IPsecエンドツーエンド遅延

エンドツーエンド遅延
http://www.n-study.com/network/2008/03/qos_1.html

 IPsecを利用して気になることがある。応答速度が思ったほど早くない。
電気、光の信号伝達速度は光速で伝えられる。秒速約30万kmである。
光回線にすれば、通信速度は100Mbpsの下り、上りが得られるが応答速度は考慮すべき点がある。
ローカルネットワークのルータにpingを送ると、次のとおり遅延ロスなしで応答が返ってくる。

C:\>ping 192.168.1.2

Pinging 192.168.1.2 with 32 bytes of data:

Reply from 192.168.1.2: bytes=32 time<1ms TTL=255
Reply from 192.168.1.2: bytes=32 time<1ms TTL=255
Reply from 192.168.1.2: bytes=32 time<1ms TTL=255
Reply from 192.168.1.2: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.1.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

IPsecで接続された同じ市内のルータにpingを送ると、41msで応答が返る。
(フレッツ光ネクストハイスピードタイプ<->フレッツADSL8M)

C:\>ping 192.168.81.2

Pinging 192.168.81.2 with 32 bytes of data:

Reply from 192.168.81.2: bytes=32 time=43ms TTL=254
Reply from 192.168.81.2: bytes=32 time=37ms TTL=254
Reply from 192.168.81.2: bytes=32 time=39ms TTL=254
Reply from 192.168.81.2: bytes=32 time=45ms TTL=254

Ping statistics for 192.168.81.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 37ms, Maximum = 45ms, Average = 41ms

 光回線で、市内であればルータ間の遅延もほとんど無く、
高速に拠点間を接続できるのではないかと思っていたが甘かった。

ローカルのパソコンから、接続拠点までのTracertの状況が次のとおりになった。

プロバイダは、DTI => DTI
(フレッツ光ネクストハイスピードタイプ<->フレッツADSL8M)

Tracing route to hogehoge.planex.ddns.vc [49.xxx.yyy.zzz]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.2
  2     6 ms     9 ms     6 ms  001.aichi-ip.dti.ne.jp [203.xxx.yyy.zzz]
  3     7 ms     8 ms     6 ms  002.aichi-ip2.dti.ad.jp [203.xxx.yyy.zzz]
  4    13 ms    15 ms    13 ms  003.otemachi4.dti.ad.jp [202.xxx.yyy.zzz]
  5    14 ms    17 ms    15 ms  004.otemachi4.dti.ad.jp [202.xxx.yyy.zzz]
  6    17 ms    15 ms    15 ms  005.FreeBit.NET [219.xxx.yyy.zzz]
  7    14 ms    20 ms    13 ms  006.FreeBit.NET [219.xxx.yyy.zzz]
  8    17 ms    16 ms    16 ms  007.FreeBit.NET [219.xxx.yyy.zzz]
  9    21 ms    25 ms    21 ms  008.FreeBit.NET [61.xxx.yyy.zzz]
 10    29 ms    25 ms    21 ms  009.FreeBit.NET [220.xxx.yyy.zzz]
 11    37 ms    42 ms    40 ms  010.yournet.ne.jp [49.xxx.yyy.zzz]

Trace complete.

愛知県から東京まで往復して中間に9台のルータを経由している。
応答速度は40ms


さらに一例、

プロバイダは、i-revo => commufa

Tracing route to hogehoge.planex.ddns.vc [115.xxx.yyy.zzz]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.2
  2     7 ms    10 ms     6 ms  001aichi.flets.2iij.net [203.xxx.yyy.zzz]
  3     6 ms     9 ms     6 ms  002AICHI-NTTwest0.flets.2iij.net [203.xxx.yyy.zzz]
  4     9 ms    12 ms     8 ms  003ngy.IIJ.Net [203.xxx.yyy.zzz]
  5     8 ms    12 ms     9 ms  004ngy.IIJ.Net [58.xxx.yyy.zzz]
  6     8 ms    11 ms     9 ms  005ngy.IIJ.Net [58.xxx.yyy.zzz]
  7     9 ms    11 ms     8 ms  006ngy.IIJ.Net [58.xxx.yyy.zzz]
  8     9 ms    12 ms     9 ms  007-210.xxx.yyy.zzz
  9    33 ms   210 ms   203 ms  008.commufa.jp [210.xxx.yyy.zzz]
 10    11 ms     9 ms     9 ms  009.commufa.jp [210.xxx.yyy.zzz]
 11    13 ms    15 ms    12 ms  010.aichiwest1.commufa.jp [115.xxx.yyy.zzz]

Trace complete.

愛知県内だけで9台のルータを経由している。
応答速度は12ms

 利用するプロバイダによって応答速度は大きく変わる。
最初のうちは、応答速度が遅いのは、IPsecの暗号化に時間がかかり30ms程度の
遅延は仕方ないのかと思ったが、2台のルータを直結してPING応答を確認したところ、
応答速度は1ms以下なので、暗号化・復号化による遅延は誤差の範囲である。

 市内電話のように、近隣のネットワークを近隣のルーターの経由のみで接続するような技術は無いものか。

 高価な専用線を引かなくてもインターネットを利用してセキュアな通信ができるようになった。
IPsecは、適切なプロバイダを選択し、ルーティングを最適化することが利用するうえでのキモになりそうだ。

 プロバイダによっては、上り帯域制限がかけられる場合もあるので、
本格運用後、突然通信が止まったり、遅くなるような事態も想像できなくはない。
転送量の余裕も考慮する必要がありそうだ。

※後日追記2011-06-27
両拠点が共に光になった結果、次のとおり応答速度が向上した。

C:\Documents and Settings\user>ping 192.168.81.2

Pinging 192.168.81.2 with 32 bytes of data:

Reply from 192.168.81.2: bytes=32 time=12ms TTL=254
Reply from 192.168.81.2: bytes=32 time=11ms TTL=254
Reply from 192.168.81.2: bytes=32 time=11ms TTL=254
Reply from 192.168.81.2: bytes=32 time=11ms TTL=254

Ping statistics for 192.168.81.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 11ms, Maximum = 12ms, Average = 11ms

C:\Documents and Settings\user>tracert 192.168.81.2

Tracing route to 192.168.81.2 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.2
  2    11 ms    11 ms    11 ms  192.168.81.2

Trace complete.

C:\Documents and Settings\user>tracert hogehoge.aaa.netvolante.jp

Tracing route to hogehoge.aaa.netvolante.jp [210.159.xxx.yyy]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.1.2
  2     7 ms     7 ms     6 ms  xxxxxxxx.aichi-ip.dti.ne.jp [203.181.xxx.yyy]
  3    11 ms    11 ms    11 ms  PPPyyyyy.aichi-ip.dti.ne.jp [210.159.xxx.yyy]

Trace complete.

C:\Documents and Settings\user>

両拠点がDTIを利用している場合。愛知県内のサーバーで接続が完了し、
2台のルータを経由しているだけで、応答速度も12mS以内となった。

利用するプロバイダによって経由するルーターが変わるため、
実運用でのノウハウの蓄積が必要と思われる。