У нас есть Cisco 2901 на границе канала WAN 100 Мбит / с / 100 Мбит / с, который обеспечивает конечную точку для IPSec VPN и Juniper SSG 550M.
Проблема в том, что мы наблюдаем максимальную скорость «всего» 40 Мбит / с по IPSec VPN, а когда VPN работает на полную мощность, загрузка ЦП Cisco составляет около 80-90%, и она остается там и не падает вообще.
В show proc cpu sorted
команда дает мне следующее:
CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
101 188804 47594649 3 0.23% 0.22% 0.21% 0 Ethernet Msec Ti
14 482964 385534 1252 0.23% 0.04% 0.05% 0 Environmental mo
3 1460 585 2495 0.15% 0.04% 0.05% 388 SSH Process
327 85280 280383 304 0.07% 0.01% 0.00% 0 SNMP ENGINE
127 43608 11898639 3 0.07% 0.04% 0.05% 0 IPAM Manager
142 5920 1510439 3 0.07% 0.00% 0.00% 0 SSS Feature Time
131 114060 407605 279 0.07% 0.03% 0.00% 0 IP Input
325 130836 561332 233 0.07% 0.02% 0.00% 0 IP SNMP
И для полноты истории:
888887777788888888888888888888888888888888887777711111111111
333339999944444888884444411111111133333333339999933333333336
100
90 *****
80 *************************************************
70 *************************************************
60 *************************************************
50 *************************************************
40 *************************************************
30 *************************************************
20 ************************************************* *
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per second (last 60 seconds)
Я пробовал много различных комбинаций шифрования / хеширования, чтобы попытаться выжать больше производительности, но лучшее, что я видел, - это 50 Мбит / с и совсем немного. Это было DES/MD5
как и ожидалось.
Я также читал, что для ускорения работы может потребоваться модуль аппаратного шифрования, однако, судя по тому, что я вижу, есть встроенный модуль шифрования:
crypto engine name: Virtual Private Network (VPN) Module
crypto engine type: hardware
State: Enabled
Location: onboard 0
Product Name: Onboard-VPN
HW Version: 1.0
Compression: Yes
DES: Yes
3 DES: Yes
AES CBC: Yes (128,192,256)
AES CNTR: No
Maximum buffer length: 0000
Maximum DH index: 0000
Maximum SA index: 0000
Maximum Flow index: 2800
Maximum RSA key size: 0000
Я также не знаю, используется ли это на полную мощность.
Что касается списков ACL, то единственное, что может быть даже удаленно интенсивным, - это правило Outside Global -> Outside Local NAT Pool.
Я также пробовал с установкой MTU на 1452
и adjust-mss установлен на 1400
У меня небольшие проблемы с определением, связано ли это с аппаратным ограничением или проблемой конфигурации.
Другая сторона VPN, похоже, не имеет проблем с ресурсами.
Действительно ли Cisco 2901 способна передавать 100 Мбит / с по туннелю IPsec? Я считаю, что в документации Cisco указано, что скорость может достигать 170 Мбит / с или что-то подобное.
Cisco процитировала мне следующее:
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.
В случае, если маршрутизатор не подходит, какая модель сможет поддерживать 100 Мбит / с в тех же условиях?
Помогло бы также добавление дополнительного модуля аппаратного шифрования?
Есть ли другие советы, как выжать максимум из IPsec VPN?
К вашему первому вопросу - 40 Мбит / с звучит примерно точно в проверенной спецификации для производительности 2901 ipsec с включенными функциями (ACL + NAT).
Все платформы ISR G2 включают аппаратное шифрование, которое включается автоматически. Вы не смогли бы приблизиться к 40 Мбит / с, если бы не включился аппаратный модуль :)
Если вы ищете маршрутизатор, который может передавать 100 Мбит / с ipsec со службами, вы находитесь между платформой 2951 или 3925. Я бы выбрал 3925 и оставил себе немного места.
Кроме того, в США вам понадобится лицензия HSEC (HIGH security license), потому что экспортный контроль не позволяет шифрование со скоростью выше 85 Мбит / с без этой лицензии, независимо от возможностей оборудования.