Jump to content
Калькуляторы

Помогите оптимизировать Cisco 2811

Помогите оптимизировать Cisco 2811.

Я только начинаю самообучение, поэтому "лохопед".

 

И так на Cisco, поднят VPN, DNS-PROXY, RADIUS-CLIENT, NAT, RATE-LIMIT. Теоретическая нагрузка 50Мбит/с.

Конфиг BETA:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
!
!
enable secret 5 ~~
enable password ~~
!
username admin password password
ip subnet-zero
no ip rcmd domain-lookup
ip domain-name router
hostname Router
ip cef
vpdn enable
!
vpdn-group 1
!
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name pptp_gateway
!
! Интерфейс замыкания на себя...
interface Loopback 1
ip address 172.22.0.0 255.255.255.255
!
! Локальный интерфейс...
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
duplex full
speed auto
no mop enabled
!
! Внешний интерфейс...
interface FastEthernet0/0
ip address 172.18.2.2 255.255.0.0
ip nat outside
no ip route-cache
duplex full
speed auto
no mop enabled
!
!
interface Virtual-Template1
ip unnumbered Loopback 1
ip mtu 1492
ip nat inside
autodetect encapsulation ppp
ppp authentication chap callin
!   -> Установка внутреннего DNS для клиентов:
ppp ipcp dns 172.22.0.0
!   -> Кол-во изначально создаваемых интерфейсов для ускорения подключения:
virtual-template 1 pre-clone 200
!
!
! Конфигурация NAT...
ip nat inside source list 1 interface FastEthernet0/0 overload
ip classless
!
!
! Конфигурация RADIUS...
!   -> Интерфейс с которого происходит связь с RADIUS:
ip radius source-interface FastEthernet0/1
!   -> Отключение конифгурирования NAS:
no radius-server configure-nas
!   -> Адрес сервера RADIUS:
radius-server host 192.168.1.21 auth-port 1812 acct-port 1813
!   -> Сикретный ключ RADIUS:
radius-server key radius
radius-server retransmit 0
radius-server timeout 1
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication
!
!
! DNS...
ip domain-lookup
!   -> DNS адрес провайдера:
ip name-server ~~
!   -> Включение DNS сервера:
ip dns server
!!!!!async-bootp dns-server 172.22.0.0
!
!
! Маршруты...
ip route 0.0.0.0 0.0.0.0 172.18.1.1
!
! Определение приватной сети...
access-list 1 permit 10.1.40.0 0.0.0.255
!
! Локальные домены...
ip host vpn.~~ 172.22.0.0
!
line con 0
line aux 0
line vty 0 4
password DD%T#A156Q307MP
!
!
ip http server
no ip http secure-server
!
!
end

 

И так вопросы:

1. Какой тип протокола безопасности выбрать (PAP, CHAP и тд.), чтобы было ОПТИМАЛЬНО. Для клиентов поменьше галочек из под Windows ставить, для Cisco максимально маленькая нагрузка на CPU. Как я понял из доков на Cisco есть аппаратное шифрование, как включить или реально ли оно уместно в моей шараге?

2. Поднят DNS-PROXY как сказывается на CPU. Надеюсь он не занимается кешированием?

Share this post


Link to post
Share on other sites

перед выбором PAP или CHAP нужно еще ответить на ряд вводных вопросов:

1) пароли в биллинге будут храниться в шифрованном виде или открыто?

2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?

Share this post


Link to post
Share on other sites

при pap - пароль будет передаваться в открытом виде и его легко перехватить, но хранить его в биллинге можно шифрованным (односторонним шифрованием)

В этом случае, если кто стырит базу - воспользоваться ей он не сможет :)

 

при chap - пароль передается шифрованным, вернее вообше не передается - только хеш с его участием, и перехватить пароль невозможно. Но при этом BRAS должен иметь открытый пароль при аутентификации для сравнения с полученным хешем, а значит в биллинге придется хранить пароли в открытом виде :(

Share this post


Link to post
Share on other sites
2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?
Перехватить пароли если умудриться можно.

Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось.

