Vpn

Cisco 2901 - IPSec VPN 最大化 CPU

  • September 28, 2014

我們在 100Mbps/100Mbps WAN 鏈路的邊緣有一個 Cisco 2901,它為 Juniper SSG 550M 提供 IPSec VPN 端點。

問題是我們在 IPSec VPN 上看到的最大“只有”40Mbps,當 VPN 滿負荷時,Cisco 上的 CPU 負載約為 80-90%,並且它一直保持在那裡並且根本不會下降。

show proc cpu sorted命令給了我以下資訊:

CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
101      188804    47594649          3  0.23%  0.22%  0.21%   0 Ethernet Msec Ti
 14      482964      385534       1252  0.23%  0.04%  0.05%   0 Environmental mo
  3        1460         585       2495  0.15%  0.04%  0.05% 388 SSH Process
327       85280      280383        304  0.07%  0.01%  0.00%   0 SNMP ENGINE
127       43608    11898639          3  0.07%  0.04%  0.05%   0 IPAM Manager
142        5920     1510439          3  0.07%  0.00%  0.00%   0 SSS Feature Time
131      114060      407605        279  0.07%  0.03%  0.00%   0 IP Input
325      130836      561332        233  0.07%  0.02%  0.00%   0 IP SNMP

為了完整起見,歷史:

     888887777788888888888888888888888888888888887777711111111111
     333339999944444888884444411111111133333333339999933333333336
 100
  90                *****
  80 *************************************************
  70 *************************************************
  60 *************************************************
  50 *************************************************
  40 *************************************************
  30 *************************************************
  20 *************************************************          *
  10 ************************************************************
    0....5....1....1....2....2....3....3....4....4....5....5....6
              0    5    0    5    0    5    0    5    0    5    0
              CPU% per second (last 60 seconds)

我嘗試了許多不同的加密/散列組合來嘗試擠出更多的性能,但我見過的最好的是 50Mbps,而且只是一點點。這DES/MD5正如預期的那樣。

我還讀到它可能需要一個硬體加密模組來加快速度,但是從我所看到的來看,有一個內置的加密模組:

   crypto engine name:  Virtual Private Network (VPN) Module
   crypto engine type:  hardware
                State:  Enabled
             Location:  onboard 0
         Product Name:  Onboard-VPN
           HW Version:  1.0
          Compression:  Yes
                  DES:  Yes
                3 DES:  Yes
              AES CBC:  Yes (128,192,256)
             AES CNTR:  No
Maximum buffer length:  0000
     Maximum DH index:  0000
     Maximum SA index:  0000
   Maximum Flow index:  2800
 Maximum RSA key size:  0000

我也不知道這是否已經習慣了它的容量。

就 ACL 而言,唯一甚至是遠端密集型的就是外部全域 -> 外部本地 NAT 池規則。

我也嘗試過將 MTU 設置為1452並將 adjust-mss 設置為1400

我在排除這是硬體限制還是配置問題時遇到了一些麻煩。

VPN 的另一端似乎沒有資源問題。

Cisco 2901 真的能夠通過 IPsec 隧道實現 100Mbps 的傳輸速度嗎?我相信思科的文件指出它可以達到 170Mbps 或類似的速度。

思科實際上引用了我以下內容:

As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.

在路由器不適合的情況下,同樣的情況下,什麼型號能夠支持100Mbps?

添加一個額外的硬體加密模組也有幫助嗎?

任何其他可以充分利用 IPsec VPN 的技巧?

對於您的第一個問題 - 在啟用功能(ACL + NAT)的 2901 ipsec 性能的測試規範上,40mbps 聽起來是正確的。

所有 ISR G2 平台都包含自動啟用的硬體加密。如果沒有硬體模組啟動,您將無法獲得接近 40mbps 的速度:)

如果您正在尋找可以通過服務推送 100 mbps ipsec 的路由器,那麼您就在 2951 或 3925 平台之間。我會選擇 3925 並給自己一些空間。

此外,您還需要美國的 HSEC(高安全性許可證),因為無論硬體能力如何,出口管制都不允許在沒有該許可證的情況下進行超過 85 mbps 的加密。

引用自:https://serverfault.com/questions/631878