我们在 100Mbps/100Mbps WAN 链路的边缘有一个 Cisco 2901,它为 Juniper SSG 550M 的 IPSec VPN 提供端点。
问题是我们看到 IPSec VPN 的最大速度“仅”为 40Mbps,并且当 VPN 达到容量上限时,Cisco 上的 CPU 负载约为 80-90%,并且保持在这个水平,根本不会下降。
该show proc cpu sorted
命令给出以下信息:
CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
101 188804 47594649 3 0.23% 0.22% 0.21% 0 Ethernet Msec Ti
14 482964 385534 1252 0.23% 0.04% 0.05% 0 Environmental mo
3 1460 585 2495 0.15% 0.04% 0.05% 388 SSH Process
327 85280 280383 304 0.07% 0.01% 0.00% 0 SNMP ENGINE
127 43608 11898639 3 0.07% 0.04% 0.05% 0 IPAM Manager
142 5920 1510439 3 0.07% 0.00% 0.00% 0 SSS Feature Time
131 114060 407605 279 0.07% 0.03% 0.00% 0 IP Input
325 130836 561332 233 0.07% 0.02% 0.00% 0 IP SNMP
为了完整起见,下面是历史:
888887777788888888888888888888888888888888887777711111111111
333339999944444888884444411111111133333333339999933333333336
100
90 *****
80 *************************************************
70 *************************************************
60 *************************************************
50 *************************************************
40 *************************************************
30 *************************************************
20 ************************************************* *
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
CPU% per second (last 60 seconds)
我尝试过多种不同的加密/散列组合,试图获得更高的性能,但我见过的最佳速度是 50Mbps,而且只是一点点。这符合DES/MD5
预期。
我还读到它可能需要一个硬件加密模块来加快速度,但是从我所看到的情况来看,有一个内置加密模块:
crypto engine name: Virtual Private Network (VPN) Module
crypto engine type: hardware
State: Enabled
Location: onboard 0
Product Name: Onboard-VPN
HW Version: 1.0
Compression: Yes
DES: Yes
3 DES: Yes
AES CBC: Yes (128,192,256)
AES CNTR: No
Maximum buffer length: 0000
Maximum DH index: 0000
Maximum SA index: 0000
Maximum Flow index: 2800
Maximum RSA key size: 0000
我也不知道这是否被充分利用了。
就 ACL 而言,唯一甚至是远程密集型的是外部全局 -> 外部本地 NAT 池规则。
我也尝试将 MTU 设置为,1452
并将 adjust-mss 设置为1400
我有点难以排除这是硬件限制还是配置问题。
VPN 的另一端似乎没有资源问题。
Cisco 2901 是否真的能够通过 IPsec 隧道实现 100Mbps 的速度?我相信 Cisco 的文档指出它可以达到 170Mbps 或类似的速度。Cisco
实际上引用了我以下信息:
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.
在路由器不适合的情况下,什么型号可以在相同情况下维持100Mbps?
添加额外的硬件加密模块也有帮助吗?
还有其他技巧可以最大限度地利用 IPsec VPN 吗?
答案1
对于您的第一个问题 - 在启用功能(ACL + NAT)的情况下,40mbps 听起来大约正好符合 2901 ipsec 性能的测试规格。
所有 ISR G2 平台都包含自动启用的硬件加密。如果没有硬件模块启动,您将无法获得接近 40mbps 的速度 :)
如果您正在寻找一款能够通过服务推动 100 mbps ipsec 的路由器,那么 2951 或 3925 平台就是您的不二之选。我会选择 3925,这样可以留出一些余地。
您还需要美国的 HSEC(高安全许可证),因为如果没有该许可证,出口管制就不允许超过 85 mbps 的加密,无论硬件功能如何。