LostSoul Posted October 14, 2005 Posted October 14, 2005 Здравствуйте! Облазил весь cisco.com никак не могу найти, подскажите пожалуйста сколько L2TP-подключений может "вытянуть" Cisco Router 2801 без установки дополнительных VPN-модулей? Хотелось бы получить что-то вроде 600 пользователей, 10 мегабит ( суммарно ). Это реально? Если нет, то что посоветуете из расчёта 1500-1800$? Кроме Linux. Вставить ник Quote
smsm Posted October 14, 2005 Posted October 14, 2005 l2tp - поверх ипсек ? или без ? с mppe ? задавал такой вопрос представительству циски в питере, они ответили что хз и вопрос ушел разработчикам маршрутизаторов. Вставить ник Quote
LostSoul Posted October 14, 2005 Author Posted October 14, 2005 Да именно, L2TP поверх IPSEC Вставить ник Quote
smsm Posted October 14, 2005 Posted October 14, 2005 быстродействия шифрования - под руками нет ссылки, но мегов 20 должно вытянуть. Вставить ник Quote
LostSoul Posted October 14, 2005 Author Posted October 14, 2005 ООО!!!! Скажите, а народу 600 чел вытянет? Вставить ник Quote
smsm Posted October 14, 2005 Posted October 14, 2005 больше сотен двух пока не было, не скажу раз уж цисковцы не знают - то придется самим :) но у меня 2821 и шифрации/компрессии сейчас нет. Дает до 40М в пике Вставить ник Quote
LostSoul Posted October 14, 2005 Author Posted October 14, 2005 Блин. L2TP не бывает без шифрации. Меня интересует только L2TP ( так как требуется NAT-T ) Вставить ник Quote
smsm Posted October 14, 2005 Posted October 14, 2005 ? почему-же отлично бывает. и, кстати, на 2801 л2тп + ипсек будет шевелится пошустрее чем mppe, все-таки мппе через процессор, а для шифрации дес, 3дес, аес в циске есть процессор отдельный. слабенький, но есть. Вставить ник Quote
Nailer Posted October 14, 2005 Posted October 14, 2005 ? почему-же отлично бывает. и, кстати, на 2801 л2тп + ипсек будет шевелится пошустрее чем mppe, все-таки мппе через процессор, а для шифрации дес, 3дес, аес в циске есть процессор отдельный. слабенький, но есть. В 28xx серию шифровальный AIM встроен, но вот работают ли с ним нормально софты - вопрос хороший. Пока была информация, что при включении аппаратного шифрования циска валится, приходилось отключать.. Не знаю, пофиксисли или нет. Вставить ник Quote
smsm Posted October 14, 2005 Posted October 14, 2005 вот с этим flash:c2800nm-advsecurityk9-mz.123-11.T7.bin не валится. С ним сейчас и работаю. вот с этими c2800nm-adventerprisek9-mz.124-1a.bin c2800nm-advipservicesk9-mz.124-1.bin c2800nm-advsecurityk9-mz.124-3.bin - то виснет напрочь, то перегружается. шифрование-ли тут виновато внятно сказать не могу. Ибо и без него зависало Вставить ник Quote
Nailer Posted October 14, 2005 Posted October 14, 2005 smsm, а aim она с c2800nm-advsecurityk9-mz.123-11.T7.bin вообще видит? Вставить ник Quote
smsm Posted October 14, 2005 Posted October 14, 2005 по всему получается что видит :) Cisco 2821 (revision 53.51) with 249856K/12288K bytes of memory. Processor board ID FCZ093270M4 2 Gigabit Ethernet interfaces 1 Virtual Private Network (VPN) Module DRAM configuration is 64 bits wide with parity enabled. 239K bytes of non-volatile configuration memory. 62720K bytes of ATA CompactFlash (Read/Write) c2821#sh crypto eli Hardware Encryption Layer : ACTIVE Number of crypto engines = 1 . c2821#sh crypto engine accelerator statistic Onboard Virtual Private Network (VPN) Module Statistics for Onboard Virtual Private Network (VPN) Module since the last clear of counters 332371 seconds ago 32846 packets in 32820 packets out 15842687 bytes in 16426148 bytes out c2821#sh crypto engine brief crypto engine name: Virtual Private Network (VPN) Module crypto engine type: hardware State: Enabled Product Name: Onboard-VPN Middleware Version: v1.2.0 Firmware Version: v2.2.0 Time running: 332487 seconds Compression: Yes DES: Yes 3 DES: Yes AES CBC: Yes (128,192,256) Вставить ник Quote
