①ホストAからホストBにiperfでTCP通信発生させ、1Mb/s前後のスループットを確認。
②①実行中にホストAからホストBにiperfでUDP通信を発生させる。
③①のTCPは転送されなくなり、②で1Mb/s前後のスループットを確認。

ルータコンフィグ

ルーターA

login password *
administrator password *
login user pike *
console character ascii
login timer 300
ip route 192.168.100.0/24 gateway tunnel 1
ip lan1 address 192.168.0.1/24
speed lan2 1m
queue lan2 type priority
ip lan2 address 192.168.200.1/24
provider lan1 name LAN:
tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac anti-replay-check=off
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on heartbeat
  ipsec ike local address 1 192.168.200.1
  ipsec ike pre-shared-key 1 *
  ipsec ike remote address 1 192.168.200.2
 queue tunnel class filter list 1
 ip tunnel tcp mss limit auto
 tunnel enable 1
ipsec auto refresh on
queue class filter 1 4 ip 192.168.0.250 * udp * *
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.11-192.168.0.150/24
sshd service on
sshd host key generate *

⭐️ポイント⭐️
queue class filter 1 4 ip 192.168.0.250 * udp * *
上記の4はクラスを示す。フィルタにマッチしない通信は2になる。クラスが高いのが優先される。
最初1にして動確できず、ちょいはまりした。。。

ルーターB

login password encrypted *
administrator password encrypted *
login user pike *
console character ascii
login timer 300
ip route 192.168.0.0/24 gateway tunnel 1
ip lan1 address 192.168.100.1/24
speed lan2 1m
queue lan2 type priority
ip lan2 address 192.168.200.2/24
tunnel select 1
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac anti-replay-check=off
  ipsec ike keepalive log 1 off
  ipsec ike keepalive use 1 on
  ipsec ike local address 1 192.168.200.2
  ipsec ike pre-shared-key 1 *
  ipsec ike remote address 1 192.168.200.1
 queue tunnel class filter list 1
 tunnel enable 1
ipsec auto refresh on
queue class filter 1 4 ip 192.168.100.251 * udp * *
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
sshd service on
sshd host key generate *