vavy Posted July 13, 2010 · Report post Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом. Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! Share this post Link to post Share on other sites
mschedrin Posted July 13, 2010 · Report post Писюк :) Share this post Link to post Share on other sites
yakuzzza Posted July 13, 2010 · Report post 2 писюка ;) Share this post Link to post Share on other sites
vavy Posted July 13, 2010 · Report post я думал, что указанный ценовой диапазон не попадает под попадалово описанное в http://forum.nag.ru/forum/index.php?showtopic=58173 Share this post Link to post Share on other sites
Nikolaicheg Posted July 13, 2010 · Report post жанипер смотри) ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять) Share this post Link to post Share on other sites
vavy Posted July 14, 2010 · Report post жанипер смотри)ипсек, 3дес, все дела. до 5000 баксов чо хошь можно взять) Juniper тоже так же невозможно официально купить из-за таможенных барьеров? Share this post Link to post Share on other sites
Alex/AT Posted July 14, 2010 · Report post ASA 5505. Дешево и неплохо по производительности. Share this post Link to post Share on other sites
i.zhuvakov Posted July 14, 2010 · Report post Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! 2 писюка + Linux Share this post Link to post Share on other sites
vavy Posted July 14, 2010 · Report post Люди! Порекомендуйте пару железок для того чтобы зашифровать, скажем, ipip-туннель, скажем, 3des-ом.Самую эффективную по соотношнию (скорость_пропускания & надежность) / цена. В диапазоне 500-5000 долл. Спасибо! 2 писюка + Linux как оказалось, не особо просто найти 2 писюка в миниатюрном исполнении (micro-itx высотой в 4,5см) так чтобы туда четырехядерный проц встал и материнка чтобы была с двумя гигабитными нормальными сетевухами.Может кто-то уже подбирал решение такое? Share this post Link to post Share on other sites
woddy Posted July 14, 2010 · Report post вам какая производительность тунеля нужна? зачем вам 4 ядра? Share this post Link to post Share on other sites
mschedrin Posted July 14, 2010 · Report post vavy у вас проблема с местм в стойке? Купите писюк, а на сэкномленные деньги еще одну стойку :) Share this post Link to post Share on other sites
vavy Posted July 14, 2010 · Report post вам какая производительность тунеля нужна? зачем вам 4 ядра? 200 мбит 3des хочу. А лучше 1000 мбит. Share this post Link to post Share on other sites
Nikolaicheg Posted July 16, 2010 · Report post vavy Жаниперы ввозят без проблем. у них другая политика. они по-умолчанию предлагают базовый софт. заказав годовой контракт поддержки, вы получаете доступ в репозиторий софта. там можно скачать полноценную версию с 3des шифрованием. я использую у себя два j-2320 и пять штук srx-100. При хотелках 1000мбит 3DES вам, думается мне, не удастся найти необходимое железо :) Share this post Link to post Share on other sites
trace Posted July 16, 2010 · Report post делали туннель на микротиках RB750G, EoIP -> PPtP с шифрованием, вроде так. 50мбит держало. Учитывая стоимость такого решения в 100 баксов за сторону, можно придумать довольно неплохую схемку, в этом направлении. решение колхозное, но мы так объединили филиалы, всё работает, все довольны. Share this post Link to post Share on other sites
puh Posted July 16, 2010 · Report post trace 1 гиг / 50 мбит = 20 железок с каждой стороны. Чем балансировать трафик на 20 линков будете? asa 5505 тоже на гиг не пойдёт. На гиг [согласно даташиту] требуется ASA 5580. Но формат её далеко не mini-itx, да и цена не 5000 уе. Share this post Link to post Share on other sites
trace Posted July 16, 2010 · Report post есть железки помощнее и подороже, я описал то, что мы запускали. да и вопрос в том, каково предназначение - закрыть аську от посторонних глаз, или филиал банка подключить и сдать линию связи всем проверкам. Share this post Link to post Share on other sites
Alex/AT Posted July 19, 2010 (edited) · Report post Да, на тысячку - только 5580. На 200 можно обойтись и 5520, по опыту. Edited July 19, 2010 by Alex/AT Share this post Link to post Share on other sites
Ilya Evseev Posted July 23, 2010 · Report post Mikrotik RB/800PI 2 * $500. Встроенная RouterOS умеет PPTP, OpenVPN и IPSec. Share this post Link to post Share on other sites
Alex/AT Posted July 23, 2010 (edited) · Report post MPC8544 800MHz пропустит 1гбит IPSec/3DES? Оно в чистом роутинге пропускает только 1.5 гига, а тут еще туннель + шифрование. Оценка такова - в 3DES - не более 40-60 мбит для данной железки, в AES - и того меньше. http://www.routerboard.com/pdf/routerboard...mance_tests.pdf Под такую задачу только железки с поддержкой аппаратной криптовалки типа той же ASA, иного не дано. Ну или - как уже было сказано - пара достаточно мощных серваков на линухах, ядра должны быть производительными. По оценке - что-то класса Xeon W5580 справится и с гигом. Edited July 23, 2010 by Alex/AT Share this post Link to post Share on other sites
a0d75 Posted July 23, 2010 · Report post У микротика рб1000 есть аппаратный акселератор ipsec. При копеечной цене устройств получите пол гигабита (по заявлениям производителя) Share this post Link to post Share on other sites
GreyWolf Posted July 23, 2010 (edited) · Report post Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :) Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим". Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать. Что ещё приятно, так это то, что отказоустойчивость можно реализовать в такой схеме крайне просто - 2 компа с каждой стороны, OpenVPN в режиме моста и etherchannel с обеих сторон, можно даже 802.1Q пробросить :-) Edited July 23, 2010 by GreyWolf Share this post Link to post Share on other sites
AciDSAS Posted July 24, 2010 · Report post Из писюков на ум напрашивается процессор Via с модулем PadLock. PadLock — аппаратное шифрование AES и, вроде, 3DES. Были где-то бенчмарки по отношению к Intel Core & Intel P4 процессорам. Intel сильно отставал... Share this post Link to post Share on other sites
Ivan_83 Posted July 26, 2010 · Report post Давненько делал шифрование L2-линка между офисами на базе двух P4-2.8 писюков и OpenVPN (шифровал blowfish'ем). Скорости проца хватило на 100МБит полу-дуплекса. Бюджет, сами понимаете - просто смешной :)Выбирал именно blowfish и, как следствие OpenVPN, только из-за скорости - с 3DES'ом на 100Mbit писюки уже не справлялись, а AES в той версии openssl был ещё тормозной. Цифры максимальной производительности OpenVPN хорошо коррелируют с "openssl speed алгортим". Так что, гигабит в софте на дешёвом железе обработать не получится, а вот с пол-гигабита при умелом распараллеливании по ядрам - можно попробовать. Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое. Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность. Ещё, в доках на фряху есть как поднимать IPSec тунель, там вроде всё шифрование в ядре остаётся, это тоже ощутимый плюс к производительности, в сравнении с юзерспейс OpenVPN. Проблема производительности - в том что переносимый код на си предпочтительнее: писать/отлаживать проще. Share this post Link to post Share on other sites
GreyWolf Posted July 27, 2010 · Report post Можно было ещё с ключами компилятора при сборке поигратся, тот же -O3, -OS или ещё что - это самое простое.Можно найти реализации самих алгоритмов шифрования на асме с использованием SSE/MMX и пр и использовать их, если там код на си, это всё может очень даже поднять производительность. В OpenSSL и так большая часть реализации криптоалгоритмов на ASM'е. И дополнительная оптимизация компилятора уже не спасет. Share this post Link to post Share on other sites
