vavy Posted July 13, 2010 Posted July 13, 2010 Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом. Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! Вставить ник Quote
vavy Posted July 13, 2010 Author Posted July 13, 2010 я думал, что указанный ценовой диапазон не попадает под попадалово описанное в http://forum.nag.ru/forum/index.php?showtopic=58173 Вставить ник Quote
Nikolaicheg Posted July 13, 2010 Posted July 13, 2010 жанипер смотри) ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять) Вставить ник Quote
vavy Posted July 14, 2010 Author Posted July 14, 2010 жанипер смотри)ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять) Juniper тоже так же невозможно официально купить из-за таможенных барьеров? Вставить ник Quote
Alex/AT Posted July 14, 2010 Posted July 14, 2010 ASA 5505. Дешево и неплохо по производительности. Вставить ник Quote
i.zhuvakov Posted July 14, 2010 Posted July 14, 2010 Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! 2 писюка + Linux Вставить ник Quote
vavy Posted July 14, 2010 Author Posted July 14, 2010 Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! 2 писюка + Linux как оказалось, не особо просто найти 2 писюка в миниатюрном исполнении (micro-itx высотой в 4,5см) так чтобы туда четырехядерный проц встал и материнка чтобы была с двумя гигабитными нормальными сетевухами.Может кто-то уже подбирал решение такое? Вставить ник Quote
woddy Posted July 14, 2010 Posted July 14, 2010 вам какая производительность тунеля нужна? зачем вам 4 ядра? Вставить ник Quote
mschedrin Posted July 14, 2010 Posted July 14, 2010 vavy у вас проблема с местм в стойке? Купите писюк, а на сэкномленные деньги еще одну стойку :) Вставить ник Quote
vavy Posted July 14, 2010 Author Posted July 14, 2010 вам какая производительность тунеля нужна? зачем вам 4 ядра? 200 мбит 3des хочу. А лучше 1000 мбит. Вставить ник Quote
Nikolaicheg Posted July 16, 2010 Posted July 16, 2010 vavy Жаниперы ввозят без проблем. у них другая политика. они по-умолчанию предлагают базовый софт. заказав годовой контракт поддержки, вы получаете доступ в репозиторий софта. там можно скачать полноценную версию с 3des шифрованием. я использую у себя два j-2320 и пять штук srx-100. При хотелках 1000мбит 3DES вам, думается мне, не удастся найти необходимое железо :) Вставить ник Quote
trace Posted July 16, 2010 Posted July 16, 2010 делали туннель на микротиках RB750G, EoIP -> PPtP с шифрованием, вроде так. 50мбит держало. Учитывая стоимость такого решения в 100 баксов за сторону, можно придумать довольно неплохую схемку, в этом направлении. решение колхозное, но мы так объединили филиалы, всё работает, все довольны. Вставить ник Quote
puh Posted July 16, 2010 Posted July 16, 2010 trace 1 гиг / 50 мбит = 20 железок с каждой стороны. Чем балансировать трафик на 20 линков будете? asa 5505 тоже на гиг не пойдёт. На гиг [согласно даташиту] требуется ASA 5580. Но формат её далеко не mini-itx, да и цена не 5000 уе. Вставить ник Quote
trace Posted July 16, 2010 Posted July 16, 2010 есть железки помощнее и подороже, я описал то, что мы запускали. да и вопрос в том, каково предназначение - закрыть аську от посторонних глаз, или филиал банка подключить и сдать линию связи всем проверкам. Вставить ник Quote
Alex/AT Posted July 19, 2010 Posted July 19, 2010 (edited) Да, на тысячку - только 5580. На 200 можно обойтись и 5520, по опыту. Edited July 19, 2010 by Alex/AT Вставить ник Quote
Ilya Evseev Posted July 23, 2010 Posted July 23, 2010 Mikrotik RB/800PI 2 * $500. Встроенная RouterOS умеет PPTP, OpenVPN и IPSec. Вставить ник Quote
Alex/AT Posted July 23, 2010 Posted July 23, 2010 (edited) MPC8544 800MHz пропустит 1гбит IPSec/3DES? Оно в чистом роутинге пропускает только 1.5 гига, а тут еще туннель + шифрование. Оценка такова - в 3DES - не более 40-60 мбит для данной железки, в AES - и того меньше. http://www.routerboard.com/pdf/routerboard...mance_tests.pdf Под такую задачу только железки с поддержкой аппаратной криптовалки типа той же ASA, иного не дано. Ну или - как уже было сказано - пара достаточно мощных серваков на линухах, ядра должны быть производительными. По оценке - что-то класса Xeon W5580 справится и с гигом. Edited July 23, 2010 by Alex/AT Вставить ник Quote
a0d75 Posted July 23, 2010 Posted July 23, 2010 У микротика рб1000 есть аппаратный акселератор ipsec. При копеечной цене устройств получите пол гигабита (по заявлениям производителя) Вставить ник Quote
GreyWolf Posted July 23, 2010 Posted July 23, 2010 (edited) Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :) Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим". Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать. Что ещё приятно, так это то, что отказоустойчивость можно реализовать в такой схеме крайне просто - 2 компа с каждой стороны, OpenVPN в режиме моста и etherchannel с обеих сторон, можно даже 802.1Q пробросить :-) Edited July 23, 2010 by GreyWolf Вставить ник Quote
AciDSAS Posted July 24, 2010 Posted July 24, 2010 Из писюков на ум напрашивается процессор Via с модулем PadLock. PadLock — аппаратное шифрование AES и, вроде, 3DES. Были где-то бенчмарки по отношению к Intel Core & Intel P4 процессорам. Intel сильно отставал... Вставить ник Quote
Ivan_83 Posted July 26, 2010 Posted July 26, 2010 Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :)Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим". Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать. Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое. Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность. Ещё, в доках на фряху есть как поднимать IPSec тунель, там вроде всё шифрование в ядре остаётся, это тоже ощутимый плюс к производительности, в сравнении с юзерспейс OpenVPN. Проблема производительности - в том что переносимый код на си предпочтительнее: писать/отлаживать проще. Вставить ник Quote
GreyWolf Posted July 27, 2010 Posted July 27, 2010 Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое.Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность. В OpenSSL и так большая часть реализации криптоалгоритмов на ASM'е. И дополнительная оптимизация компилятора уже не спасет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.