$Date: 2003/10/24 08:30:55 $
トンネルインタフェースでのQoS制御の性能には限界があります。
トンネルインタフェースでのQoS制御を実現するためには通常のルーティング 処理や暗号化処理に加えて、内部キューイング処理やパケット送出タイミング 処理等が必要となり、それらのオーバーヘッドが発生します。このため制御可 能な速度域の限界が生じます。
RTX1000の場合、これらの処理を行い設定値に近いスループットを実現できる のは、最大約12Mbit/sです。
ショートパケットはロングパケットと比較してルーティング等のQoS以外の内 部処理負荷も高いので、ショートパケットが多く流れる環境下ではQoS制御が 可能な実効速度が低下します。
またクラス分けフィルタの数が多い場合それらの処理に時間を要しますので、 制御が可能となる速度が低下します。
なお受信負荷が高い場合には受信側での取りこぼしが発生し、送信側での制御 の効果が現れませんので注意が必要です。例えばRTX1000ではLAN1側スイッチ ングハブの複数のポートからルータのLAN1の受信に対して同時に負荷を与えら れますが、この時LAN1の受信処理能力をオーバーしパケットロスが生じる可能 性があります。ロスパケットの有無は show status lan1 コマンドで確認でき ます。パケットロスが生じる場合には、インタフェースの出力側で行われる QoS制御の効果を期待することはできません。
性能限界とトンネルインタフェースでのQoS制御が有効に機能する速度の目安 を示すため、IPsecでQoS利用時のパケットサイズとスループットの関係を示し ます。曲線が性能上限を示し、概ねこれよりも下が制御可能な領域となります。
┌─────┐
┌┤SmartBits ├┐ (SmartBits2000 SmartFlow使用)
↓│└─────┘│↑
│ 100-fdx │
lan1│ │
┌──┴─┐lan2 ┌─┴──┐
│RTX1000 ├───┤RTX1000 │
└────┘ └────┘
SGW ←──→ SGW
IPsec
[config]
ip route default gateway tunnel 1
ip lan1 address 192.168.0.1/24
queue lan2 type shaping
ip lan2 address 192.168.100.1/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 192.168.100.2
tunnel enable 1
ipsec auto refresh on
プロトコル別に行なうQoS制御を例に、設定例と負荷を変えて実行させた場合 のパケットロス率をグラフで示します。
┌─────┐ ┌┤SmartBits ├┐ (SmartBits2000 SmartFlow使用) ↓│└─────┘│↑ │ 100-fdx │ lan1│ │ ┌──┴─┐lan2 ┌─┴──┐ │RTX1000 ├───┤RTX1000 │ └────┘ └────┘ SGW ←──→ SGW QoS設定 IPsec
[config]
ip route default gateway tunnel 1
ip lan1 address 192.168.0.1/24
speed lan2 3000000
ip lan2 address 192.168.100.1/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 192.168.100.2
tunnel enable 1
ipsec auto refresh on
[config]
ip route default gateway tunnel 1
ip lan1 address 192.168.0.1/24
speed lan2 3000000
queue lan2 type priority
ip lan2 address 192.168.100.1/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 192.168.100.2
queue tunnel class filter list 1
tunnel enable 1
ipsec auto refresh on
queue class filter 1 4 ip * * udp * *
← ┌─────┐ ← ┌─────┤SmartBits ├─────┐ (SmartBits2000 SmartFlow使用) │ └─────┘ │ │ 100-fdx │ lan1│ │ ┌──┴─┐lan2 ┌──────┐ ┌─┴──┐ │RTX1000 ├───┤PPPoE server├──┤RTX1000 │ └────┘ └──────┘ └────┘ SGW ←────────────→ SGW QoS設定 IPsec
[config]
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip lan1 address 192.168.0.1/24
speed lan2 3000000
pp select 1
pp always-on on
pppoe use lan2
pp auth accept chap
pp auth myname name pass
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
pp enable 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 192.168.100.2
tunnel enable 1
ipsec auto refresh on
[config]
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip lan1 address 192.168.0.1/24
speed lan2 3000000
queue lan2 type priority
pp select 1
pp always-on on
pppoe use lan2
pp auth accept chap
pp auth myname name pass
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
pp enable 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 192.168.100.2
queue tunnel class filter list 1
tunnel enable 1
ipsec auto refresh on
queue class filter 1 4 ip * * udp * *
┌─────┐ ┌┤SmartBits ├┐ (SmartBits2000 SmartFlow使用) ↓│└─────┘│↑ │ │100-fdx │ ┌─┴─┐ │ │ HUB │ 100-fdx│ └─┬─┘ lan1│ │10-hdx ┌──┴─┐lan2 ┌─┴──┐ │RTX1000 ├───┤RTX1000 │ └────┘ └────┘ SGW ←──→ SGW QoS設定 IPsec
帯域制御を行わない場合は 100Mbit/sに対する20%負荷で、全ての種類のパケッ トで50%のロスが発生します。
帯域制御を行うとそれぞれのトラフィックはほぼ設定帯域に抑制されます。 帯域設定値の最も小さいUDPのロスが最も多く、逆に帯域設定値の最も大きい ICMP(デフォルトクラス)のパケットのロスが低くなります。
[config]
ip route default gateway tunnel 1
ip lan1 address 192.168.0.1/24
ip lan2 address 192.168.100.1/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 192.168.100.2
tunnel enable 1
ipsec auto refresh on
[config]
ip route default gateway tunnel 1
ip lan1 address 192.168.0.1/24
queue lan2 type shaping
queue lan2 class property 1 bandwidth=2000000
queue lan2 class property 2 bandwidth=5000000
queue lan2 class property 3 bandwidth=3000000
ip lan2 address 192.168.100.1/24
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
ipsec ike pre-shared-key 1 text key
ipsec ike remote address 1 192.168.100.2
queue tunnel class filter list 1 2
tunnel enable 1
ipsec auto refresh on
queue class filter 1 1 ip * * udp * *
queue class filter 2 3 ip * * tcp * *
| Frame size | Load [%] | Sent | Received | Lost | Loss [%] | band width [Mbit/s] | |
| total | 20.00000 | 19,224 | 9,084 | 10,140 | 52.74657 | 9.30 | |
| TCP | 1280 | 6.66667 | 6,408 | 2,761 | 3,647 | 56.91323 | 2.83 |
| UDP | 1280 | 6.66667 | 6,408 | 1,866 | 4,542 | 70.88015 | 1.91 |
| ICMP | 1280 | 6.66667 | 6,408 | 4,457 | 1,951 | 30.44632 | 4.56 |