2bit Posted April 13, 2009 · Report post Помогите оптимизировать Cisco 2811. Я только начинаю самообучение, поэтому "лохопед". И так на Cisco, поднят VPN, DNS-PROXY, RADIUS-CLIENT, NAT, RATE-LIMIT. Теоретическая нагрузка 50Мбит/с. Конфиг BETA: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! aaa new-model aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius aaa accounting system default start-stop group radius ! ! enable secret 5 ~~ enable password ~~ ! username admin password password ip subnet-zero no ip rcmd domain-lookup ip domain-name router hostname Router ip cef vpdn enable ! vpdn-group 1 ! ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1 local name pptp_gateway ! ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 ! ! Локальный интерфейс... interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 no ip route-cache duplex full speed auto no mop enabled ! ! Внешний интерфейс... interface FastEthernet0/0 ip address 172.18.2.2 255.255.0.0 ip nat outside no ip route-cache duplex full speed auto no mop enabled ! ! interface Virtual-Template1 ip unnumbered Loopback 1 ip mtu 1492 ip nat inside autodetect encapsulation ppp ppp authentication chap callin ! -> Установка внутреннего DNS для клиентов: ppp ipcp dns 172.22.0.0 ! -> Кол-во изначально создаваемых интерфейсов для ускорения подключения: virtual-template 1 pre-clone 200 ! ! ! Конфигурация NAT... ip nat inside source list 1 interface FastEthernet0/0 overload ip classless ! ! ! Конфигурация RADIUS... ! -> Интерфейс с которого происходит связь с RADIUS: ip radius source-interface FastEthernet0/1 ! -> Отключение конифгурирования NAS: no radius-server configure-nas ! -> Адрес сервера RADIUS: radius-server host 192.168.1.21 auth-port 1812 acct-port 1813 ! -> Сикретный ключ RADIUS: radius-server key radius radius-server retransmit 0 radius-server timeout 1 radius-server deadtime 1 radius-server vsa send accounting radius-server vsa send authentication ! ! ! DNS... ip domain-lookup ! -> DNS адрес провайдера: ip name-server ~~ ! -> Включение DNS сервера: ip dns server !!!!!async-bootp dns-server 172.22.0.0 ! ! ! Маршруты... ip route 0.0.0.0 0.0.0.0 172.18.1.1 ! ! Определение приватной сети... access-list 1 permit 10.1.40.0 0.0.0.255 ! ! Локальные домены... ip host vpn.~~ 172.22.0.0 ! line con 0 line aux 0 line vty 0 4 password DD%T#A156Q307MP ! ! ip http server no ip http secure-server ! ! end И так вопросы: 1. Какой тип протокола безопасности выбрать (PAP, CHAP и тд.), чтобы было ОПТИМАЛЬНО. Для клиентов поменьше галочек из под Windows ставить, для Cisco максимально маленькая нагрузка на CPU. Как я понял из доков на Cisco есть аппаратное шифрование, как включить или реально ли оно уместно в моей шараге? 2. Поднят DNS-PROXY как сказывается на CPU. Надеюсь он не занимается кешированием? Share this post Link to post Share on other sites
survivor Posted April 13, 2009 · Report post перед выбором PAP или CHAP нужно еще ответить на ряд вводных вопросов: 1) пароли в биллинге будут храниться в шифрованном виде или открыто? 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном? Share this post Link to post Share on other sites
survivor Posted April 13, 2009 · Report post при pap - пароль будет передаваться в открытом виде и его легко перехватить, но хранить его в биллинге можно шифрованным (односторонним шифрованием) В этом случае, если кто стырит базу - воспользоваться ей он не сможет :) при chap - пароль передается шифрованным, вернее вообше не передается - только хеш с его участием, и перехватить пароль невозможно. Но при этом BRAS должен иметь открытый пароль при аутентификации для сравнения с полученным хешем, а значит в биллинге придется хранить пароли в открытом виде :( Share this post Link to post Share on other sites
2bit Posted April 13, 2009 (edited) · Report post 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?Перехватить пароли если умудриться можно.Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось. 1) пароли в биллинге будут храниться в шифрованном виде или открыто?В БД биллинга пароли открытые. Аутентификация через RADIUS. Edited April 13, 2009 by 2bit Share this post Link to post Share on other sites
Stak Posted April 13, 2009 · Report post Уберите ДНС-прокси, мой вам совет... А то ей очень скоро плохо станет... Share this post Link to post Share on other sites
2bit Posted April 14, 2009 · Report post Совету послушаюсь, только почему плохо станет? И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет? Share this post Link to post Share on other sites
