如果把Linux主机作为路由器转发流量，性能可靠吗？

正文共：666 字 13 图，预估阅读时间：1 分钟

strongSwan是一个开源的基于IPsec的VPN解决方案，我计划是将strongSwan部署在CentOS系统中，但是这中间涉及到一个小问题，那就是strongSwan网关的子网怎么处理？

后来想到Linux系统能够开启转发功能，之前的服务器上云也是这么配置的（成本增加了100块，内网服务器上公网解决方案2.0重磅来袭！），要不说Linux系统被厂商拿来二次开发作为网络设备使用呢。

命令也是非常简单，只要把系统的IP转发功能打开就行了，配置文件为/proc/sys/net/ipv4/ip_forward，默认值为0，表示设备不参与IP转发。

我们先按照下图所示将两台Linux主机（4核CPU、4 GB内存）连接起来，用iperf3测一下转发性能。

得到直连时转发带宽约为10.9 Gbps。

然后在两台主机之间串接一台Linux主机（4核CPU、4 GB内存），如下如所示：

分别配置好接口地址和路由，测试Host1和Host2的互通情况。

可以看到Host2主机上有去往Host1的路由，下一跳也是通的，但是无法到达Host1。

从Host1上测试访问Host2的结果也是一样的。此时我们打开主机Linux1的IP转发功能。

echo 1 > /proc/sys/net/ipv4/ip_forward

再次测试状态就正常了。

此时用iperf3测试一下转发性能，Host2作为服务器端，打流一分钟。

性能大概是7.38 Gbps，还记得上次VSR的转发性能是6.5 Gbps左右（常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等)）。期间查看Linux1主机的性能消耗，发现CPU最大利用率为23 %，内存无明显增长。

然后服务器和客户端对调测试一下，打流一分钟。

性能大概是5.45 Gbps。期间查看Linux1主机的性能消耗，发现CPU最大利用率为1.3%，内存无明显增长。应该是Linux1主机偷懒了。

要测试strongSwan，就要再加一台主机，组网拓扑改成下图这样。

配置完成之后测试Host1到Host2的连通性。

此时用iperf3测试一下转发性能，Host2作为服务器端，打流一分钟。

性能大概是6.97 Gbps，相比单台Linux主机转发的7.38 Gbps性能仅下降5.5%。然后服务器和客户端对调测试一下，打流一分钟。

得到转发性能大概是5.48Gbps，比只接一台Linux主机的5.45 Gbps甚至要高出一点点。整体而言，比两台VSR串接的2 Gbps要高出几倍了。

好了，环境保留，改天继续测试strongSwan。

长按二维码
关注我们吧

常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等)

HCL中虚拟设备的转发性能怎么样？今天我们来测一下

如何在VirtualBox上装一台CentOS虚拟机

strongSwan之ipsec.conf配置手册

使用IKEv2配置IPsec，能更快吗？

一篇能解决90%以上SSL VPN问题的武林秘籍

对VNF进行测试时有哪些注意事项？