Skillnad mellan IPsec och SSL VPN genomströmning

paulzapodeanu · June 12, 2025, 3:34am

Varför är det en stor skillnad i genomströmning mellan SSL VPN och IPsec VPN till förmån för IPsec på Fortigate-brandväggar (enligt brandväggsdatasheets)? Jag tittar på Cisco ASA datasheets och de nämner bara VPN genomströmning (och en begränsning på antalet SSL VPN-användare). Det verkar vara samma för Palo Alto även om jag inte gjort mycket research där.

Det verkar som att när IKE-förhandling/SSL-handshake är klar, använder båda protokollen i princip AES256 symmetrisk kryptering. Förhandling är en sällsynt händelse, så dess påverkan på prestanda bör vara försumbar jämfört med den faktiska krypteringen/avkrypteringen av paket. Så varför är det då så stor skillnad?

pabechan · June 12, 2025, 3:34am

IPsec-trafiksessioner kan helt avlastas till hårdvara, så kärnan behöver inte bry sig om dem överhuvudtaget när de väl är upprättade.
Å andra sidan kan SSL-VPN inte helt avlastas, så paketen kommer alltid att träffa kärnan.

Andra tillverkare kan också ha prestandaskillnader, de avslöjar dem bara inte.

Wippwipp · June 12, 2025, 3:34am

Vår verkliga erfarenhet på en 601E är att SSL VPN genomströmning faktiskt är mycket högre med DTLS.

secret_configuration · June 12, 2025, 3:34am

På en 101E är skillnaden enorm. SSL VPN når max vid 60-70Mbps och IPSec vid 140Mbps.

IPsec avlastas och SSL VPN hanteras enbart av CPU:n.

underwear11 · June 12, 2025, 3:34am

För att förstärka detta, kan IPSEC utnyttja den specialbyggda NP ASIC för IPSEC men SSL måste använda CPU:n.