私たちはFortigate 100E(1Gbps WAN)を使ったフルトンネルを運用しており、FortiClient SSL VPNを通じて60-70Mbps以上の速度を引き出すことはほとんどありません。IPSecを使用した場合は最大120Mbpsに達します。
speedtest.netを利用してテストを行っており(全て同じテストサーバーを使用)、本社内からは1Gbpsのリンク速度を最大限に活用できています。リモートクライアントはVPN経由で200Mbpsを出しています。
SSL VPNのスループットを向上させるために調整可能なポイントや、これがFortiClientの制限なのかどうかについてアドバイスをいただけますか?
DTLSは既に有効になっています。
SSL VPNの速度はおそらく妥当な範囲です。
SSL VPNサービスは接続を処理するためにユーザごとのプロセスを起動しますが、これは基本的にTCPまたはDTLS(UDP)上のPPPに似ています。
このプロセスはマルチスレッドではなく、CPUコアのひとつだけを使用します。
複数のユーザがデバイスに接続した場合、全CPUコアを利用して合計で最大250Mbpsに達することがあります。60E、80E、100EはクアッドコアCPUを搭載しています。
これは私の60E上でのSSL VPNの観察に基づくものです。
リモートクライアントが200Mbpsを出しているのは、おそらくあなたのモデルが良いのでしょう。データシートを調べたところ、100EはSSL VPNで200Mbpsのスループットを得ると記載されていました。
IPSecについては答えられません(笑)
DTLSを使えばSSL VPNで100Mbps以上は可能ですが、私たちは601Eゲートウェイを持っています。おそらくそれ以上の速度はFortiClientのソフトウェア側の制限であり、すべての暗号化がソフトウェアで行われているからだと思います。今後ハードウェアにオフロードできるようになってくれると良いですね。
SSLはひどいものでしたが、FortiClientの設定で「DTLSを優先する」にチェックを入れたら改善しました(60Dの場合)。
VPN外のクライアントで200-240Mbps(接続のダウンロード速度の最大値)です。VPN経由ではSSLで60-70Mbps、IPSecで120Mbpsです。
100EはSSL VPNのスループットが250Mbpsと評価されているので、もう少し高速で引き出せると思っていました。
250Mbpsは総帯域幅の可能性が高いです。つまり、端末に4つのCPUコアがあり、4×60Mbpsを処理できるということです。SSL VPNは完全にCPUに依存しており、ハードウェアのオフロードは一切ありません。
単一セッションで250Mbpsになるとどこにも記載されていません。
良い指摘です。おそらく250Mbpsは合計の制限である可能性が高いです。誰かがテストしてその結果を共有してくれると良いですね。
可能であれば、IPsecを利用したユーザの移行が最良の結果をもたらすでしょう。SSL VPN(特にWebモード)はハードウェアに非常に負荷がかかります(あなたが今、それを身をもって理解していると思います)。
データシートには100EのSSLの限界は250 Mbpsと記載されています。