Cisco 2901 - IPSec VPN 最大 CPU

我们在 100Mbps/100Mbps WAN 链路的边缘有一个 Cisco 2901，它为 Juniper SSG 550M 的 IPSec VPN 提供端点。

问题是我们看到 IPSec VPN 的最大速度“仅”为 40Mbps，并且当 VPN 达到容量上限时，Cisco 上的 CPU 负载约为 80-90%，并且保持在这个水平，根本不会下降。

该show proc cpu sorted命令给出以下信息：

CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
 101      188804    47594649          3  0.23%  0.22%  0.21%   0 Ethernet Msec Ti
  14      482964      385534       1252  0.23%  0.04%  0.05%   0 Environmental mo
   3        1460         585       2495  0.15%  0.04%  0.05% 388 SSH Process
 327       85280      280383        304  0.07%  0.01%  0.00%   0 SNMP ENGINE
 127       43608    11898639          3  0.07%  0.04%  0.05%   0 IPAM Manager
 142        5920     1510439          3  0.07%  0.00%  0.00%   0 SSS Feature Time
 131      114060      407605        279  0.07%  0.03%  0.00%   0 IP Input
 325      130836      561332        233  0.07%  0.02%  0.00%   0 IP SNMP

为了完整起见，下面是历史：

      888887777788888888888888888888888888888888887777711111111111
      333339999944444888884444411111111133333333339999933333333336
  100
   90                *****
   80 *************************************************
   70 *************************************************
   60 *************************************************
   50 *************************************************
   40 *************************************************
   30 *************************************************
   20 *************************************************          *
   10 ************************************************************
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)

我尝试过多种不同的加密/散列组合，试图获得更高的性能，但我见过的最佳速度是 50Mbps，而且只是一点点。这符合DES/MD5预期。

我还读到它可能需要一个硬件加密模块来加快速度，但是从我所看到的情况来看，有一个内置加密模块：

    crypto engine name:  Virtual Private Network (VPN) Module
    crypto engine type:  hardware
                 State:  Enabled
              Location:  onboard 0
          Product Name:  Onboard-VPN
            HW Version:  1.0
           Compression:  Yes
                   DES:  Yes
                 3 DES:  Yes
               AES CBC:  Yes (128,192,256)
              AES CNTR:  No
 Maximum buffer length:  0000
      Maximum DH index:  0000
      Maximum SA index:  0000
    Maximum Flow index:  2800
  Maximum RSA key size:  0000

我也不知道这是否被充分利用了。

就 ACL 而言，唯一甚至是远程密集型的是外部全局 -> 外部本地 NAT 池规则。

我也尝试将 MTU 设置为，1452并将 adjust-mss 设置为1400

我有点难以排除这是硬件限制还是配置问题。

VPN 的另一端似乎没有资源问题。

Cisco 2901 是否真的能够通过 IPsec 隧道实现 100Mbps 的速度？我相信 Cisco 的文档指出它可以达到 170Mbps 或类似的速度。Cisco
实际上引用了我以下信息：
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.

在路由器不适合的情况下，什么型号可以在相同情况下维持100Mbps？

添加额外的硬件加密模块也有帮助吗？

还有其他技巧可以最大限度地利用 IPsec VPN 吗？