[2bit]

Помогите оптимизировать Cisco 2811.

Я только начинаю самообучение, поэтому "лохопед".

 

И так на Cisco, поднят VPN, DNS-PROXY, RADIUS-CLIENT, NAT, RATE-LIMIT. Теоретическая нагрузка 50Мбит/с.

Конфиг BETA:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
!
!
enable secret 5 ~~
enable password ~~
!
username admin password password
ip subnet-zero
no ip rcmd domain-lookup
ip domain-name router
hostname Router
ip cef
vpdn enable
!
vpdn-group 1
!
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name pptp_gateway
!
! Интерфейс замыкания на себя...
interface Loopback 1
ip address 172.22.0.0 255.255.255.255
!
! Локальный интерфейс...
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
duplex full
speed auto
no mop enabled
!
! Внешний интерфейс...
interface FastEthernet0/0
ip address 172.18.2.2 255.255.0.0
ip nat outside
no ip route-cache
duplex full
speed auto
no mop enabled
!
!
interface Virtual-Template1
ip unnumbered Loopback 1
ip mtu 1492
ip nat inside
autodetect encapsulation ppp
ppp authentication chap callin
!   -> Установка внутреннего DNS для клиентов:
ppp ipcp dns 172.22.0.0
!   -> Кол-во изначально создаваемых интерфейсов для ускорения подключения:
virtual-template 1 pre-clone 200
!
!
! Конфигурация NAT...
ip nat inside source list 1 interface FastEthernet0/0 overload
ip classless
!
!
! Конфигурация RADIUS...
!   -> Интерфейс с которого происходит связь с RADIUS:
ip radius source-interface FastEthernet0/1
!   -> Отключение конифгурирования NAS:
no radius-server configure-nas
!   -> Адрес сервера RADIUS:
radius-server host 192.168.1.21 auth-port 1812 acct-port 1813
!   -> Сикретный ключ RADIUS:
radius-server key radius
radius-server retransmit 0
radius-server timeout 1
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication
!
!
! DNS...
ip domain-lookup
!   -> DNS адрес провайдера:
ip name-server ~~
!   -> Включение DNS сервера:
ip dns server
!!!!!async-bootp dns-server 172.22.0.0
!
!
! Маршруты...
ip route 0.0.0.0 0.0.0.0 172.18.1.1
!
! Определение приватной сети...
access-list 1 permit 10.1.40.0 0.0.0.255
!
! Локальные домены...
ip host vpn.~~ 172.22.0.0
!
line con 0
line aux 0
line vty 0 4
password DD%T#A156Q307MP
!
!
ip http server
no ip http secure-server
!
!
end

 

И так вопросы:

1. Какой тип протокола безопасности выбрать (PAP, CHAP и тд.), чтобы было ОПТИМАЛЬНО. Для клиентов поменьше галочек из под Windows ставить, для Cisco максимально маленькая нагрузка на CPU. Как я понял из доков на Cisco есть аппаратное шифрование, как включить или реально ли оно уместно в моей шараге?

2. Поднят DNS-PROXY как сказывается на CPU. Надеюсь он не занимается кешированием?

[survivor]

перед выбором PAP или CHAP нужно еще ответить на ряд вводных вопросов:

1) пароли в биллинге будут храниться в шифрованном виде или открыто?

2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?

[survivor]

при pap - пароль будет передаваться в открытом виде и его легко перехватить, но хранить его в биллинге можно шифрованным (односторонним шифрованием)

В этом случае, если кто стырит базу - воспользоваться ей он не сможет :)

 

при chap - пароль передается шифрованным, вернее вообше не передается - только хеш с его участием, и перехватить пароль невозможно. Но при этом BRAS должен иметь открытый пароль при аутентификации для сравнения с полученным хешем, а значит в биллинге придется хранить пароли в открытом виде :(

[2bit]

2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?

Перехватить пароли если умудриться можно.

Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось.

 

1) пароли в биллинге будут храниться в шифрованном виде или открыто?

В БД биллинга пароли открытые. Аутентификация через RADIUS.

Изменено 13 апреля, 2009 пользователем 2bit

[Stak]

Уберите ДНС-прокси, мой вам совет... А то ей очень скоро плохо станет...

[2bit]

Совету послушаюсь, только почему плохо станет?

И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?

[Telesis]

! Интерфейс замыкания на себя...
interface Loopback 1
ip address 172.22.0.0 255.255.255.255

o.O жесть.

[Stak]

Совету послушаюсь, только почему плохо станет?

Есть негативный опыт, под нагрузкой очень сильно грузит CPU.

 

И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?

CHAP - это не шифрование, а аутентификация. А конкретно это непередача пароля открытым текстом в отличии от РАР.

Шифрование это mppe, вот оно сильно грузит. Притом работает только с MS-CHAP.

interface Loopback 1

ip address 172.22.0.0 255.255.255.255

Мдя... Странный адрес, Вам не кажется?

[survivor]

2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?

Перехватить пароли если умудриться можно.

Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось.

 

1) пароли в биллинге будут храниться в шифрованном виде или открыто?

В БД биллинга пароли открытые. Аутентификация через RADIUS.

Если транспорт до клиента ненадежный и пароли в базе открытые - CHAP однозначно. Это не вопрос оптимизации, а вопрос безопасности - если будут тырить пароли (а парочка кулхацкеров, подписаных на журнал хакер найдется в любой сети) то будет страдать сам бизнес и тогда оптимизация уже будет не нужна (просто клиенты разбегутся) :)

 

[2bit]

Лол извините, а чем вам адрес не нравится?

 

Итак оставляю CHAP с ним благо все работает без проблем.

Что делать с шифрование трафика или оно у меня отключено?

[Telesis]

хм. однако работает

ping vrf mLAB 172.22.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.0.0, timeout is 2 seconds:
!!!!!

[Denis Samsonov]

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)

[Stak]

хм. однако работает

На киске и не такое работает)))

Но выглядит как адрес сети)

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)

врядли))))

[2bit]

хм. однако работает

 

На киске и не такое работает)))

Но выглядит как адрес сети)

На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).

 

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)

Я думаю что rate-limit и Шейпер отличаются в корне.

[Stak]

На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).

Да, действительно на лупбек можно.

c2821(config)#int lo 177
c2821(config-if)#ip add 172.16.0.0 ?
  A.B.C.D  IP subnet mask

c2821(config-if)#ip add 172.16.0.0 255.255.255.255
c2821(config-if)#ip add 172.16.0.0 255.255.255.0  
Bad mask /24 for address 172.16.0.0
c2821(config-if)#
c2821(config-if)#exit
c2821(config)#no int lo 177
c2821(config)#

[2bit]

И не только на лупбек и не только такие фишки.

 

Как мне с шифрованием поступить? У меня конфиг без шифрования?

[vindium]

Шифрование mppe 2811 не поддерживает. Вернее поддерживает только процессором. Со всеми вытекаюшими для нагрузки. Так что в этом случае забудьте про 50Mbps. Да если бы и поддерживало (ipsec) - тоже забудьте. 20-30 - вот был бы потолок. Вообще если хотите в конфиге что-то наворотить (pptp + NAT+шэйпер например) - воспринимайте эту железку как роутер на 10+ мегабит. Так будет честнее.

[Stak]

Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4)))

[vindium]

Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4)))

Пожалуй так. У 2811 весьма дохленький процессор, в сравнении с, например, 2821. Последняя заметно более живая по всяким тяжелым фичам, хотя и дороже конечно.

[Stak]

2821 тоже не фонтан)

[2bit]

Блинааа.

У меня в конфиге какое шифрование?