Перейти к содержимому
Калькуляторы

Помогите оптимизировать Cisco 2811

Помогите оптимизировать Cisco 2811.

Я только начинаю самообучение, поэтому "лохопед".

 

И так на Cisco, поднят VPN, DNS-PROXY, RADIUS-CLIENT, NAT, RATE-LIMIT. Теоретическая нагрузка 50Мбит/с.

Конфиг BETA:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
!
!
enable secret 5 ~~
enable password ~~
!
username admin password password
ip subnet-zero
no ip rcmd domain-lookup
ip domain-name router
hostname Router
ip cef
vpdn enable
!
vpdn-group 1
!
! Default PPTP VPDN group
accept-dialin
protocol any
virtual-template 1
local name pptp_gateway
!
! Интерфейс замыкания на себя...
interface Loopback 1
ip address 172.22.0.0 255.255.255.255
!
! Локальный интерфейс...
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no ip route-cache
duplex full
speed auto
no mop enabled
!
! Внешний интерфейс...
interface FastEthernet0/0
ip address 172.18.2.2 255.255.0.0
ip nat outside
no ip route-cache
duplex full
speed auto
no mop enabled
!
!
interface Virtual-Template1
ip unnumbered Loopback 1
ip mtu 1492
ip nat inside
autodetect encapsulation ppp
ppp authentication chap callin
!   -> Установка внутреннего DNS для клиентов:
ppp ipcp dns 172.22.0.0
!   -> Кол-во изначально создаваемых интерфейсов для ускорения подключения:
virtual-template 1 pre-clone 200
!
!
! Конфигурация NAT...
ip nat inside source list 1 interface FastEthernet0/0 overload
ip classless
!
!
! Конфигурация RADIUS...
!   -> Интерфейс с которого происходит связь с RADIUS:
ip radius source-interface FastEthernet0/1
!   -> Отключение конифгурирования NAS:
no radius-server configure-nas
!   -> Адрес сервера RADIUS:
radius-server host 192.168.1.21 auth-port 1812 acct-port 1813
!   -> Сикретный ключ RADIUS:
radius-server key radius
radius-server retransmit 0
radius-server timeout 1
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication
!
!
! DNS...
ip domain-lookup
!   -> DNS адрес провайдера:
ip name-server ~~
!   -> Включение DNS сервера:
ip dns server
!!!!!async-bootp dns-server 172.22.0.0
!
!
! Маршруты...
ip route 0.0.0.0 0.0.0.0 172.18.1.1
!
! Определение приватной сети...
access-list 1 permit 10.1.40.0 0.0.0.255
!
! Локальные домены...
ip host vpn.~~ 172.22.0.0
!
line con 0
line aux 0
line vty 0 4
password DD%T#A156Q307MP
!
!
ip http server
no ip http secure-server
!
!
end

 

И так вопросы:

1. Какой тип протокола безопасности выбрать (PAP, CHAP и тд.), чтобы было ОПТИМАЛЬНО. Для клиентов поменьше галочек из под Windows ставить, для Cisco максимально маленькая нагрузка на CPU. Как я понял из доков на Cisco есть аппаратное шифрование, как включить или реально ли оно уместно в моей шараге?

2. Поднят DNS-PROXY как сказывается на CPU. Надеюсь он не занимается кешированием?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

перед выбором PAP или CHAP нужно еще ответить на ряд вводных вопросов:

1) пароли в биллинге будут храниться в шифрованном виде или открыто?

2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

при pap - пароль будет передаваться в открытом виде и его легко перехватить, но хранить его в биллинге можно шифрованным (односторонним шифрованием)

В этом случае, если кто стырит базу - воспользоваться ей он не сможет :)

 

при chap - пароль передается шифрованным, вернее вообше не передается - только хеш с его участием, и перехватить пароль невозможно. Но при этом BRAS должен иметь открытый пароль при аутентификации для сравнения с полученным хешем, а значит в биллинге придется хранить пароли в открытом виде :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?
Перехватить пароли если умудриться можно.

Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось.

 

1) пароли в биллинге будут храниться в шифрованном виде или открыто?
В БД биллинга пароли открытые. Аутентификация через RADIUS.
Изменено пользователем 2bit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уберите ДНС-прокси, мой вам совет... А то ей очень скоро плохо станет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Совету послушаюсь, только почему плохо станет?

И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

! Интерфейс замыкания на себя...
interface Loopback 1
ip address 172.22.0.0 255.255.255.255

o.O жесть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Совету послушаюсь, только почему плохо станет?
Есть негативный опыт, под нагрузкой очень сильно грузит CPU.

 

И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?
CHAP - это не шифрование, а аутентификация. А конкретно это непередача пароля открытым текстом в отличии от РАР.

Шифрование это mppe, вот оно сильно грузит. Притом работает только с MS-CHAP.

interface Loopback 1

ip address 172.22.0.0 255.255.255.255

Мдя... Странный адрес, Вам не кажется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?
Перехватить пароли если умудриться можно.

Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось.

 

1) пароли в биллинге будут храниться в шифрованном виде или открыто?
В БД биллинга пароли открытые. Аутентификация через RADIUS.

Если транспорт до клиента ненадежный и пароли в базе открытые - CHAP однозначно. Это не вопрос оптимизации, а вопрос безопасности - если будут тырить пароли (а парочка кулхацкеров, подписаных на журнал хакер найдется в любой сети) то будет страдать сам бизнес и тогда оптимизация уже будет не нужна (просто клиенты разбегутся) :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лол извините, а чем вам адрес не нравится?

 

Итак оставляю CHAP с ним благо все работает без проблем.

Что делать с шифрование трафика или оно у меня отключено?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм. однако работает

ping vrf mLAB 172.22.0.0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.0.0, timeout is 2 seconds:
!!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм. однако работает
На киске и не такое работает)))

Но выглядит как адрес сети)

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)
врядли))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм. однако работает

 

На киске и не такое работает)))

Но выглядит как адрес сети)

На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).

 

а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)
Я думаю что rate-limit и Шейпер отличаются в корне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).
Да, действительно на лупбек можно.

c2821(config)#int lo 177
c2821(config-if)#ip add 172.16.0.0 ?
  A.B.C.D  IP subnet mask

c2821(config-if)#ip add 172.16.0.0 255.255.255.255
c2821(config-if)#ip add 172.16.0.0 255.255.255.0  
Bad mask /24 for address 172.16.0.0
c2821(config-if)#
c2821(config-if)#exit
c2821(config)#no int lo 177
c2821(config)#

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И не только на лупбек и не только такие фишки.

 

Как мне с шифрованием поступить? У меня конфиг без шифрования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Шифрование mppe 2811 не поддерживает. Вернее поддерживает только процессором. Со всеми вытекаюшими для нагрузки. Так что в этом случае забудьте про 50Mbps. Да если бы и поддерживало (ipsec) - тоже забудьте. 20-30 - вот был бы потолок. Вообще если хотите в конфиге что-то наворотить (pptp + NAT+шэйпер например) - воспринимайте эту железку как роутер на 10+ мегабит. Так будет честнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4)))

Пожалуй так. У 2811 весьма дохленький процессор, в сравнении с, например, 2821. Последняя заметно более живая по всяким тяжелым фичам, хотя и дороже конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2821 тоже не фонтан)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блинааа.

У меня в конфиге какое шифрование?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.