Cisco 2901 - IPSec VPN 最大化 CPU
我們在 100Mbps/100Mbps WAN 鏈路的邊緣有一個 Cisco 2901,它為 Juniper SSG 550M 提供 IPSec VPN 端點。
問題是我們在 IPSec VPN 上看到的最大“只有”40Mbps,當 VPN 滿負荷時,Cisco 上的 CPU 負載約為 80-90%,並且它一直保持在那裡並且根本不會下降。
該
show proc cpu sorted
命令給了我以下資訊:CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 101 188804 47594649 3 0.23% 0.22% 0.21% 0 Ethernet Msec Ti 14 482964 385534 1252 0.23% 0.04% 0.05% 0 Environmental mo 3 1460 585 2495 0.15% 0.04% 0.05% 388 SSH Process 327 85280 280383 304 0.07% 0.01% 0.00% 0 SNMP ENGINE 127 43608 11898639 3 0.07% 0.04% 0.05% 0 IPAM Manager 142 5920 1510439 3 0.07% 0.00% 0.00% 0 SSS Feature Time 131 114060 407605 279 0.07% 0.03% 0.00% 0 IP Input 325 130836 561332 233 0.07% 0.02% 0.00% 0 IP SNMP
為了完整起見,歷史:
888887777788888888888888888888888888888888887777711111111111 333339999944444888884444411111111133333333339999933333333336 100 90 ***** 80 ************************************************* 70 ************************************************* 60 ************************************************* 50 ************************************************* 40 ************************************************* 30 ************************************************* 20 ************************************************* * 10 ************************************************************ 0....5....1....1....2....2....3....3....4....4....5....5....6 0 5 0 5 0 5 0 5 0 5 0 CPU% per second (last 60 seconds)
我嘗試了許多不同的加密/散列組合來嘗試擠出更多的性能,但我見過的最好的是 50Mbps,而且只是一點點。這
DES/MD5
正如預期的那樣。我還讀到它可能需要一個硬體加密模組來加快速度,但是從我所看到的來看,有一個內置的加密模組:
crypto engine name: Virtual Private Network (VPN) Module crypto engine type: hardware State: Enabled Location: onboard 0 Product Name: Onboard-VPN HW Version: 1.0 Compression: Yes DES: Yes 3 DES: Yes AES CBC: Yes (128,192,256) AES CNTR: No Maximum buffer length: 0000 Maximum DH index: 0000 Maximum SA index: 0000 Maximum Flow index: 2800 Maximum RSA key size: 0000
我也不知道這是否已經習慣了它的容量。
就 ACL 而言,唯一甚至是遠端密集型的就是外部全域 -> 外部本地 NAT 池規則。
我也嘗試過將 MTU 設置為
1452
並將 adjust-mss 設置為1400
我在排除這是硬體限制還是配置問題時遇到了一些麻煩。
VPN 的另一端似乎沒有資源問題。
Cisco 2901 真的能夠通過 IPsec 隧道實現 100Mbps 的傳輸速度嗎?我相信思科的文件指出它可以達到 170Mbps 或類似的速度。
思科實際上引用了我以下內容:
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.
在路由器不適合的情況下,同樣的情況下,什麼型號能夠支持100Mbps?
添加一個額外的硬體加密模組也有幫助嗎?
任何其他可以充分利用 IPsec VPN 的技巧?
對於您的第一個問題 - 在啟用功能(ACL + NAT)的 2901 ipsec 性能的測試規範上,40mbps 聽起來是正確的。
所有 ISR G2 平台都包含自動啟用的硬體加密。如果沒有硬體模組啟動,您將無法獲得接近 40mbps 的速度:)
如果您正在尋找可以通過服務推送 100 mbps ipsec 的路由器,那麼您就在 2951 或 3925 平台之間。我會選擇 3925 並給自己一些空間。
此外,您還需要美國的 HSEC(高安全性許可證),因為無論硬體能力如何,出口管制都不允許在沒有該許可證的情況下進行超過 85 mbps 的加密。