digsi Опубликовано 16 ноября, 2013 · Жалоба Есть канал оптический 1 гигабит, т.е. 2 гигабита общая полоса пропускания в две стороны. Какое оборудование сможет зашифровать l2tp\ipsec 256 aes ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 ноября, 2013 (изменено) · Жалоба Вам нужно 2 Intel CPU с AES-NI с максимальной частотой. Вот неплохой обзорчик http://ibatanov.blogspot.ru/2012/04/ipsec-performance-benchmarking-is-end.html Изменено 16 ноября, 2013 пользователем srg555 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 16 ноября, 2013 · Жалоба srg555 у меня есть пара машин на тесте с процами e5-2620, сейчас их тестю. Тест с rras пока провалился. На очереди openvpn. Хочется юнитовых девайсов в стойку. Пока вырисовывается вариант - WS-C3560X-24T-S +модуль шифрования C3KX-SM-10G. Только непонятно может модуль aes 256 или нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 ноября, 2013 · Жалоба Тест с rras пока провалился. На очереди openvpn. С openvpn точно провалится, оно само по себе тормозное довольно(ибо userspace). И openvpn оно как бы не l2tp/ipsec rras у вас использовал aes-ni? C3KX-SM-10G Его в РФ можно купить не серыми схемами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 16 ноября, 2013 (изменено) · Жалоба srg555 максимальная скорость трансфера на rras - 30 мбайт сек и 250 мбит полосы изернета, 2 ядра из 12 только загружены. Похоже aes-ni не задействуется. Если сделать truecrypt aes-ni benchmark - показывает скорость шифрования - 24 гигабита Мы этот модуль и на ебае можем купить. Изменено 16 ноября, 2013 пользователем digsi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 ноября, 2013 · Жалоба Если сделать truecrypt aes-ni benchmark - показывает скорость шифрования - 24 гигабита Ну и всё тогда. Берёте linux, strongswan и в путь. Только я хз, сделали уже поддержку aes256gcm для x86_64 или всё ещё нет(раньше оно только на 32битном ядре работало) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 16 ноября, 2013 · Жалоба srg555 а чего не openvpn c 256 aes? вот опыт тестировки http://www.etegro.ru/articles/encrypted-gigabit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 ноября, 2013 · Жалоба а чего не openvpn c 256 aes? У вас же изначальное требование l2tp/ipsec. Что вообщем-то правильно, потому что такое можно потом и на Cisco и на что угодно перевести, а openvpn это удел традиционных серверов/PC Ну и во-вторых не понятно зачем трафик гонять в userspace Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 16 ноября, 2013 · Жалоба srg555 мне то не принципиально какая технология будет, главное чтоб шифровала трафик на ширине канала 2 гигабита и стоила минимальных средств. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 ноября, 2013 · Жалоба вряд ли найдёте что-то дешевле чем сервер с CPU с AES-NI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 16 ноября, 2013 · Жалоба как вариант бу привезти с ебая Juniper 5200 (5400). Недорого получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 ноября, 2013 · Жалоба SRX650 и выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 ноября, 2013 · Жалоба asr1k Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 17 ноября, 2013 · Жалоба SRX650 и asr1000 уже небюджетно совершенно для шифрования канала 2 гигабита) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 ноября, 2013 · Жалоба SRX650 и asr1000 уже небюджетно совершенно для шифрования канала 2 гигабита) Вам шашечки или ехать? 650й SRX кстати не так дорого стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 17 ноября, 2013 · Жалоба myst так мне не надо пока ферари ) я могу и на жигулях доехать. Juniper 5400 я могу за 2k$ привезти б\у. 650й SRX раза в три подороже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 ноября, 2013 · Жалоба myst так мне не надо пока ферари ) я могу и на жигулях доехать. Juniper 5400 я могу за 2k$ привезти б\у. 650й SRX раза в три подороже. откуда такие цены? Он стоит 12к новый с сервисным контрактом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 18 ноября, 2013 · Жалоба myst так я не про новые говорю - б\у Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 30 ноября, 2013 (изменено) · Жалоба Сейчас у HP появились железки - http://h17007.www1.hp.com/us/en/networking/products/routers/HP_MSR3000_Router_Series/index.aspx#.Upm6zhAQZ9Y JG409A#ABA стоит 1400$ на зарубежных сайтах. По докам - пропускная способность шифрования IPsec может достигать 3,3 Гбит/с. Это поделка H3C - хуавей + 3com. Неужели никто не пробовал? Изменено 7 декабря, 2013 пользователем digsi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...