
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7233.48">

<TITLE>RE: [strongSwan-dev] load-tester plugin modification</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/plain format -->


<P><FONT SIZE=2>Hi Martin,<BR>

<BR>

> All application data is processed by the kernel, and any tool can be<BR>

> used to generated this traffic.<BR>

<BR>

> You'd have to generate the traffic that matches an existing IPsec<BR>

> connection. This can be done in the load-tester plugin, or in a<BR>

> dedicated tool.<BR>

<BR>

> What's wrong with using iperf or a similar tool to test your IPsec<BR>

> tunnel?<BR>

<BR>

So you mean that I can use the load tester to establish a number of tunnels and then generate traffic (i.e. pings) for each of these tunnels with iperf?<BR>

I thought that this is not supported by load-tester plugin.<BR>

<BR>

What I want to test is a lot of tunnels with traffic to a particular gateway.<BR>

<BR>

Regards,<BR>

Jerry<BR>

<BR>

-----Original Message-----<BR>

From: Martin Willi [<A HREF="mailto:martin@strongswan.org">mailto:martin@strongswan.org</A>]<BR>

Sent: Fri 29-Jul-11 13:16<BR>

To: Gerry Travlos<BR>

Cc: dev@lists.strongswan.org<BR>

Subject: Re: [strongSwan-dev] load-tester plugin modification<BR>

<BR>

Hi,<BR>

><BR>

> 1) Which is the main missing functionality that restricts load-tester<BR>

> from taking traffic?<BR>

<BR>

The load-tester plugin currently generates IKEv2 protocol exchanges,<BR>

mainly to test the daemon itself. It can simulate many clients, but only<BR>

the key exchange part.<BR>

<BR>

All application data is processed by the kernel, and any tool can be<BR>

used to generated this traffic. You can extend the load tester by<BR>

generating traffic to process by the kernel, but it won't have much in<BR>

common with the existing load-tester functionality.<BR>

><BR>

> 2) Is load-tester plugin the only part of the code that needs to be<BR>

> modified? Or should I look elsewhere as well?<BR>

<BR>

You'd have to generate the traffic that matches an existing IPsec<BR>

connection. This can be done in the load-tester plugin, or in a<BR>

dedicated tool.<BR>

><BR>

> 3) Am I after big and many changes or something trivial?<BR>

<BR>

Generating traffic is probably not that difficult, but it depends on<BR>

what you actually want to test.<BR>

><BR>

> 4) I've seen revision 015c1568: "Don't simulate traffic on load-tester<BR>

> kernel interface". Is this correction made in order not to allow<BR>

> traffic simulation?<BR>

<BR>

No. The load-tester can use a "faked" kernel interface stub, so that the<BR>

negotiated IPsec SAs won't get installed to the system. This is useful<BR>

in the load-tester if many identical tunnels get established that would<BR>

conflict in the kernel. This fix just changes the behavior of this stub.<BR>

><BR>

> 5) Something else that I should take into account?<BR>

<BR>

What's wrong with using iperf or a similar tool to test your IPsec<BR>

tunnel?<BR>

<BR>

Regards<BR>

Martin<BR>

<BR>

<BR>

</FONT>

</P>


</BODY>

</HTML>