IPSecをかけると通信量はどれだけ増えるの？

Question

2拠点間を広域イーサで接続し、Webやメールなどの通常の通信を暗号化なしで
行っている場合と比較して、
両拠点間をIPSec(AES255)で暗号化を掛けたときには、
一般的に通信量はどれだけ増えるものなのでしょうか？
また、帯域設計はどのようにするものなのでしょうか？

VoIPなどの極端なショートパケットが無い場合を想定しております。
抽象的な質問で申し訳ありませんがよろしくお願いします。

onosuke · Accepted Answer

まず前提として、
「終端装置(ONU等)との接続速度」＝「アクセス回線容量」を前提とします。

# ONUまで100Mbps(100Base-TX)、回線容量は 50Mbps(契約容量)などの場合、
# 契約容量を超過した場合の網側の挙動を考慮する必要があるため。

第１に、
ネットワークの性能設計を考える場合、
通信量（バイト数）ではなく、
必ず PPS（パケット数）ベースで検討をはじめましょう。

# パケット単位の視点でないと、見えないものが多くあります。
# PPS（パケット数）ベースの検討を進めた後、
# 通信量（バイト数）ベースに落とし込むのはありです。

第２に、
IPSec利用時のオーバヘッドについて
　１．IPSecヘッダ類の追加によるヘッダバイト数分のオーバヘッド。
　２．MTU減少によるIPパケットのフラグメント化によるオーバヘッド。
の2種類があります。

１．は、パケット数単位で考えると、
パケット数が変わらないのなら、ヘッダの影響で多少通信量が増えても、
回線容量の見積もりに与える影響は無視できる。という判断も可能です。
実際、MTU減少するだけなので、ショートパケットには影響ありません。

２．はちゃんと考慮しておかないと、甚大な影響を与える可能性あり。
パケット数が2倍（実効回線容量が1/2程度）になってしまう可能性を秘めており、
十二分な対策が必要です。
# うっかりすると、1500バイトのパケットが 1450バイト+50バイトに分割されてしまうかも。

最後に、
＞一般的に通信量はどれだけ増えるものなのでしょうか？
という質問への回答について

「２．フラグメント問題への対処が完璧」という仮定で話を進める場合、
通信量ベースへの影響は、
　・ショートパケット 100%だと影響なし。
　・ロングパケット 100%だと、MTU減少の分、通信可能量が減る。
となります。

通信量ベースの話をざっくりと見積もるのであれば、
　・ロングパケット 100%の前提で MTU減少分を考えればよし。
　・MTU減少が1500→1450程度なら、約3.5%の増加です。

なお、回線リプレイスの話であれば、考え方そのものを見直して、
　ネットワーク機器上で、今現在のPPS（パケット数）をカウント。
　PPSに見合う回線容量を選定する。
のがオススメです。

p.s.1
文中のバイト数は、計算が面倒だったので
適当に丸めた値で書いています。

p.s.2
広域イーサ前提で考えているので、
一昔前によくあったATM向けやパケット交換網向けの話とは合致しない点があります。

まず前提として、