我们在100Mbps / 100Mbps广域网链路的边缘有一个Cisco 2901,为Juniper SSG 550M提供IPSec VPN端点。
问题是我们在IPSec VPN上看到的只有40Mbps的最大值,当VPN达到容量时,思科的CPU负载在80-90%左右,而且一直停留在那里,根本就没有下降。
show proc cpu sorted命令给我以下内容:
CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 101 188804 47594649 3 0.23% 0.22% 0.21% 0 Ethernet Msec Ti 14 482964 385534 1252 0.23% 0.04% 0.05% 0 Environmental mo 3 1460 585 2495 0.15% 0.04% 0.05% 388 SSH Process 327 85280 280383 304 0.07% 0.01% 0.00% 0 SNMP ENGINE 127 43608 11898639 3 0.07% 0.04% 0.05% 0 IPAM Manager 142 5920 1510439 3 0.07% 0.00% 0.00% 0 SSS Feature Time 131 114060 407605 279 0.07% 0.03% 0.00% 0 IP Input 325 130836 561332 233 0.07% 0.02% 0.00% 0 IP SNMP
而完整性,一个历史:
888887777788888888888888888888888888888888887777711111111111 333339999944444888884444411111111133333333339999933333333336 100 90 ***** 80 ************************************************* 70 ************************************************* 60 ************************************************* 50 ************************************************* 40 ************************************************* 30 ************************************************* 20 ************************************************* * 10 ************************************************************ 0....5....1....1....2....2....3....3....4....4....5....5....6 0 5 0 5 0 5 0 5 0 5 0 CPU% per second (last 60 seconds)
我已经尝试了许多不同的encryption/散列组合,试图挤出更多的性能,但是我已经看到它的最好速度是50Mbps,而且只有一点点。 正如预期的那样,这是DES/MD5 。
我也读过,它可能需要一个硬件encryption模块,以加快速度,但从我可以看到,有一个内置的encryption模块:
crypto engine name: Virtual Private Network (VPN) Module crypto engine type: hardware State: Enabled Location: onboard 0 Product Name: Onboard-VPN HW Version: 1.0 Compression: Yes DES: Yes 3 DES: Yes AES CBC: Yes (128,192,256) AES CNTR: No Maximum buffer length: 0000 Maximum DH index: 0000 Maximum SA index: 0000 Maximum Flow index: 2800 Maximum RSA key size: 0000
我也不知道这是否被用于它的能力。
就ACL而言,只有远程密集的是外部全局 – >局部外部NAT池规则。
我也尝试了MTU设置为1452和调整-mss设置为1400
如果这是硬件限制或configuration问题,我会遇到一些麻烦。
VPN的另一端似乎没有资源问题。
Cisco 2901实际上是否能够通过IPsec隧道推送100Mbps? 我相信思科的文档表明,它可以达到170Mbps或类似的。
思科实际上引用了以下内容:
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.
在路由器不合适的情况下,在相同的情况下,什么样的模式能够维持100Mbps?
增加一个额外的硬件encryption模块也有帮助吗?
任何其他提示,以充分利用IPsec VPN?
对于你的第一个问题 – 40mbps听起来正确的testing规范2901 ipsec性能启用function(ACL + NAT)。
所有ISR G2平台都包含自动启用的硬件encryption。 如果没有硬件模块的话,你将无法获得接近40mbps的任何地方:)
如果你正在寻找一个可以推送100 mbps ipsec服务的路由器,那么你就是在2951或3925平台之间。 我会和3925一起去,给自己一些空间。
您还需要在美国的HSEC(高安全性许可证),因为无论硬件能力如何,出口控制都不允许在没有许可证的情况下encryption超过85 mbps。