openVPN不同加密算法性能对比

最新推荐文章于 2025-04-02 16:07:01 发布
最新推荐文章于 2025-04-02 16:07:01 发布
阅读量1.1k 收藏 24
点赞数 28
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gtj0617/article/details/145819254
版权

我们前面介绍了IPsec VPN使用不同加密算法时的转发性能是不一样的(使用vSRX测试一下IPsec VPN各加密算法的性能差异),那openVPN有没有这个问题呢?

首先,我们要确认openVPN协商过程中使用的算法信息。对于默认配置,连接过程中是不显示算法信息的。

03fd6bd18d3fedfc951d5c83ccb30399.png

此时,我们可以在配置文件中增加一行verb 4配置,用于输出协商过程信息。    

f2a0f248d1bd40937e0f554d49e4af48.png

之后,我们就可以看到协商过程中关于算法的协商过程,默认使用的加密算法是AES-256-GCM,默认使用的完整性校验算法是SHA256。当然,按照我们之前的经验,影响传输性能的主要是加密算法,完整性校验算法的影响很小。

接下来,我们看一下openVPN的版本和支持的完整性校验算法情况。    

659524c76e3e00dc7ec89296670cbd75.png

貌似主流算法都能支持,再看一下支持的加密算法。    

093d3ea305becfd1ca8579ad65358f06.png    

当然,依旧很全面,但是这里面提到了密码块大小小于128位的算法不建议使用,反过来想,这些算法的性能一般会高一些。

接下来,我们先看一下两台主机直接打流的传输带宽。

4a99260979a6f1b0ef2721adee33a505.png

最高带宽26.9 Gbps,平均带宽24.7 Gbps。

然后使用openVPN隧道打流看一下。

dffaea4a3abbe6beb67eb57dc302c033.png

最高带宽498 Mbps,平均带宽455 Mbps。

观察主机资源占用情况,打流时openVPN跑慢了一核CPU,iperf也用了差不多70 %,所以CPU在两核以下的主机性能应该会更低,除非主频更高。    

032320ba3010e6df16105a0635ff4eca.png

接下来,我尝试将完整性校验算法修改为160位的SHA1算法,但是没有生效,经过了解,发现是从openVPN的2.6版本开始,当使用AEAD(Authenticated Encryption with Associated Data,带有关联数据的认证加密)加密算法(如GCM)时,数据通道的完整性校验是由加密算法本身提供的,而不是单独的auth参数。

所以配置SHA1算法无法生效,要修改的话,会影响稳定性,我也不想再换到2.5版本,那就先不测完整性校验算法了,反正影响也不大,直接测试加密算法。

对比加密算法,我们发现分为三段:第一段是算法名称,决定基础加密逻辑,主要分为AES、ARIA和CAMELLIA三种;第二段是密钥长度,是平衡安全与性能的关键参数,主要有128、192、256三种;第三段是加密模式,影响数据处理流程和安全增强功能,分为CBC、CFB、CFB1、CFB8、GCM和OFB等。

我们先测试密钥长度的影响,先将加密算法切换为AES-192-GCM。

b7316b7c0218eb00398ef7e604546913.png

相比AES-256-GCM,性能有所下降,最高带宽451 Mbps,平均带宽346 Mbps。

然后,我们将加密算法切换为AES-128-GCM。    

880eb80361c09a42909b66a85092c0bf.png

性能变化不大,最高带宽481 Mbps,平均带宽378 Mbps。

然后我们对比一下不同加密模式,先测试一下AES-128-CFB。    

f5846bdcc069ef09f694d380b7f9ac16.png

果然,使用AES-128-CFB加密算法时,完整性校验算法自动切换成了SHA1,最高带宽327 Mbps,平均带宽236 Mbps。

然后,我们测试一下AES-128-CFB1。    

92b5c7af52410305ccb06d77d4fec197.png

性能下降明显,最高带宽26.7 Mbps,平均带宽23.4 Mbps。

我们再测试一下AES-128-CFB8,最高带宽128 Mbps,平均带宽124 Mbps。    

cba0a8adbc220d9ac4d403aabf839400.png

我们再测试一下AES-128-CBC,最高带宽247 Mbps,平均带宽203 Mbps。    

2fdbe6752f46f30f52f3bb72b141725a.png

最后是AES-128-OFB,最高带宽361 Mbps,平均带宽310 Mbps。

582c07442e2b693499ab22608d6a47cf.png    

接下来,我们对比一下不同加密算法,分别测试CAMELLIA-128-CBC和ARIA-128-CBC,与AES-128-CBC进行对比。

使用CAMELLIA-128-CBC加密算法时,最高带宽257 Mbps,平均带宽222 Mbps。

35ce698228e5a614aa5e45044b6377ed.png

使用ARIA-128-CBC加密算法时,最高带宽253 Mbps,平均带宽233 Mbps。    

ea546e1e3828bed955d44af98bb8f58e.png

汇总一下测试结果:

d3578380a526ddb2a3fa4a1f02bcd199.png

这样看来,在加密模式上,排名貌似是GCM>OFB>CFB>>CBC>CFB8>CFB1;在加密算法上,排名貌似是ARIA>CAMELLIA>AES;在密钥长度上,暂时不好判断。貌似openVPN还帮我们默认选择了最适合的加密算法呢。但实际情况是这样吗?等我回头把这些算法都测试一下的。

***推荐阅读***

一道四年级数学题,DeepSeek-R1的32b以下模型全军覆没,视频为证!

