2bit Опубликовано 13 апреля, 2009 Помогите оптимизировать Cisco 2811. Я только начинаю самообучение, поэтому "лохопед". И так на Cisco, поднят VPN, DNS-PROXY, RADIUS-CLIENT, NAT, RATE-LIMIT. Теоретическая нагрузка 50Мбит/с. Конфиг BETA: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! aaa new-model aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius aaa accounting system default start-stop group radius ! ! enable secret 5 ~~ enable password ~~ ! username admin password password ip subnet-zero no ip rcmd domain-lookup ip domain-name router hostname Router ip cef vpdn enable ! vpdn-group 1 ! ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1 local name pptp_gateway ! ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 ! ! Локальный интерфейс... interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 no ip route-cache duplex full speed auto no mop enabled ! ! Внешний интерфейс... interface FastEthernet0/0 ip address 172.18.2.2 255.255.0.0 ip nat outside no ip route-cache duplex full speed auto no mop enabled ! ! interface Virtual-Template1 ip unnumbered Loopback 1 ip mtu 1492 ip nat inside autodetect encapsulation ppp ppp authentication chap callin ! -> Установка внутреннего DNS для клиентов: ppp ipcp dns 172.22.0.0 ! -> Кол-во изначально создаваемых интерфейсов для ускорения подключения: virtual-template 1 pre-clone 200 ! ! ! Конфигурация NAT... ip nat inside source list 1 interface FastEthernet0/0 overload ip classless ! ! ! Конфигурация RADIUS... ! -> Интерфейс с которого происходит связь с RADIUS: ip radius source-interface FastEthernet0/1 ! -> Отключение конифгурирования NAS: no radius-server configure-nas ! -> Адрес сервера RADIUS: radius-server host 192.168.1.21 auth-port 1812 acct-port 1813 ! -> Сикретный ключ RADIUS: radius-server key radius radius-server retransmit 0 radius-server timeout 1 radius-server deadtime 1 radius-server vsa send accounting radius-server vsa send authentication ! ! ! DNS... ip domain-lookup ! -> DNS адрес провайдера: ip name-server ~~ ! -> Включение DNS сервера: ip dns server !!!!!async-bootp dns-server 172.22.0.0 ! ! ! Маршруты... ip route 0.0.0.0 0.0.0.0 172.18.1.1 ! ! Определение приватной сети... access-list 1 permit 10.1.40.0 0.0.0.255 ! ! Локальные домены... ip host vpn.~~ 172.22.0.0 ! line con 0 line aux 0 line vty 0 4 password DD%T#A156Q307MP ! ! ip http server no ip http secure-server ! ! end И так вопросы: 1. Какой тип протокола безопасности выбрать (PAP, CHAP и тд.), чтобы было ОПТИМАЛЬНО. Для клиентов поменьше галочек из под Windows ставить, для Cisco максимально маленькая нагрузка на CPU. Как я понял из доков на Cisco есть аппаратное шифрование, как включить или реально ли оно уместно в моей шараге? 2. Поднят DNS-PROXY как сказывается на CPU. Надеюсь он не занимается кешированием? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 13 апреля, 2009 перед выбором PAP или CHAP нужно еще ответить на ряд вводных вопросов: 1) пароли в биллинге будут храниться в шифрованном виде или открыто? 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 13 апреля, 2009 при pap - пароль будет передаваться в открытом виде и его легко перехватить, но хранить его в биллинге можно шифрованным (односторонним шифрованием) В этом случае, если кто стырит базу - воспользоваться ей он не сможет :) при chap - пароль передается шифрованным, вернее вообше не передается - только хеш с его участием, и перехватить пароль невозможно. Но при этом BRAS должен иметь открытый пароль при аутентификации для сравнения с полученным хешем, а значит в биллинге придется хранить пароли в открытом виде :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 13 апреля, 2009 (изменено) 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?Перехватить пароли если умудриться можно.Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось. 1) пароли в биллинге будут храниться в шифрованном виде или открыто?В БД биллинга пароли открытые. Аутентификация через RADIUS. Изменено 13 апреля, 2009 пользователем 2bit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 13 апреля, 2009 Уберите ДНС-прокси, мой вам совет... А то ей очень скоро плохо станет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 14 апреля, 2009 Совету послушаюсь, только почему плохо станет? И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 14 апреля, 2009 ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 o.O жесть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 14 апреля, 2009 Совету послушаюсь, только почему плохо станет?Есть негативный опыт, под нагрузкой очень сильно грузит CPU. И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?CHAP - это не шифрование, а аутентификация. А конкретно это непередача пароля открытым текстом в отличии от РАР.Шифрование это mppe, вот оно сильно грузит. Притом работает только с MS-CHAP. interface Loopback 1ip address 172.22.0.0 255.255.255.255 Мдя... Странный адрес, Вам не кажется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 14 апреля, 2009 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?Перехватить пароли если умудриться можно.Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось. 1) пароли в биллинге будут храниться в шифрованном виде или открыто?В БД биллинга пароли открытые. Аутентификация через RADIUS. Если транспорт до клиента ненадежный и пароли в базе открытые - CHAP однозначно. Это не вопрос оптимизации, а вопрос безопасности - если будут тырить пароли (а парочка кулхацкеров, подписаных на журнал хакер найдется в любой сети) то будет страдать сам бизнес и тогда оптимизация уже будет не нужна (просто клиенты разбегутся) :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 14 апреля, 2009 Лол извините, а чем вам адрес не нравится? Итак оставляю CHAP с ним благо все работает без проблем. Что делать с шифрование трафика или оно у меня отключено? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 14 апреля, 2009 хм. однако работает ping vrf mLAB 172.22.0.0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.22.0.0, timeout is 2 seconds: !!!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Denis Samsonov Опубликовано 14 апреля, 2009 а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 14 апреля, 2009 хм. однако работаетНа киске и не такое работает)))Но выглядит как адрес сети) а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)врядли)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 14 апреля, 2009 хм. однако работает На киске и не такое работает))) Но выглядит как адрес сети) На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =). а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)Я думаю что rate-limit и Шейпер отличаются в корне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 14 апреля, 2009 На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).Да, действительно на лупбек можно. c2821(config)#int lo 177 c2821(config-if)#ip add 172.16.0.0 ? A.B.C.D IP subnet mask c2821(config-if)#ip add 172.16.0.0 255.255.255.255 c2821(config-if)#ip add 172.16.0.0 255.255.255.0 Bad mask /24 for address 172.16.0.0 c2821(config-if)# c2821(config-if)#exit c2821(config)#no int lo 177 c2821(config)# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 15 апреля, 2009 И не только на лупбек и не только такие фишки. Как мне с шифрованием поступить? У меня конфиг без шифрования? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vindium Опубликовано 15 апреля, 2009 Шифрование mppe 2811 не поддерживает. Вернее поддерживает только процессором. Со всеми вытекаюшими для нагрузки. Так что в этом случае забудьте про 50Mbps. Да если бы и поддерживало (ipsec) - тоже забудьте. 20-30 - вот был бы потолок. Вообще если хотите в конфиге что-то наворотить (pptp + NAT+шэйпер например) - воспринимайте эту железку как роутер на 10+ мегабит. Так будет честнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 апреля, 2009 Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vindium Опубликовано 15 апреля, 2009 Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4))) Пожалуй так. У 2811 весьма дохленький процессор, в сравнении с, например, 2821. Последняя заметно более живая по всяким тяжелым фичам, хотя и дороже конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 апреля, 2009 2821 тоже не фонтан) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 15 апреля, 2009 Блинааа. У меня в конфиге какое шифрование? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...