[Ayuda] Re: Como mido el ancho de banda inflado por IPSec?

Gunnar Wolf gwolf en gwolf.org
Lun Mayo 23 18:51:26 CDT 2005 

Neo BSD & GPL dijo [Mon, May 23, 2005 at 05:14:35PM -0500]:
> > Depende de muchas variables relacionadas con el tipo de trafico que
> > estas manejando:
> Hola Gunnar, soy Jhon de Peru, jejej te tengo en el msn...

¡Hola!

Gusto leerte por esta vía - Respondo con copia a la lista, normalmente
querrás mantenerlo de esa manera, para que alguien más pueda corregir
o contribuir a las barbaridades que yo escribo :) O, en el mejor de
los casos, para que alguien más pueda beneficiarse de tus dudas.

> > - Los datos tipicamente son comprimidos antes de ser cifrados (claro,
> >   con compresion simple y orientada al bloque, para evitar penalizar
> >   al rendimiento), en buena parte para que el cifrado sea mas dificil
> >   de romper (esto es, que no haya bloques repetitivos). 
>
> Son comprimidos? independiente del protocolo para vpn que use?

Dije "típicamente" :-) 

> > - La longitud de las rafagas. Si tienes una sesion interactiva (estilo
> >   conexion ssh, conexiones SMB descubriendo vecinos, etc.) la carga
> >   util (payload) de cada paquete puede ser muy peque~na, del orden de
> >   diez bytes, incluso menos. 
>
> Ok, si tengo tipos de trafico como sesiones interactivas ...la carga
> util aumentaria unos 10 bytes +/- ... y si tengo otro tipo de
> trafico??

Depende del tipo de tráfico - pero normalmente aumentarás de manera
constante cada uno de los paquetes. Esto es, si tienes una conexión
interactiva, tu carga útil puede ser de hasta un byte, y a cada
paquete le agregarás unos 10 por los encabezados (no confundas: "carga
útil" o "payload" son los datos que quieres hacer llegar al otro
extremo, mientras que "sobrecarga" o "overhead" es el costo del
empaquetamiento). Si tienes paquetes grandes, la relación
sobrecarga/carga útil disminuye. Vamos al caso contrario: La longitud
máxima de paquetes en una red Ethernet, si no me equivoco, es de 1536
bytes. Esto significaría que perderías sólo del órden del 1% del
espacio total. Claro está, un mismo paquete IPSec podría ser dividido
en varios paquetes IP, del mismo modo que un mismo paquete IP puede
ser dividido en varias tramas Ethernet, pero vamos a ahorrarnos
detalles :)

¡Ah! Claro, no te confundas: No es una sobrecarga de 10x sobre una
conexión interactiva. El empaquetamiento de capa de enlace (Ethernet)
le pone 16 a 28 bytes [1]. El empaquetamiento IP le agrega otros
20. TCP suma otros 20 a 26 [2]. Así que, antes de ver si usas AH, ESP
o lo que sea, toma en cuenta que ya llevas de menos 56 bytes de
sobrecarga. 

> >   En estos casos, claro, agregarle un
> >   encabezado de un par de decenas de bytes es bastante considerable.
>
> Por cada paquete transmitido? cada paquete de que tamaño o que
> referencia puedo considerar ?

Claro, para cada paquete transmitido (descontando fragmentación).

> > Hay varios tipos de cifrado que puedes usar con IPSec - incluso puedes
> > usar IPSec sin cifrado, con unicamente verificacion de
> > integridad. Obviamente, los resultados dependen de eso.
>
> Al usar IPSec sin cifrado...seria como usar PPTP de microsoft y seria
> "inseguro" ?

PPTP no necesariamente es inseguro :) Depende qué tipo de cifrado le
pongas. Pero a fin de cuentas, sí, IPSec es sólo un tipo más de
entunelamiento - Eso sí, un tipo mucho más escalable, que permite una
infraestructura de llaves públicas, a diferencia de muchos esquemas
que requieren el uso de secretos compartidos (contraseñas).

> > Te sugiero asomarte a:
> >  http://www.ipsec-howto.org/
>
> OK ando leyendo alli..pero a ver si me apoyas porfas con estos datos...

Yo tampoco tengo datos :) Toda esta información te la estoy
averiguando al vuelo via Google.

Saludos!

[1] http://www.geocities.com/SiliconValley/Vista/8672/network/ethernet.html#A15
[2] http://www.networksorcery.com/enp/protocol/tcp.htm,
    http://mike.passwall.com/networking/tcppacket.html 

-- 
Gunnar Wolf - gwolf en gwolf.org - (+52-55)1451-2244 / 5623-0154
PGP key 1024D/8BB527AF 2001-10-23
Fingerprint: 0C79 D2D1 2C4E 9CE4 5973  F800 D80E F35A 8BB5 27AF


 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/

Más información sobre la lista de distribución Ayuda