哪怕用笔记本的4070显卡运行DeepSeek,都要比128核的CPU快得多!

帮你省20块!仅需2条命令即可通过Ollama本地部署DeepSeek-R1模型

离线文件分享了,快来抄作业,本地部署一个DeepSeek个人小助理

一个小游戏里的数学问题,难倒了所有的人工智能:ChatGPT、DeepSeek、豆包、通义千问、文心一言

openVPN的Linux客户端竟然比Windows客户端性能高5倍不止

没有图形界面,如何快速部署一个Ubuntu 24.10的Server虚拟机

当你买了一台Linux云主机,应该如何测试主机性能?

Ubuntu安装、配置、操作、测评MySQL数据库全体验

Ubuntu磁盘空间不足或配置错误时,如何操作扩容?

北京到新加坡时延已经300+了,是WireGuard还是openVPN能力挽狂澜?

通过WireShark对比IPsec VPN不同配置方式和算法下的报文封装差异

使用vSRX测试一下IPsec VPN各加密算法的性能差异

538a32067c0a6e429d4389666258202e.jpeg

企业级VPN服务OpenVPN
weixin_38753143的博客
10-21 2812
官方脚本下载/bin/shif [!/&&!/^#/&&$1$2;thenexit 1fithenexit 0fiexit 1#增加执行权限。
六、SSL开源项目-Open虚拟私有网络
小脑斧的博客
08-16 3508
OpenVPN是近年来新出现的开放源码项目,实现了SSL VPN的一种解决方案。
一个完善的AES加密解密测试验证工具(支持CBC\ECB\CFB\OFB\CTR\CCM\GCM\XTS\WRAP,128/192/256位)
xingyun86的专栏
04-20 5094
近日,有朋友说需要一个AES加解密库,编写好了之后,顺便封装了一个完整的AES加密解密工具。 支持CBC\ECB\CFB\OFB\CTR\CCM\GCM\XTS\WRAP 支持128/192/256位 支持UTF8/GBK字符集的加解密选择 支持BASE64/HEX格式字符串的结果显示 支持xp-win10系统 原文链接:http://ppsbbs.tech/thread-3...
frpopenvpn对比
weixin_41487423的博客
12-29 2300
如果你只需要实现远程访问内部计算机或内部某个数据库的服务,FRP可能是一个简单且有效的解决方案。FRP提供了一种轻量级的反向代理机制,可以将内部网络服务暴露给外部网络,从而实现远程访问。相对于其他复杂的VPN解决方案,FRP的配置使用较为简单。它不需要复杂的证书管理身份验证设置,只需配置服务器客户端的连接参数即可。FRP还支持TCPUDP协议,并提供了安全认证加密功能,保护数据传输的安全性。
openvpn的wireshark抓包分析
weixin_45544617的博客
09-09 1432
它支持多种网络协议,包括以太网、无线、蓝牙等,并提供了过滤、统计报告等功能,帮助网络管理员安全专业人员识别解决网络问题。2.OpenVPN的加密功能会对数据包内容进行加密处理,因此在没有相应密钥的情况下,无法直接查看加密后的数据包内容。OpenVPN与Wireshark的结合使用,主要涉及到通过Wireshark捕获分析OpenVPN生成的VPN隧道内的网络流量。.可以查看数据包的各个层(如物理层、数据链路层、网络层、传输层应用层)的信息,以了解数据的传输过程。
使用openVPN对比AESSM4加密算法性能,国密好像也没那么差
衡水铁头哥的博客
02-24 1032
通过上次的测试(openVPN不同加密算法性能对比),我们发现openVPN使用不同加密算法时,转发性能是存在差异的,如下所示:对比加密算法,可以看到,具体的加密算法分为三部分:第一部分是算法名称,决定基础加密逻辑,主要分为AES、ARIACAMELLIA三种,性能排名貌似是ARIA>CAMELLIA>AES;第二部分是密钥长度,是平衡安全与性能的关键参数,主要有128、192、256三种,具...
各种加密算法比较
LearnLHC的博客
05-21 1641
各种加密算法比较算法选择:对称加密AES,非对称加密: ECC,消息摘要: MD5,数字签名:DSA对称加密算法(加解密密钥相同)名称密钥长度运算速度安全性资源消耗DES56位较快低中3DES112位或168位慢中高AES128、192、256位快高低非对称算法(加密密钥解密密钥不同)名称成熟度安全性(取决于密钥长度)运算速度资源消耗RSA高高慢高DSA高高慢只能用于数字签名ECC低高快低(计算...
openvpn基础知识
qq_34953582的博客
10-19 1157
首先Serverclient要有相同的CA签发的证书,双方通过交互证书验证双方的合法性以决定是否建立VPN连接,然后使用对方的CA把自己目前使用的数据加密方法(类似秘钥)加密后发送给对方,由于使用对方CA加密的,所以只有对方CA对应的私钥才能解开该字符串,保证了此秘钥的安全性,并且此秘钥定期改变,对于窃听者来说,可能还没有破解出秘钥,通信双方已经更换秘钥了。预享秘钥最为简单,但同时只能用于建立点对点的vpn,基于pki的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个pki证书体系。
