Назад | Перейти на главную страницу

Cisco 2901 - ЦП с максимальной нагрузкой на IPSec VPN

У нас есть Cisco 2901 на границе канала WAN 100 Мбит / с / 100 Мбит / с, который обеспечивает конечную точку для IPSec VPN и Juniper SSG 550M.

Проблема в том, что мы наблюдаем максимальную скорость «всего» 40 Мбит / с по IPSec VPN, а когда VPN работает на полную мощность, загрузка ЦП Cisco составляет около 80-90%, и она остается там и не падает вообще.

В show proc cpu sorted команда дает мне следующее:

CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
 101      188804    47594649          3  0.23%  0.22%  0.21%   0 Ethernet Msec Ti
  14      482964      385534       1252  0.23%  0.04%  0.05%   0 Environmental mo
   3        1460         585       2495  0.15%  0.04%  0.05% 388 SSH Process
 327       85280      280383        304  0.07%  0.01%  0.00%   0 SNMP ENGINE
 127       43608    11898639          3  0.07%  0.04%  0.05%   0 IPAM Manager
 142        5920     1510439          3  0.07%  0.00%  0.00%   0 SSS Feature Time
 131      114060      407605        279  0.07%  0.03%  0.00%   0 IP Input
 325      130836      561332        233  0.07%  0.02%  0.00%   0 IP SNMP

И для полноты истории:

      888887777788888888888888888888888888888888887777711111111111
      333339999944444888884444411111111133333333339999933333333336
  100
   90                *****
   80 *************************************************
   70 *************************************************
   60 *************************************************
   50 *************************************************
   40 *************************************************
   30 *************************************************
   20 *************************************************          *
   10 ************************************************************
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)

Я пробовал много различных комбинаций шифрования / хеширования, чтобы попытаться выжать больше производительности, но лучшее, что я видел, - это 50 Мбит / с и совсем немного. Это было DES/MD5 как и ожидалось.

Я также читал, что для ускорения работы может потребоваться модуль аппаратного шифрования, однако, судя по тому, что я вижу, есть встроенный модуль шифрования:

    crypto engine name:  Virtual Private Network (VPN) Module
    crypto engine type:  hardware
                 State:  Enabled
              Location:  onboard 0
          Product Name:  Onboard-VPN
            HW Version:  1.0
           Compression:  Yes
                   DES:  Yes
                 3 DES:  Yes
               AES CBC:  Yes (128,192,256)
              AES CNTR:  No
 Maximum buffer length:  0000
      Maximum DH index:  0000
      Maximum SA index:  0000
    Maximum Flow index:  2800
  Maximum RSA key size:  0000

Я также не знаю, используется ли это на полную мощность.

Что касается списков ACL, то единственное, что может быть даже удаленно интенсивным, - это правило Outside Global -> Outside Local NAT Pool.

Я также пробовал с установкой MTU на 1452 и adjust-mss установлен на 1400

У меня небольшие проблемы с определением, связано ли это с аппаратным ограничением или проблемой конфигурации.

Другая сторона VPN, похоже, не имеет проблем с ресурсами.

Действительно ли Cisco 2901 способна передавать 100 Мбит / с по туннелю IPsec? Я считаю, что в документации Cisco указано, что скорость может достигать 170 Мбит / с или что-то подобное.
Cisco процитировала мне следующее:
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.

В случае, если маршрутизатор не подходит, какая модель сможет поддерживать 100 Мбит / с в тех же условиях?

Помогло бы также добавление дополнительного модуля аппаратного шифрования?

Есть ли другие советы, как выжать максимум из IPsec VPN?

К вашему первому вопросу - 40 Мбит / с звучит примерно точно в проверенной спецификации для производительности 2901 ipsec с включенными функциями (ACL + NAT).

Все платформы ISR G2 включают аппаратное шифрование, которое включается автоматически. Вы не смогли бы приблизиться к 40 Мбит / с, если бы не включился аппаратный модуль :)

Если вы ищете маршрутизатор, который может передавать 100 Мбит / с ipsec со службами, вы находитесь между платформой 2951 или 3925. Я бы выбрал 3925 и оставил себе немного места.

Кроме того, в США вам понадобится лицензия HSEC (HIGH security license), потому что экспортный контроль не позволяет шифрование со скоростью выше 85 Мбит / с без этой лицензии, независимо от возможностей оборудования.