Telesis Posted April 14, 2009 · Report post ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 o.O жесть. Share this post Link to post Share on other sites
Stak Posted April 14, 2009 · Report post Совету послушаюсь, только почему плохо станет?Есть негативный опыт, под нагрузкой очень сильно грузит CPU. И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?CHAP - это не шифрование, а аутентификация. А конкретно это непередача пароля открытым текстом в отличии от РАР.Шифрование это mppe, вот оно сильно грузит. Притом работает только с MS-CHAP. interface Loopback 1ip address 172.22.0.0 255.255.255.255 Мдя... Странный адрес, Вам не кажется? Share this post Link to post Share on other sites
survivor Posted April 14, 2009 · Report post 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?Перехватить пароли если умудриться можно.Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось. 1) пароли в биллинге будут храниться в шифрованном виде или открыто?В БД биллинга пароли открытые. Аутентификация через RADIUS. Если транспорт до клиента ненадежный и пароли в базе открытые - CHAP однозначно. Это не вопрос оптимизации, а вопрос безопасности - если будут тырить пароли (а парочка кулхацкеров, подписаных на журнал хакер найдется в любой сети) то будет страдать сам бизнес и тогда оптимизация уже будет не нужна (просто клиенты разбегутся) :) Share this post Link to post Share on other sites
2bit Posted April 14, 2009 · Report post Лол извините, а чем вам адрес не нравится? Итак оставляю CHAP с ним благо все работает без проблем. Что делать с шифрование трафика или оно у меня отключено? Share this post Link to post Share on other sites
Telesis Posted April 14, 2009 · Report post хм. однако работает ping vrf mLAB 172.22.0.0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.22.0.0, timeout is 2 seconds: !!!!! Share this post Link to post Share on other sites
Denis Samsonov Posted April 14, 2009 · Report post а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :) Share this post Link to post Share on other sites
Stak Posted April 14, 2009 · Report post хм. однако работаетНа киске и не такое работает)))Но выглядит как адрес сети) а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)врядли)))) Share this post Link to post Share on other sites
2bit Posted April 14, 2009 · Report post хм. однако работает На киске и не такое работает))) Но выглядит как адрес сети) На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =). а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)Я думаю что rate-limit и Шейпер отличаются в корне. Share this post Link to post Share on other sites
Stak Posted April 14, 2009 · Report post На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).Да, действительно на лупбек можно. c2821(config)#int lo 177 c2821(config-if)#ip add 172.16.0.0 ? A.B.C.D IP subnet mask c2821(config-if)#ip add 172.16.0.0 255.255.255.255 c2821(config-if)#ip add 172.16.0.0 255.255.255.0 Bad mask /24 for address 172.16.0.0 c2821(config-if)# c2821(config-if)#exit c2821(config)#no int lo 177 c2821(config)# Share this post Link to post Share on other sites
2bit Posted April 15, 2009 · Report post И не только на лупбек и не только такие фишки. Как мне с шифрованием поступить? У меня конфиг без шифрования? Share this post Link to post Share on other sites
vindium Posted April 15, 2009 · Report post Шифрование mppe 2811 не поддерживает. Вернее поддерживает только процессором. Со всеми вытекаюшими для нагрузки. Так что в этом случае забудьте про 50Mbps. Да если бы и поддерживало (ipsec) - тоже забудьте. 20-30 - вот был бы потолок. Вообще если хотите в конфиге что-то наворотить (pptp + NAT+шэйпер например) - воспринимайте эту железку как роутер на 10+ мегабит. Так будет честнее. Share this post Link to post Share on other sites
Stak Posted April 15, 2009 · Report post Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4))) Share this post Link to post Share on other sites
vindium Posted April 15, 2009 · Report post Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4))) Пожалуй так. У 2811 весьма дохленький процессор, в сравнении с, например, 2821. Последняя заметно более живая по всяким тяжелым фичам, хотя и дороже конечно. Share this post Link to post Share on other sites
Stak Posted April 15, 2009 · Report post 2821 тоже не фонтан) Share this post Link to post Share on other sites
2bit Posted April 15, 2009 · Report post Блинааа. У меня в конфиге какое шифрование? Share this post Link to post Share on other sites