openwrt routeros openvpn client 无线重连报错的原因分析
Task深水炸弹
06-20 3357
通过使用openwrt Ovpn客户端连接 Routeros上的Ovpn Server,竟然因为cipher兼容性问题久久连接不上,且报错信息一踏糊涂,本文将带你运维第一视角解决企业vpn连接问题,通过日志+源码的方式定位及排除错误......
pritunl+openvpn安装及使用
weixin_42924568的博客
08-28 1962
openvpn在公司等场景下应用比较广泛,但是用openvpn作为server端,在很多时候操作使用起来还是比较麻烦;那么这里就给讲一讲通过 pritunl+openvpn 的安装、配置、路由等细节,相信你会发现一些新的用法一些以前遇到的问题的原因所在了。那么这也是我为什么用 pritunl 作为server端的原因,pritunl安装简单,配置方便(可视化太舒服了),例如配置路由、用户管理及证书下载等,操作起来简直是太轻松了~
Linux高级网络功能:深入探讨IPsec与OpenVPN配置,保障网络安全
![Linux高级网络功能:深入探讨IPsec与...在深入探讨特定技术如IPsecOpenVPN之前,本章将介绍Linux中网络功能的基础知识,帮助读者建立必要的网络概念框架。 ## 1.1 Linux网络功能简介 Linux网络功能的核心部分包
OSI模型与网络安全:加密算法与安全协议分析
通过将通信过程分解为不同的层次,OSI模型提供了一种标准化的方法,使不同的硬件软件能够互相兼容交互操作。 ## 1.2 网络安全的重要性 随着互联网的普及信息技术的发展,网络安全问题变得越来越重要。网络...
【技术更新】中兴光猫配置文件加密解密工具:最新改进与性能比较
[【技术更新】中兴光猫配置文件加密解密工具:最新改进与性能比较](https://www.androidro.ro/wp-content/uploads/2020/01/zte-f618.jpg) 参考资源链接:[中兴光猫cfg文件加密解密工具ctce8_cfg_tool使用指南]...
记一次排查与解决服务器线程/进程数超限的问题
进击的豌豆的博客
03-31 489
临时设置 kernel.pid_max,但重启后失效。使用 ps -L 查看具体进行的线程使用情况。永久设置 kernel.pid_max。查看当前线程数占用前5的进程信息。查看系统当前【线程/进程】总数。线程如何占用 PID 资源?
同一个局域网的话 如何访问另一台电脑的ip
s_sos0的博客
03-22 1800
同一个局域网的话 如何访问另一台电脑的ip
windows云服务添加启动脚本 以及开机自启动 且支持同服务器多项目部署
qq_45621643的博客
04-02 104
手动删除服务注册表项: 如果 sc delete 无法删除服务,可以通过注册表删除服务的相关项。你可以使用 regedit 打开注册表编辑器,定位到。start “RuoYi-Admin” /b 表示cmd窗口名为RuoYi-Admin 以保证项目启动的窗口唯一不被其他项目占用。卸载服务 后手动通过 mstsc 服务查看服务是否正常注册以及注册的服务是否卸载。刷新使用 服务(本地) 右键点击刷新按钮进行重新查看。
MCP服务器搜索引擎有哪些?MCP资源网站推荐
最新发布
AIbase2024的博客
04-02 130
这里不仅提供了丰富的资源强大的工具,还为开发者提供了全方位的支持活跃的社区交流平台。AIbase的MCP资源网站提供了丰富的服务器资源,这些服务器能够暴露多种数据资源,涵盖文件、数据库记录、内存中的对象等。例如,通过配置文件系统MCP服务器,AI可以便捷地读取用户桌面的文件,为AI助手提供了广泛的数据支持。比如,查询数据库、执行文件写入操作等,为开发者提供了强大的工具支持,满足多样化的开发需求。这不仅优化了通信效率,还提高了系统的稳定性可靠性,为AI与数据系统的高效连接提供了坚实保障。
局域网数据同步软件,局域网数据备份的方法
H134694890的博客
03-30 865
选择备份路径,就是你要备份什么文件夹下的东西去A电脑(服务器)。首先,我们选择一台电脑A为管理端生成传输地址、传输密码等,那我们点开管理端的文件夹,下拉至最下面,点开管理端的应用程序。选择好后,点确定,则任务建立完成(注意:一个任务对应一个存储路径,我们备份多台电脑(服务器)为方便区分,则需要建立多个任务):可以进行很复杂的备份方式,也可以内网对内网备份、还能内网的数据备份到公网IP上,同时也可以公网备份到内网家用电脑上。下图是A电脑(服务器)备份好B电脑的数据样式,备份C、D、E等等电脑(服务器)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值