web-dev-qa-db-ja.com

Cisco 2901-IPSecVPN最大化CPU

100Mbps/100Mbps WANリンクのエッジにCisco2901があり、Juniper SSG550MへのIPSecVPNのエンドポイントを提供しています。

問題は、IPSec VPNで最大「わずか」40Mbpsが見られることです。また、VPNの容量がいっぱいになると、CiscoのCPU負荷は約80〜90%になり、そこにとどまり、まったく低下しません。

_show proc cpu sorted_コマンドは私に以下を与えます:

_CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
 101      188804    47594649          3  0.23%  0.22%  0.21%   0 Ethernet Msec Ti
  14      482964      385534       1252  0.23%  0.04%  0.05%   0 Environmental mo
   3        1460         585       2495  0.15%  0.04%  0.05% 388 SSH Process
 327       85280      280383        304  0.07%  0.01%  0.00%   0 SNMP ENGINE
 127       43608    11898639          3  0.07%  0.04%  0.05%   0 IPAM Manager
 142        5920     1510439          3  0.07%  0.00%  0.00%   0 SSS Feature Time
 131      114060      407605        279  0.07%  0.03%  0.00%   0 IP Input
 325      130836      561332        233  0.07%  0.02%  0.00%   0 IP SNMP
_

そして完全を期すために、歴史:

_      888887777788888888888888888888888888888888887777711111111111
      333339999944444888884444411111111133333333339999933333333336
  100
   90                *****
   80 *************************************************
   70 *************************************************
   60 *************************************************
   50 *************************************************
   40 *************************************************
   30 *************************************************
   20 *************************************************          *
   10 ************************************************************
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)
_

暗号化/ハッシュのさまざまな組み合わせを試して、パフォーマンスを向上させようとしましたが、私が見た中で最高のものは50Mbpsで、ほんの少しだけです。予想通り、これは_DES/MD5_でした。

私はまた、物事をスピードアップするためにハードウェア暗号化モジュールが必要かもしれないことを読みました、しかし私が見ることができるものから判断すると、組み込みの暗号化モジュールがあります:

_    crypto engine name:  Virtual Private Network (VPN) Module
    crypto engine type:  hardware
                 State:  Enabled
              Location:  onboard 0
          Product Name:  Onboard-VPN
            HW Version:  1.0
           Compression:  Yes
                   DES:  Yes
                 3 DES:  Yes
               AES CBC:  Yes (128,192,256)
              AES CNTR:  No
 Maximum buffer length:  0000
      Maximum DH index:  0000
      Maximum SA index:  0000
    Maximum Flow index:  2800
  Maximum RSA key size:  0000
_

また、これがその容量に使用されているかどうかもわかりません。

ACLに関する限り、リモートで集中的に使用されるのは、外部グローバル->外部ローカルNATプールルールのみです。

また、MTUを_1452_に設定し、adjust-mssを_1400_に設定してみました。

これがハードウェアの制限なのか構成上の問題なのかを判断するのに少し問題があります。

VPNの反対側は、リソースに問題がないようです。

Cisco 2901は実際にIPsecトンネルを介して100Mbpsをプッシュできますか? Ciscoのドキュメントには、最大170Mbpsまたはそれに類似したものになる可能性があると記載されていると思います。
シスコは実際に私に次のように引用していました。
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.

ルーターが適切でない場合、同じ状況で100Mbpsを維持できるモデルはどれですか。

ハードウェア暗号化モジュールを追加することも役立ちますか?

IPsec VPNを最大限に活用するための他のヒントはありますか?

vpnperformanceciscoipseccisco-vpn
1
Antix

最初の質問に対して-40mbpsは、機能が有効になっている2901 ipsecパフォーマンス(ACL + NAT)のテスト済み仕様にぴったりです。

すべてのISRG2プラットフォームには、自動的に有効になるハードウェア暗号化が含まれています。ハードウェアモジュールが作動しなければ、40mbps近くになることはありません:)

100 mbpsのipsecをサービスでプッシュできるルーターをお探しの場合は、2951プラットフォームまたは3925プラットフォームの中間に位置します。私は3925を使用して、ある程度の余裕を持たせます。

また、米国ではHSEC(HIGHセキュリティライセンス)が必要です。これは、輸出規制では、ハードウェアの機能に関係なく、そのライセンスがないと85mbpsを超える暗号化が許可されないためです。

2
Jason Seemann