Jump to content
Калькуляторы

Порекомендуйте шифровалку

Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.

Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена.

В диапазоне 500-5000 долл.

Спасибо!

 

Share this post


Link to post
Share on other sites

жанипер смотри)

ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять)

Share this post


Link to post
Share on other sites
жанипер смотри)

ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять)

Juniper тоже так же невозможно официально купить из-за таможенных барьеров?

Share this post


Link to post
Share on other sites

ASA 5505. Дешево и неплохо по производительности.

Share this post


Link to post
Share on other sites
Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.

Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена.

В диапазоне 500-5000 долл.

Спасибо!

2 писюка + Linux

Share this post


Link to post
Share on other sites
Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.

Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена.

В диапазоне 500-5000 долл.

Спасибо!

2 писюка + Linux

как оказалось, не особо просто найти 2 писюка в миниатюрном исполнении (micro-itx высотой в 4,5см) так чтобы туда четырехядерный проц встал и материнка чтобы была с двумя гигабитными нормальными сетевухами.Может кто-то уже подбирал решение такое?

Share this post


Link to post
Share on other sites

вам какая производительность тунеля нужна? зачем вам 4 ядра?

Share this post


Link to post
Share on other sites

vavy

у вас проблема с местм в стойке? Купите писюк, а на сэкномленные деньги еще одну стойку :)

Share this post


Link to post
Share on other sites
вам какая производительность тунеля нужна? зачем вам 4 ядра?

200 мбит 3des хочу.

А лучше 1000 мбит.

 

Share this post


Link to post
Share on other sites

vavy

Жаниперы ввозят без проблем. у них другая политика. они по-умолчанию предлагают базовый софт. заказав годовой контракт поддержки, вы получаете доступ в репозиторий софта. там можно скачать полноценную версию с 3des шифрованием.

я использую у себя два j-2320 и пять штук srx-100.

При хотелках 1000мбит 3DES вам, думается мне, не удастся найти необходимое железо :)

Share this post


Link to post
Share on other sites

делали туннель на микротиках RB750G, EoIP -> PPtP с шифрованием, вроде так. 50мбит держало. Учитывая стоимость такого решения в 100 баксов за сторону, можно придумать довольно неплохую схемку, в этом направлении.

 

решение колхозное, но мы так объединили филиалы, всё работает, все довольны.

Share this post


Link to post
Share on other sites

trace

1 гиг / 50 мбит = 20 железок с каждой стороны. Чем балансировать трафик на 20 линков будете?

 

asa 5505 тоже на гиг не пойдёт. На гиг [согласно даташиту] требуется ASA 5580. Но формат её далеко не mini-itx, да и цена не 5000 уе.

Share this post


Link to post
Share on other sites

есть железки помощнее и подороже, я описал то, что мы запускали.

 

да и вопрос в том, каково предназначение - закрыть аську от посторонних глаз, или филиал банка подключить и сдать линию связи всем проверкам.

Share this post


Link to post
Share on other sites

Да, на тысячку - только 5580. На 200 можно обойтись и 5520, по опыту.

Edited by Alex/AT

Share this post


Link to post
Share on other sites

MPC8544 800MHz пропустит 1гбит IPSec/3DES? Оно в чистом роутинге пропускает только 1.5 гига, а тут еще туннель + шифрование. Оценка такова - в 3DES - не более 40-60 мбит для данной железки, в AES - и того меньше.

 

http://www.routerboard.com/pdf/routerboard...mance_tests.pdf

 

Под такую задачу только железки с поддержкой аппаратной криптовалки типа той же ASA, иного не дано. Ну или - как уже было сказано - пара достаточно мощных серваков на линухах, ядра должны быть производительными. По оценке - что-то класса Xeon W5580 справится и с гигом.

Edited by Alex/AT

Share this post


Link to post
Share on other sites

У микротика рб1000 есть аппаратный акселератор ipsec. При копеечной цене устройств получите пол гигабита (по заявлениям производителя)

Share this post


Link to post
Share on other sites

Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :)

Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим".

Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать.

Что ещё приятно, так это то, что отказоустойчивость можно реализовать в такой схеме крайне просто - 2 компа с каждой стороны, OpenVPN в режиме моста и etherchannel с обеих сторон, можно даже 802.1Q пробросить :-)

Edited by GreyWolf

Share this post


Link to post
Share on other sites

Из писюков на ум напрашивается процессор Via с модулем PadLock. PadLock — аппаратное шифрование AES и, вроде, 3DES. Были где-то бенчмарки по отношению к Intel Core & Intel P4 процессорам. Intel сильно отставал...

Share this post


Link to post
Share on other sites
Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :)

Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим".

Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать.

Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое.

 

Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность.

 

Ещё, в доках на фряху есть как поднимать IPSec тунель, там вроде всё шифрование в ядре остаётся, это тоже ощутимый плюс к производительности, в сравнении с юзерспейс OpenVPN.

 

Проблема производительности - в том что переносимый код на си предпочтительнее: писать/отлаживать проще.

Share this post


Link to post
Share on other sites
Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое.

Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность.

В OpenSSL и так большая часть реализации криптоалгоритмов на ASM'е. И дополнительная оптимизация компилятора уже не спасет.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this