lunes, 11 de diciembre de 2017

Como tener el mejor throughput en VPN

Publicado el 2017 Dec 11 por Fabien Illide

Al adoptar una configuración híbrida entre tu data-center y la nube, seguramente utilizará Cloud VPN (IPsec: "Internet Protocol Security") usando un enlace  VPN  privado y seguro entre la infraestructura local y sus proyectos de Google Cloud.

Si fluye una enorme cantidad de datos, necesitará el mejor rendimiento posible (incluso cuando utilice una solución de caché como Avere) para transferir datos entre las máquinas instaladas en el su lugar y la nube.

¡Veamos cómo podemos configurar Cloud VPN para obtener el mejor rendimiento!

Configuración de VPN en la nube


La configuración de Cloud VPN en el lado de Google Cloud es bastante fácil.
Tendrás que localizar:
  • Las direcciones IP de los puntos finales,
  • Una clave secreta para encriptar las comunicaciones,
  • Las redes tanto en el lado de Google como en el local (CIDR: enrutamiento entre dominios sin clase)
La otra opción importante es la versión IKE (Intercambio de clave de Internet): versión 1 o versión 2.

Si es compatible con su firewall en las instalaciones, elija IKEv2 para tener la opción completa de otras configuraciones.


Configuración en su casa

Aquí está el consejo: elegir el cifrado correcto es fundamental. Galois / Counter Mode (GCM) es tu amigo.

Con IKEv2, la elección del cifrado AES-GCM le proporcionará la mayor velocidad posible. IKEv1 limitará su elección de cifrado a AES-CBC-128 solamente, ofreciendo solo un rendimiento throughput más bajo.

Otros ajustes

Consulte la referencia de configuración avanzada para otras configuraciones, en torno a la integridad, el intercambio de claves Diffie-Hellman y la phase lifetime.


Firewall

Lamentablemente, algunos cortafuegos no le permitirán elegir el cifrado AES-GCM (incluso algunos caros). En caso de que su firewall local no sea compatible con IKEv2 y / o AES-GCM, eche un vistazo al firewall de código abierto PfSense.

Tendrás todas las opciones de IPsec posibles e incluso más (como MSS Clamping). En una CPU con el set de instrucciones AES-NI, AES-GCM puede usar una conexión gigabit entera (máximo para una nube VPN es de 1.5 Gbps cuando se usa Internet regular, 3 Gbps con interconexión directa).

¿Aún no es suficiente?

¡Puede escalar la producción mediante el uso de más VPN con enrutamiento ECMP!


By en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Suscribirse a: Enviar comentarios (Atom)