Cisco 2901 - IPSec VPN 最大化 CPU

我們在 100Mbps/100Mbps WAN 鏈路的邊緣有一個 Cisco 2901，它為 Juniper SSG 550M 提供 IPSec VPN 端點。

問題是我們在 IPSec VPN 上看到的最大“只有”40Mbps，當 VPN 滿負荷時，Cisco 上的 CPU 負載約為 80-90%，並且它一直保持在那裡並且根本不會下降。

該show proc cpu sorted命令給了我以下資訊：

CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
101      188804    47594649          3  0.23%  0.22%  0.21%   0 Ethernet Msec Ti
 14      482964      385534       1252  0.23%  0.04%  0.05%   0 Environmental mo
  3        1460         585       2495  0.15%  0.04%  0.05% 388 SSH Process
327       85280      280383        304  0.07%  0.01%  0.00%   0 SNMP ENGINE
127       43608    11898639          3  0.07%  0.04%  0.05%   0 IPAM Manager
142        5920     1510439          3  0.07%  0.00%  0.00%   0 SSS Feature Time
131      114060      407605        279  0.07%  0.03%  0.00%   0 IP Input
325      130836      561332        233  0.07%  0.02%  0.00%   0 IP SNMP

為了完整起見，歷史：

     888887777788888888888888888888888888888888887777711111111111
     333339999944444888884444411111111133333333339999933333333336
 100
  90                *****
  80 *************************************************
  70 *************************************************
  60 *************************************************
  50 *************************************************
  40 *************************************************
  30 *************************************************
  20 *************************************************          *
  10 ************************************************************
    0....5....1....1....2....2....3....3....4....4....5....5....6
              0    5    0    5    0    5    0    5    0    5    0
              CPU% per second (last 60 seconds)

我嘗試了許多不同的加密/散列組合來嘗試擠出更多的性能，但我見過的最好的是 50Mbps，而且只是一點點。這DES/MD5正如預期的那樣。

我還讀到它可能需要一個硬體加密模組來加快速度，但是從我所看到的來看，有一個內置的加密模組：

   crypto engine name:  Virtual Private Network (VPN) Module
   crypto engine type:  hardware
                State:  Enabled
             Location:  onboard 0
         Product Name:  Onboard-VPN
           HW Version:  1.0
          Compression:  Yes
                  DES:  Yes
                3 DES:  Yes
              AES CBC:  Yes (128,192,256)
             AES CNTR:  No
Maximum buffer length:  0000
     Maximum DH index:  0000
     Maximum SA index:  0000
   Maximum Flow index:  2800
 Maximum RSA key size:  0000

我也不知道這是否已經習慣了它的容量。

就 ACL 而言，唯一甚至是遠端密集型的就是外部全域 -> 外部本地 NAT 池規則。

我也嘗試過將 MTU 設置為1452並將 adjust-mss 設置為1400

我在排除這是硬體限制還是配置問題時遇到了一些麻煩。

VPN 的另一端似乎沒有資源問題。

Cisco 2901 真的能夠通過 IPsec 隧道實現 100Mbps 的傳輸速度嗎？我相信思科的文件指出它可以達到 170Mbps 或類似的速度。

思科實際上引用了我以下內容：

As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.

在路由器不適合的情況下，同樣的情況下，什麼型號能夠支持100Mbps？

添加一個額外的硬體加密模組也有幫助嗎？

任何其他可以充分利用 IPsec VPN 的技巧？

對於您的第一個問題 - 在啟用功能（ACL + NAT）的 2901 ipsec 性能的測試規範上，40mbps 聽起來是正確的。

所有 ISR G2 平台都包含自動啟用的硬體加密。如果沒有硬體模組啟動，您將無法獲得接近 40mbps 的速度:)

如果您正在尋找可以通過服務推送 100 mbps ipsec 的路由器，那麼您就在 2951 或 3925 平台之間。我會選擇 3925 並給自己一些空間。

此外，您還需要美國的 HSEC（高安全性許可證），因為無論硬體能力如何，出口管制都不允許在沒有該許可證的情況下進行超過 85 mbps 的加密。

引用自：https://serverfault.com/questions/631878