2bit Опубликовано 13 апреля, 2009 · Жалоба Помогите оптимизировать Cisco 2811. Я только начинаю самообучение, поэтому "лохопед". И так на Cisco, поднят VPN, DNS-PROXY, RADIUS-CLIENT, NAT, RATE-LIMIT. Теоретическая нагрузка 50Мбит/с. Конфиг BETA: ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! aaa new-model aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius aaa accounting system default start-stop group radius ! ! enable secret 5 ~~ enable password ~~ ! username admin password password ip subnet-zero no ip rcmd domain-lookup ip domain-name router hostname Router ip cef vpdn enable ! vpdn-group 1 ! ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1 local name pptp_gateway ! ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 ! ! Локальный интерфейс... interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 no ip route-cache duplex full speed auto no mop enabled ! ! Внешний интерфейс... interface FastEthernet0/0 ip address 172.18.2.2 255.255.0.0 ip nat outside no ip route-cache duplex full speed auto no mop enabled ! ! interface Virtual-Template1 ip unnumbered Loopback 1 ip mtu 1492 ip nat inside autodetect encapsulation ppp ppp authentication chap callin ! -> Установка внутреннего DNS для клиентов: ppp ipcp dns 172.22.0.0 ! -> Кол-во изначально создаваемых интерфейсов для ускорения подключения: virtual-template 1 pre-clone 200 ! ! ! Конфигурация NAT... ip nat inside source list 1 interface FastEthernet0/0 overload ip classless ! ! ! Конфигурация RADIUS... ! -> Интерфейс с которого происходит связь с RADIUS: ip radius source-interface FastEthernet0/1 ! -> Отключение конифгурирования NAS: no radius-server configure-nas ! -> Адрес сервера RADIUS: radius-server host 192.168.1.21 auth-port 1812 acct-port 1813 ! -> Сикретный ключ RADIUS: radius-server key radius radius-server retransmit 0 radius-server timeout 1 radius-server deadtime 1 radius-server vsa send accounting radius-server vsa send authentication ! ! ! DNS... ip domain-lookup ! -> DNS адрес провайдера: ip name-server ~~ ! -> Включение DNS сервера: ip dns server !!!!!async-bootp dns-server 172.22.0.0 ! ! ! Маршруты... ip route 0.0.0.0 0.0.0.0 172.18.1.1 ! ! Определение приватной сети... access-list 1 permit 10.1.40.0 0.0.0.255 ! ! Локальные домены... ip host vpn.~~ 172.22.0.0 ! line con 0 line aux 0 line vty 0 4 password DD%T#A156Q307MP ! ! ip http server no ip http secure-server ! ! end И так вопросы: 1. Какой тип протокола безопасности выбрать (PAP, CHAP и тд.), чтобы было ОПТИМАЛЬНО. Для клиентов поменьше галочек из под Windows ставить, для Cisco максимально маленькая нагрузка на CPU. Как я понял из доков на Cisco есть аппаратное шифрование, как включить или реально ли оно уместно в моей шараге? 2. Поднят DNS-PROXY как сказывается на CPU. Надеюсь он не занимается кешированием? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 13 апреля, 2009 · Жалоба перед выбором PAP или CHAP нужно еще ответить на ряд вводных вопросов: 1) пароли в биллинге будут храниться в шифрованном виде или открыто? 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 13 апреля, 2009 · Жалоба при pap - пароль будет передаваться в открытом виде и его легко перехватить, но хранить его в биллинге можно шифрованным (односторонним шифрованием) В этом случае, если кто стырит базу - воспользоваться ей он не сможет :) при chap - пароль передается шифрованным, вернее вообше не передается - только хеш с его участием, и перехватить пароль невозможно. Но при этом BRAS должен иметь открытый пароль при аутентификации для сравнения с полученным хешем, а значит в биллинге придется хранить пароли в открытом виде :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 13 апреля, 2009 (изменено) · Жалоба 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?Перехватить пароли если умудриться можно.Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось. 1) пароли в биллинге будут храниться в шифрованном виде или открыто?В БД биллинга пароли открытые. Аутентификация через RADIUS. Изменено 13 апреля, 2009 пользователем 2bit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 13 апреля, 2009 · Жалоба Уберите ДНС-прокси, мой вам совет... А то ей очень скоро плохо станет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 14 апреля, 2009 · Жалоба Совету послушаюсь, только почему плохо станет? И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 14 апреля, 2009 · Жалоба ! Интерфейс замыкания на себя... interface Loopback 1 ip address 172.22.0.0 255.255.255.255 o.O жесть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 14 апреля, 2009 · Жалоба Совету послушаюсь, только почему плохо станет?