Cisco 2901 - CPU de maximização de VPN IPSec

Question

Cisco 2901 - CPU de maximização de VPN IPSec

#1 resposta do (2 votos)

1

Temos um Cisco 2901 à beira de um link WAN de 100Mbps / 100Mbps que fornece um ponto de extremidade para uma VPN IPSec a um Juniper SSG 550M.

O problema é que estamos vendo um máximo de 'apenas' 40Mbps sobre a VPN IPSec e, quando a VPN está com capacidade, a carga da CPU na Cisco está em torno de 80-90%, e ela permanece lá e não cai em tudo.

O comando show proc cpu sorted me fornece o seguinte:

CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
 101      188804    47594649          3  0.23%  0.22%  0.21%   0 Ethernet Msec Ti
  14      482964      385534       1252  0.23%  0.04%  0.05%   0 Environmental mo
   3        1460         585       2495  0.15%  0.04%  0.05% 388 SSH Process
 327       85280      280383        304  0.07%  0.01%  0.00%   0 SNMP ENGINE
 127       43608    11898639          3  0.07%  0.04%  0.05%   0 IPAM Manager
 142        5920     1510439          3  0.07%  0.00%  0.00%   0 SSS Feature Time
 131      114060      407605        279  0.07%  0.03%  0.00%   0 IP Input
 325      130836      561332        233  0.07%  0.02%  0.00%   0 IP SNMP

E para completar, uma história:

      888887777788888888888888888888888888888888887777711111111111
      333339999944444888884444411111111133333333339999933333333336
  100
   90                *****
   80 *************************************************
   70 *************************************************
   60 *************************************************
   50 *************************************************
   40 *************************************************
   30 *************************************************
   20 *************************************************          *
   10 ************************************************************
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)

Eu tentei muitas combinações diferentes de criptografia / hashing para tentar extrair mais desempenho, mas o melhor que eu já vi é a 50Mbps e apenas um pouco. Este foi DES/MD5 como esperado.

Eu também li que pode ser necessário um módulo de criptografia de hardware para acelerar as coisas, mas a julgar pelo que eu vejo, existe um módulo de criptografia embutido:

    crypto engine name:  Virtual Private Network (VPN) Module
    crypto engine type:  hardware
                 State:  Enabled
              Location:  onboard 0
          Product Name:  Onboard-VPN
            HW Version:  1.0
           Compression:  Yes
                   DES:  Yes
                 3 DES:  Yes
               AES CBC:  Yes (128,192,256)
              AES CNTR:  No
 Maximum buffer length:  0000
      Maximum DH index:  0000
      Maximum SA index:  0000
    Maximum Flow index:  2800
  Maximum RSA key size:  0000

Eu também não sei se isso está sendo usado para sua capacidade.

No que diz respeito às ACLs, a única que seria mesmo remotamente intensiva é uma Outside Global - > Regra do pool NAT local externo.

Eu também tentei com o MTU definido como 1452 e adjust-mss definido como 1400

Estou tendo problemas para descartar se isso é uma limitação de hardware ou um problema de configuração.

O outro lado da VPN parece não ter problemas com recursos.

O Cisco 2901 é realmente capaz de empurrar 100Mbps em um túnel IPsec? Eu acredito que a documentação da Cisco declara que pode ir até 170Mbps ou algo similar.
A Cisco realmente me citou o seguinte: As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.

No caso de o roteador não ser adequado, qual modelo seria capaz de sustentar 100Mbps nas mesmas circunstâncias?

A adição de um módulo adicional de criptografia de hardware também ajudaria?

Alguma outra dica para extrair o máximo de uma VPN IPsec?

performance vpn cisco ipsec cisco-vpn

por Antix 28.09.2014 / 14:47

1 resposta

Tags performance vpn cisco ipsec cisco-vpn

Não é possível conectar-se à área de trabalho remota do Windows por remmina do Ubuntu 14.04? Logstash não está lendo logs a menos que seja legível por todos

score 2 · Accepted Answer

A sua primeira pergunta - sons de 40mbps sobre a especificação testada para o desempenho 2901 ipsec com recursos habilitados (ACL + NAT).

Todas as plataformas ISR G2 incluem criptografia de hardware que é ativada automaticamente. Você não estaria chegando perto dos 40mbps sem o módulo de hardware entrar em ação:)

Se você estiver procurando por um roteador que possa enviar 100 mbps de ipsec com serviços, você está entre a plataforma 2951 ou a 3925. Eu iria com o 3925 e me daria um pouco de espaço.

Além disso, você precisará do HSEC (licença de segurança ALTA) nos EUA, porque os controles de exportação não permitem criptografia além de 85 mbps sem essa licença, independentemente da capacidade do hardware.