LostSoul Posted October 14, 2005 Author Posted October 14, 2005 Мне подсказали господа из Comptek, дали вот эту ссылку http://www.cisco.com/en/US/netsol/ns340/ns...00801f0a72.html Согласно приведённой тут таблице Cisco 2801 с интегрированным VPN тянет 150 сессий и 50 мегабит. Вопрос - ограничение 150 лицензионное? А если памяти добавить? А если роутер больше ничего не будет делать? Господа, научите как заподешевле сделать Cisco L2TP VPN. И есть CCЭ на Cisco 2801? Вставить ник Quote
smsm Posted October 14, 2005 Posted October 14, 2005 не, ипсека не было в таком количестве, не скажу. Скорее всего железячное ограничение, АИМ-ВПН нужен. а задача иммено л2тп и именно поверх ипсек ? Вставить ник Quote
LostSoul Posted October 15, 2005 Author Posted October 15, 2005 не, ипсека не было в таком количестве, не скажу.Скорее всего железячное ограничение, АИМ-ВПН нужен. а задача иммено л2тп и именно поверх ипсек ? Да нужен именно L2TP именно с IPSEC в режиме NAT-T. Например смотрел у Нага сервера доступа Lucent но увы, в них IPSEC NAT-T нету. Задача: Пропускать в внутреннюю сеть предприятия большого числа пользователей с GRPS-доступа. На GPRS фильтруется и GRE и ESP протоколы и работает только IPSEC NAT-T , когда ESP пакеты инкаспсулируются в UDP по порту 4500. В данный момент роль сервера доступа выполняет Linux, но KAME Ipsec стек так как он написан не позволяет более одного пользователя NAT-T с одного NAT-шлюза. То есть например подключается 1 клиент с Билайна, а второй с Билайна уже подключиться не может :-) Приходится на каждого клиента по реальному IP на стороне сервера выделять:) Я искал тут програмера чтоб патчи на ядро наложил на эту тему, но увы. Вставить ник Quote
lf Posted October 17, 2005 Posted October 17, 2005 пипл, я правильно понял, что РРТР/МРРЕ с его RC4 никто аппаратно не реализует? Вставить ник Quote
Nailer Posted October 17, 2005 Posted October 17, 2005 пипл, я правильно понял, что РРТР/МРРЕ с его RC4 никто аппаратно не реализует? Для 7200 есть модуль, шифрующий MPPE аппаратно. Вставить ник Quote
lf Posted October 17, 2005 Posted October 17, 2005 7200 нету. L2TP от PPTP чем-то отличается, кроме пункта в менюшке и ТСР-порта, с точки зрения пользователя? какие я тонкие моменты огребу, если с РРТР на L2TP начну переходить? по всему видно, циска решила РРТР "замять". Вставить ник Quote
Nailer Posted October 17, 2005 Posted October 17, 2005 Дело-то не в PPTP или L2TP, дело в MPPE.. Вставить ник Quote
lf Posted October 17, 2005 Posted October 17, 2005 Дело-то не в PPTP или L2TP, дело в MPPE.. я понимаю, просто для моей ситуации криптография обязательна для туннеля. если я не могу ее получить (аппаратно, за вменяемые $$) с РРТР/MPPE, значит приходится мигрировать в сторону L2TP/IPSEC. волнуют аспекты перехода. Вставить ник Quote
smsm Posted October 17, 2005 Posted October 17, 2005 L2TP от PPTP чем-то отличается, кроме пункта в менюшке и ТСР-порта, с точки зрения пользователя? если без ипсек - то прописать один ключик в реестре. если с ним - то заряди поиск. Описание настройки ипсек для л2тп на мелкомягком сайте занимает 3 страницы. Не для слабонервных пользователей, имхо Вставить ник Quote
LostSoul Posted October 18, 2005 Author Posted October 18, 2005 L2TP от PPTP чем-то отличается, кроме пункта в менюшке и ТСР-порта, с точки зрения пользователя? если без ипсек - то прописать один ключик в реестре. если с ним - то заряди поиск. Описание настройки ипсек для л2тп на мелкомягком сайте занимает 3 страницы. Не для слабонервных пользователей, имхо Понимаю что ленивый, но если не затруднит - какой именно ключик выключает требование ipsec на Windows? Вставить ник Quote
smsm Posted October 18, 2005 Posted October 18, 2005 это с ним http://support.microsoft.com/default.aspx?...duct=win2000IN1 это как отключить ипсек http://www.cisco.com/en/US/tech/tk801/tk70...0800946f5.shtml Вставить ник Quote
UglyAdmin Posted October 18, 2005 Posted October 18, 2005 Дак это в Win2000, в ХР вроде проще... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.