IPsec トンネル接続に必要な帯域の目安

概要

拠点間の IPsec トンネル接続を行う場合、IPsec トンネルを通過するデータ通信(拠点間を流れる業務用通信など)とは別に、IPsec トンネルの接続および維持に必要な制御用通信(IKE の鍵交換など)が常時発生します。 IPsec トンネル接続を安定的に利用するためにはこの2種類の通信量を考慮して vRX の基本ライセンス(帯域)を選定する必要があります。

本ページでは、IPsec トンネル接続数が 1000 以上の場合を対象に、vRX から送信する制御用通信が全接続先に対して極度に集中したときに実測された送信帯域の合計値を示しています。なお、データ通信は行っていません。関連機器の再起動等により制御用通信が集中することがあるため、安定的にIPsec トンネルを維持するには本ページ記載の帯域が最低限必要になります。

注意事項

本ページに記載する帯域は特定の環境や設定で実測したデータを基に導き出した目安であり、実運用での安定接続を保証する帯域ではありません。お客様の使用環境や設定によって使用帯域は変わります。事前に検証することを推奨します。 検証には、こちらのページに記載されているトライアルライセンスをご利用ください。

IKEv1(アグレッシブモード)の帯域

トンネル数 制御用通信の合計帯域(*)
1000 180Mbps
2000 250Mbps
3000 310Mbps
6000 310Mbps
(*)vRX の送信方向の制御用通信の合計帯域を示しています。
  この帯域と IPsec トンネルを通過するデータ通信の帯域を加算して、vRX の基本ライセンス(帯域)を選定する必要があります。

すべてのトンネルに以下の設定を投入して測定しています。
なお、鍵交換の再送回数とキープアライブの試行回数をデフォルト値よりも少なくし、トンネル維持の条件を厳しくしていますが、通常はデフォルトの回数から変更する必要はありません。 
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes-cbc sha-hmac
  ipsec ike keepalive use 1 on heartbeat 10 3
  ipsec ike local address 1 10.255.1.1
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text PASSWORD
  ipsec ike remote address 1 any
  ipsec ike remote name 1 rt key-id
 tunnel enable 1
(略)
 tunnel enable 6000
ipsec auto refresh on
ipsec ike retry 3 5 3

関連資料

戻る