stefanocar_75 - Fotolia
GRE-IPsec: Overhead von Tunnel- und -Transportmodus
Die Wahl des GRE-IPsec-Modus kann infolge unterschiedlicher Overheads vor allem bei schnellen Netzwerkverbindungen einen erheblichen Einfluss auf die Gesamt-Performance haben.
Je nach ausgewähltem IPsec-Modus variiert der in das Paket eingebrachte Overhead. Je mehr Overhead, desto weniger nutzbare Daten können über ein VPN an das andere Ende übertragen werden.
Die Übertragung weniger nutzbarer Daten bedeutet wiederum, dass mehr Pakete erforderlich sind, um die notwendigen Daten zu transferieren. Dies bedeutet, dass zusätzliche Zeit benötigt wird, um den Datentransfer abzuschließen.
Es sollte klar sein, wie ein IPsec-Modus einen Dominoeffekt bewirken kann, der sich auf den gesamten Prozess der Datenübertragung zwischen den Standorten auswirkt und zu einer starken Fragmentierung der verschlüsselten Pakete und zu Verzögerungen führt.
Über wie viel Overhead sprechen wir also? Lassen Sie uns einen Blick darauf werfen. Der GRE-IPsec-Tunnelmodus besteht aus dem folgenden Overhead:
ESP Overhead: 52 Bytes GRE Overhead: 20 (GRE IP Hdr) + 4 (GRE) = 24 Bytes Total Overhead: 52 + 24 = 76 Bytes
Der GRE-IPsec-Transportmodus besteht aus dem folgenden Overhead:
ESP Overhead: 52 Bytes GRE Overhead: 4 (GRE) = 4 Bytes Total Overhead: 52 + 4 = 56 Bytes
Das Ergebnis zeigt einen Unterschied von 20 Bytes zwischen den beiden GRE-IPsec-Modi. Das mag für ein Paket nicht viel erscheinen, aber wenn es um die Übertragung von Hunderten von Megabyte geht, ist der Overhead beträchtlich.
Der zusätzliche Overhead kann auch die Leistung eines Routers beeinträchtigen, wenn er mit mehreren VPNs bei Hochgeschwindigkeitsverbindungen arbeitet. Die Auswirkungen des zusätzlichen Overheads auf einen Router, der über eine asymmetrische ADSL-Verbindung angeschlossen ist, sind aufgrund der eingeschränkten Upload-Geschwindigkeiten möglicherweise nicht spürbar.
Bei symmetrischen digitalen Teilnehmeranschlüssen (SDSL), digitalen Teilnehmeranschlüssen mit sehr hoher Bitrate (VDSL) oder Mietleitungen, bei denen hohe Netzwerkgeschwindigkeiten erreicht werden können, sind die Auswirkungen auf die Leistung des Routers in der Regel jedoch spürbar.
Wie stark die Leistung eines Routers beeinträchtigt wird, hängt auch hier vom Modell, der CPU-Verarbeitungsleistung und den insgesamt auf dem Router angebotenen Diensten ab.
Eine gute Praxis ist es, den IPsec-Tunnelmodus auszuführen, um die bestmögliche Sicherheitsverschlüsselung zu erhalten und gleichzeitig zu gewährleisten, dass die Firmenzentrale VPN-Hardwarebeschleunigung verwendet. Dies trägt dazu bei, die Belastung durch die VPN-Verarbeitung zu verringern und sorgt dafür, dass die VPN-Leistung ihren Maximalwert erreicht.