Cisco 1811 ipsec скорость

[artplanet]

Читаю документацию - http://www.cisco.com/web/partners/downloads/765/tools/quickreference/vpn_performance_eng.pdf

моделька 1811 должна иметь скорость 40 мегабит в ipsec

однако на деле я вижу:

 30 second input rate 12745000 bits/sec, 1091 packets/sec

никаких натов и ничего большего на железке нету

CPU utilization for five seconds: 99%/62%; one minute: 95%; five minutes: 66%
PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process 
105      299360       54139       5529 34.40% 40.06% 28.31%   0 IP Input         
  5       22924        1317      17406  1.28%  0.73%  0.91%   0 Check heaps      
  6       19208       39353        488  1.20%  2.42%  1.56%   0 Pool Manager     
 73        5544       13736        403  0.08%  0.45%  0.31%   0 COLLECT STAT COU 

настройки ipsec:

crypto isakmp policy 10
encr aes 256
hash sha512
authentication pre-share

crypto ipsec transform-set myset-3 esp-aes esp-sha-hmac 

 

все остальное по стандартной схеме настроено

как можно ускорить ipsec? может какое то шифрование сделать попроще ?

[zhenya`]

3des

[ShyLion]

Читаю документацию - http://www.cisco.com/web/partners/downloads/765/tools/quickreference/vpn_performance_eng.pdf

моделька 1811 должна иметь скорость 40 мегабит в ipsec

 

Дели на 10 такие "документы".

[v_r]

Читаю документацию - http://www.cisco.com...ormance_eng.pdf

 

По документу 2821 шифрует 56М трафика без AIM-VPN, на реальном трафике выдавала около 50М.

Может в вашем случае другая сторона не может шифровать быстрее?

[artplanet]

Может в вашем случае другая сторона не может шифровать быстрее?

 

тогда бы проц был бы не в полку. Да и с другой стороны 3845 с модулем AIM-VPN-3

 

3des

 

на сколько быстрее такой алгоритм? пару процентов или в 2-3 раза ?

[starik-i-more]

А чем обусловлен выбор таких параметров?

 

encr aes 256

hash sha512

 

Я бы попробовал aes 128 и sha1

[artplanet]

А чем обусловлен выбор таких параметров?

 

encr aes 256

hash sha512

 

Я бы попробовал aes 128 и sha1

 

что в гугле нашли - то и включили.

попробую сегодня сменить на aes128 и sha1

[zi_rus]

3des

в сети пишут что аес лучше по производительности на cpu, а 1811 безусловно софтроутер

 

так что или аес128 или простой дес

[ilia_2s]

Настроек уже точно не помню, но точно помню, что у нас на объектах после 20 мегабит 1811 задыхаться начинала, поэтому с ростом сети и каналов где-то в 2009-10 году уже меняли ее, на другое.

[artplanet]

что то мнения расходятся...

 

 ah-md5-hmac      AH-HMAC-MD5 transform
 ah-sha-hmac      AH-HMAC-SHA transform
 ah-sha256-hmac   AH-HMAC-SHA256 transform
 ah-sha384-hmac   AH-HMAC-SHA384 transform
 ah-sha512-hmac   AH-HMAC-SHA512 transform
 comp-lzs         IP Compression using the LZS compression algorithm
 esp-3des         ESP transform using 3DES(EDE) cipher (168 bits)
 esp-aes          ESP transform using AES cipher
 esp-des          ESP transform using DES cipher (56 bits)
 esp-gcm          ESP transform using GCM cipher
 esp-gmac         ESP transform using GMAC cipher
 esp-md5-hmac     ESP transform using HMAC-MD5 auth
 esp-null         ESP transform w/o cipher
 esp-seal         ESP transform using SEAL cipher (160 bits)
 esp-sha-hmac     ESP transform using HMAC-SHA auth
 esp-sha256-hmac  ESP transform using HMAC-SHA256 auth
 esp-sha384-hmac  ESP transform using HMAC-SHA384 auth
 esp-sha512-hmac  ESP transform using HMAC-SHA512 auth

 

где бы сравнить реальную скорость?

 

в текущий момент сессии:

Status Encr Hash   Auth DH Lifetime Cap.
ACTIVE aes  sha512 psk  1  08:12:14 DN  

 

хотя по той же документации

http://www.cisco.com/web/partners/downloads/765/tools/quickreference/vpn_performance_eng.pdf

 

что 3DES что AES - скорость одинаковая.

[v_r]

в сети пишут что аес лучше по производительности на cpu, а 1811 безусловно софтроутер

 

На ISR стоит чип ускоряющий шифрование. Без него было бы вообще печально.

[artplanet]

поменяли на

ACTIVE aes  sha  psk

crypto isakmp policy 10
encr aes
authentication pre-share

без результата