常言道:轻装上阵跑得快。但在服务器的世界里,有时候穿盔甲反而比裸奔更利索!
上次实验中(嵌套虚拟化的极限时延:在2000 Mbps的风暴中,我找到了性能的真谛),我们通过一系列配置优化,实现了EVE-NG中嵌套虚拟化设备的性能大提升,三节点互访最低1 ms的时延,最高2015 Mbps的传输带宽,充分发挥了EVE-NG专业版的性能(告别OSPF!EVE-NG专业版+BGP Unnumbered打通Underlay的完整实战)。
既然嵌套虚拟化已经这么牛了,那直连会不会更强呢?
首先,我们之前基于E5-2678v3测试过,ESXi虚拟交换机的性能能达到将近80 Gbps(79.55 Gbps!已经初步测得VMWare ESXi 6.7的vSwitch转发性能),那现在换成E5-2699v3,应该也差不太多。
但是,我们现在也知道,对于加密业务而言,影响最大的就是主频,那换CPU降下来的这0.2 GHz主频,还能找补回来吗?我们今天就来深入测试一下。
测试环境使用两台Ubuntu 24.04虚拟机,直接部署在ESXi 7.0U3上,没有嵌套在EVE-NG中。虚拟机配置为8核CPU、8 GB内存。
第一步,作为测试基准,我们不用VPN,直接用直连网卡测试一下(Debian阵营还是要原装,Ubuntu是真不行)。
有点奇怪,两台虚拟机的性能差了一半,最大峰值带宽40.9 Gbps,平均带宽39.1 Gbps,还说得过去。最小时延0.31 ms,平均0.424 ms。
接下来,我们测试一下不加密的L2TP VPN(每月40元实现异地组网!用家用路由器+L2TP协议,在腾讯云上搭建企业级VPN枢纽)。
还是很奇怪,现在两台虚拟机的性能差不多了,最大峰值带宽1.06 Gbps,平均带宽988 Mbps,没有配置加密,这也太低了吧?最小时延0.342 ms,平均0.386 ms,时延倒还算正常。
接下来,我们再测试一下比较常用的openVPN使用UDP协议的性能(保姆级教程:一条命令部署OpenVPN管理系统V4版,支持Win/Mac/安卓/iOS全平台接入)。
加密算法用的是默认的AES-256-GCM,按照我们之前的测试记录(63种算法性能终极排行:谁才是无硬件加速的OpenVPN性能王者?),最高带宽为498 Mbps,平均带宽为455 Mbps。现在两台虚拟机的性能差不多,最大峰值带宽368 Mbps,平均带宽353 Mbps,相比之下性能损失还是比较严重的。最小时延0.873 ms,平均0.913 ms,时延倒还算正常。
最为对比,我们将传输协议配置为TCP再测试一下。
一升一降,最大峰值带宽提升到了444 Mbps,平均带宽397 Mbps,反方向的最大峰值带宽下降到了286 Mbps,平均带宽下降到了273 Mbps,整体不是很稳定。最小时延0.649 ms,平均0.764 ms,有所优化。
接下来,我们用strongSwan测试一下IPsec VPN的性能(成本省下99.7%!用40元的腾讯云服务器自建IPsecVPN,成功对接企业级飞塔防火墙),二阶段加密算法配置使用AES-GCM-128。
这个性能还说得过去,最大峰值带宽1.19 Gbps,平均带宽1.17 Gbps,整体比openVPN要高出将近2倍,怪不得企业还是要用IPsec VPN。最小时延0.304 ms,平均0.436 ms,几乎无感。
最后,请出我们压箱底的WireGuard来跑一下(我们的WireGuard管理系统支持手机电脑了!全平台终端配置,支持扫码连接,一键搞定)。
相比前面几种VPN,WireGuard的性能特别稳定。最大峰值带宽1.41 Gbps,平均带宽1.4 Gbps,整体比IPsec高一点点,大约20 %,没有了之前翻倍的现象(WireGuard性能竟然比IPsec性能高出7-13倍,亮瞎了!)。最小时延0.988 ms,平均1.049 ms,整体最高。
汇总一下:
性能数据都在这里了,比较令人惊讶的是,理论上不加密的L2TP VPN隧道损耗最小,应该性能最高,但实际上竟然输给了加密协议。出现这个结果,极有可能是因为L2TP VPN在Linux中主要运行在用户态,导致了大量的上下文切换开销;而IPsec和WireGuard都是内核态实现,效率极高。这就是我们常说的“架构决定下限,算法决定上限”。
不过整体而言,E5-2699v3比2678v3降低的0.2 GHz主频确实会影响性能,但从结果来看,即便主频稍低,单线程性能依然能支撑起1.4 Gbps的WireGuard流量。可见对于1 Gbps以下的业务,这0.2 GHz的差距几乎感知不到。
看完这份成绩单,你是选择稳如老狗的IPsec,还是快如闪电的WireGuard?或者你还在坚守情怀满满的openVPN?不管怎么选,这四种常用VPN的一键部署脚本我都有,欢迎选购!
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/7174.html