 

1) пароли в биллинге будут храниться в шифрованном виде или открыто?
В БД биллинга пароли открытые. Аутентификация через RADIUS.
Edited by 2bit

Share this post


Link to post
Share on other sites

Уберите ДНС-прокси, мой вам совет... А то ей очень скоро плохо станет...

Share this post


Link to post
Share on other sites

Совету послушаюсь, только почему плохо станет?

И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?

Share this post


Link to post
Share on other sites

! Интерфейс замыкания на себя...
interface Loopback 1
ip address 172.22.0.0 255.255.255.255

o.O жесть.

Share this post


Link to post
Share on other sites
Совету послушаюсь, только почему плохо станет?
Есть негативный опыт, под нагрузкой очень сильно грузит CPU.

 

И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?
CHAP - это не шифрование, а аутентификация. А конкретно это непередача пароля открытым текстом в отличии от РАР.

Шифрование это mppe, вот оно сильно грузит. Притом работает только с MS-CHAP.

interface Loopback 1

ip address 172.22.0.0 255.255.255.255

Мдя... Странный адрес, Вам не кажется?

Share this post


Link to post
Share on other sites
2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?
Перехватить пароли если умудриться можно.

Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось.

 

1) пароли в биллинге будут храниться в шифрованном виде или открыто?
В БД биллинга пароли открытые. Аутентификация через RADIUS.

Если транспорт до клиента ненадежный и пароли в базе открытые - CHAP однозначно. Это не вопрос оптимизации, а вопрос безопасности - если будут тырить пароли (а парочка кулхацкеров, подписаных на журнал хакер найдется в любой сети) то будет страдать сам бизнес и тогда оптимизация уже будет не нужна (просто клиенты разбегутся) :)

 

Share this post


Link to post
Share on other sites

Лол извините, а чем вам адрес не нравится?

 

Итак оставляю CHAP с ним благо все работает без проблем.

Что делать с шифрование трафика или оно у меня отключено?

Share this post


Link to post
Share on other sites

хм. однако работает

ping vrf mLAB 172.22.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.0.0, timeout is 2 seconds:
!!!!!

Share this post


Link to post
Share on other sites

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)

Share this post


Link to post
Share on other sites
хм. однако работает
На киске и не такое работает)))

Но выглядит как адрес сети)

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)
врядли))))

Share this post


Link to post
Share on other sites
хм. однако работает

 

На киске и не такое работает)))

Но выглядит как адрес сети)

На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).

 

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)
Я думаю что rate-limit и Шейпер отличаются в корне.

Share this post


Link to post
Share on other sites
На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).
Да, действительно на лупбек можно.

c2821(config)#int lo 177
c2821(config-if)#ip add 172.16.0.0 ?
  A.B.C.D  IP subnet mask

c2821(config-if)#ip add 172.16.0.0 255.255.255.255
c2821(config-if)#ip add 172.16.0.0 255.255.255.0  
Bad mask /24 for address 172.16.0.0
c2821(config-if)#
c2821(config-if)#exit
c2821(config)#no int lo 177
c2821(config)#

Share this post


Link to post
Share on other sites

И не только на лупбек и не только такие фишки.

 

Как мне с шифрованием поступить? У меня конфиг без шифрования?

Share this post


Link to post
Share on other sites

Шифрование mppe 2811 не поддерживает. Вернее поддерживает только процессором. Со всеми вытекаюшими для нагрузки. Так что в этом случае забудьте про 50Mbps. Да если бы и поддерживало (ipsec) - тоже забудьте. 20-30 - вот был бы потолок. Вообще если хотите в конфиге что-то наворотить (pptp + NAT+шэйпер например) - воспринимайте эту железку как роутер на 10+ мегабит. Так будет честнее.

Share this post


Link to post
Share on other sites

Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4)))

Share this post


Link to post
Share on other sites

Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4)))

Пожалуй так. У 2811 весьма дохленький процессор, в сравнении с, например, 2821. Последняя заметно более живая по всяким тяжелым фичам, хотя и дороже конечно.

Share this post


Link to post
Share on other sites

2821 тоже не фонтан)

Share this post


Link to post
Share on other sites

Блинааа.

У меня в конфиге какое шифрование?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this