在性能成为问题之前,给定 VPN 隧道可以存在多少个 IPSEC Phase 2 SA,此时是什么导致了性能问题?
之所以提出这个问题,是因为我一直在询问 VPN 的特定配置与特定配置,哪个更有效,我希望能够根据一些真实数据自己回答这个问题。我希望从具有更强大 VPN 背景的人那里得到反馈,他们可以说 - 通过经验 - 我看到 X 阶段 2 SA 后性能下降,这就是原因 - 然后我可以接受这个并制定我自己的计划加密 ACL。
在影响隧道性能之前可以存在多少个 IPSEC P2 SA,为什么?
网络工程
虚拟专用网
网络安全
2021-07-20 13:03:14
1个回答
根据平台的不同,性能在数千个 SA 中不应该成为问题——表查找并没有那么昂贵。但是,由于硬件限制或“懒惰编程”(固定大小的表),我所知道的每个系统都限制了 SA 的总数。
也就是说,最好有尽可能少的 SA——例如。1 /20 vs. 16 /24 - 减少设置时间和密钥重新协商的数量(这在计算上很昂贵。)
其它你可能感兴趣的问题