Performance analysis of VPN protocols over lag architectures under varying MTU conditions
Tarih
Yazarlar
Dergi Başlığı
Dergi ISSN
Cilt Başlığı
Yayıncı
Erişim Hakkı
Özet
This thesis presents a performance comparison of two widely used VPN protocols, WireGuard and IPsec, under varying Maximum Transmission Unit (MTU) sizes and Link Aggregation (LAG) architectures. Various configurations—including Round-Robin, 802.3ad, single interface/single tunnel, and dual interface/dual tunnel setups—were evaluated using key performance metrics such as throughput, packets per second (PPS), CPU utilization, and transmission efficiency. The experiments were conducted on a multi-core Intel-based system using iPerf3 with both single and 20 parallel session tests across five different MTU values (ranging from 450 to 9200 bytes). The results show that WireGuard consistently delivers higher performance and lower CPU usage than IPsec, particularly with larger MTU sizes. While the Round-Robin mode achieved higher PPS, it also increased CPU load and caused packet reordering issues. In contrast, 802.3ad provided more stable multi-core utilization, though with slightly reduced throughput. The most efficient outcomes were observed with dual interface setups using WireGuard and high MTU values. Additionally, a mathematical model was developed to describe the relationship between throughput, MTU, CPU load, and encryption overhead. This model offers a practical tool for network engineers to design optimized VPN architectures, particularly for resource-constrained endpoint devices.
Bu tezde, günümüz ağ güvenliği ihtiyaçlarını karşılayan VPN teknolojilerinden WireGuard ve IPsec protokolleri, farklı Maksimum Aktarım Birimi (MTU) boyutları ve bağlantı birleştirme (LAG) mimarileri altında performans açısından karşılaştırılmıştır. Round-Robin, 802.3ad, tek arayüz/tek tünel, çift arayüz/çift tünel gibi çeşitli yapılandırmalar kullanılarak gerçekleştirilen testlerde; veri iletim hızı (throughput), paket gönderim hızı (PPS), işlemci kullanımı ve iletim verimliliği gibi metrikler değerlendirilmiştir. Testler, çok çekirdekli Intel tabanlı bir cihazda, iPerf3 aracıyla hem tekli hem de 20 paralel oturumla, 450 ila 9200 bayt arası beş farklı MTU değeriyle uygulanmıştır. Elde edilen sonuçlara göre, WireGuard özellikle yüksek MTU konfigürasyonlarında IPsec'e kıyasla daha yüksek performans ve daha düşük CPU kullanımı sağlamaktadır. Round-Robin yöntemi yüksek PPS sunarken işlemci yükünü artırmış, 802.3ad ise çekirdek kullanımı açısından daha dengeli ancak biraz daha düşük veri iletimi sunmuştur. Özellikle çift arayüzlü ve yüksek MTU'lu yapılarda WireGuard ile en verimli sonuçlar elde edilmiştir. Son olarak, throughput, MTU, CPU yükü ve şifreleme maliyeti gibi faktörler arasında ilişki kuran matematiksel bir model önerilmiş ve bu modelin, kaynakları sınırlı ağ cihazlarında optimum VPN mimarisi tasarımı için kullanılabileceği belirtilmiştir.