Есть негативный опыт, под нагрузкой очень сильно грузит CPU. И что сделать с шифрованием, оставлять CHAP и не париться? Нагрузки на CPU не будет?CHAP - это не шифрование, а аутентификация. А конкретно это непередача пароля открытым текстом в отличии от РАР.Шифрование это mppe, вот оно сильно грузит. Притом работает только с MS-CHAP. interface Loopback 1ip address 172.22.0.0 255.255.255.255 Мдя... Странный адрес, Вам не кажется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 14 апреля, 2009 · Жалоба 2) насколько безопасен транспорт от клиента до циски? возможен ли перехват пароля? и, соответственно, передавать пароль при аутентификации стоит в открытом виде или шифрованном?Перехватить пароли если умудриться можно.Поэтому по своему не знанию ищу оптимальное решение. Пытался поискать информацию в интернете - не получилось. 1) пароли в биллинге будут храниться в шифрованном виде или открыто?В БД биллинга пароли открытые. Аутентификация через RADIUS. Если транспорт до клиента ненадежный и пароли в базе открытые - CHAP однозначно. Это не вопрос оптимизации, а вопрос безопасности - если будут тырить пароли (а парочка кулхацкеров, подписаных на журнал хакер найдется в любой сети) то будет страдать сам бизнес и тогда оптимизация уже будет не нужна (просто клиенты разбегутся) :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 14 апреля, 2009 · Жалоба Лол извините, а чем вам адрес не нравится? Итак оставляю CHAP с ним благо все работает без проблем. Что делать с шифрование трафика или оно у меня отключено? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 14 апреля, 2009 · Жалоба хм. однако работает ping vrf mLAB 172.22.0.0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.22.0.0, timeout is 2 seconds: !!!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Denis Samsonov Опубликовано 14 апреля, 2009 · Жалоба а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 14 апреля, 2009 · Жалоба хм. однако работаетНа киске и не такое работает)))Но выглядит как адрес сети) а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)врядли)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 14 апреля, 2009 · Жалоба хм. однако работает На киске и не такое работает))) Но выглядит как адрес сети) На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =). а вот если киску 2811 заставить терминировать 500-800 туннелей (около 100 мбит/c) и шейпить траффик оно переварит все это? :)Я думаю что rate-limit и Шейпер отличаются в корне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 14 апреля, 2009 · Жалоба На любых устройствах и ОС это работает. Очень странно что вы ГУРУ не дыбаете =).Да, действительно на лупбек можно. c2821(config)#int lo 177 c2821(config-if)#ip add 172.16.0.0 ? A.B.C.D IP subnet mask c2821(config-if)#ip add 172.16.0.0 255.255.255.255 c2821(config-if)#ip add 172.16.0.0 255.255.255.0 Bad mask /24 for address 172.16.0.0 c2821(config-if)# c2821(config-if)#exit c2821(config)#no int lo 177 c2821(config)# Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 15 апреля, 2009 · Жалоба И не только на лупбек и не только такие фишки. Как мне с шифрованием поступить? У меня конфиг без шифрования? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vindium Опубликовано 15 апреля, 2009 · Жалоба Шифрование mppe 2811 не поддерживает. Вернее поддерживает только процессором. Со всеми вытекаюшими для нагрузки. Так что в этом случае забудьте про 50Mbps. Да если бы и поддерживало (ipsec) - тоже забудьте. 20-30 - вот был бы потолок. Вообще если хотите в конфиге что-то наворотить (pptp + NAT+шэйпер например) - воспринимайте эту железку как роутер на 10+ мегабит. Так будет честнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 апреля, 2009 · Жалоба Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vindium Опубликовано 15 апреля, 2009 · Жалоба Хорошо подходит оценочный метод: циферка из мурзилки routerperfomance.pdf поделеная на 4))) Пожалуй так. У 2811 весьма дохленький процессор, в сравнении с, например, 2821. Последняя заметно более живая по всяким тяжелым фичам, хотя и дороже конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 апреля, 2009 · Жалоба 2821 тоже не фонтан) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 15 апреля, 2009 · Жалоба Блинааа. У меня в конфиге какое шифрование? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...