Cisco 2901 - IPSec VPN 最大 CPU

Cisco 2901 - IPSec VPN 最大 CPU

我们在 100Mbps/100Mbps WAN 链路的边缘有一个 Cisco 2901,它为 Juniper SSG 550M 的 IPSec VPN 提供端点。

问题是我们看到 IPSec VPN 的最大速度“仅”为 40Mbps,并且当 VPN 达到容量上限时,Cisco 上的 CPU 负载约为 80-90%,并且保持在这个水平,根本不会下降。

show proc cpu sorted命令给出以下信息:

CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40%
 PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process
 101      188804    47594649          3  0.23%  0.22%  0.21%   0 Ethernet Msec Ti
  14      482964      385534       1252  0.23%  0.04%  0.05%   0 Environmental mo
   3        1460         585       2495  0.15%  0.04%  0.05% 388 SSH Process
 327       85280      280383        304  0.07%  0.01%  0.00%   0 SNMP ENGINE
 127       43608    11898639          3  0.07%  0.04%  0.05%   0 IPAM Manager
 142        5920     1510439          3  0.07%  0.00%  0.00%   0 SSS Feature Time
 131      114060      407605        279  0.07%  0.03%  0.00%   0 IP Input
 325      130836      561332        233  0.07%  0.02%  0.00%   0 IP SNMP

为了完整起见,下面是历史:

      888887777788888888888888888888888888888888887777711111111111
      333339999944444888884444411111111133333333339999933333333336
  100
   90                *****
   80 *************************************************
   70 *************************************************
   60 *************************************************
   50 *************************************************
   40 *************************************************
   30 *************************************************
   20 *************************************************          *
   10 ************************************************************
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
               CPU% per second (last 60 seconds)

我尝试过多种不同的加密/散列组合,试图获得更高的性能,但我见过的最佳速度是 50Mbps,而且只是一点点。这符合DES/MD5预期。

我还读到它可能需要一个硬件加密模块来加快速度,但是从我所看到的情况来看,有一个内置加密模块:

    crypto engine name:  Virtual Private Network (VPN) Module
    crypto engine type:  hardware
                 State:  Enabled
              Location:  onboard 0
          Product Name:  Onboard-VPN
            HW Version:  1.0
           Compression:  Yes
                   DES:  Yes
                 3 DES:  Yes
               AES CBC:  Yes (128,192,256)
              AES CNTR:  No
 Maximum buffer length:  0000
      Maximum DH index:  0000
      Maximum SA index:  0000
    Maximum Flow index:  2800
  Maximum RSA key size:  0000

我也不知道这是否被充分利用了。

就 ACL 而言,唯一甚至是远程密集型的是外部全局 -> 外部本地 NAT 池规则。

我也尝试将 MTU 设置为,1452并将 adjust-mss 设置为1400

我有点难以排除这是硬件限制还是配置问题。

VPN 的另一端似乎没有资源问题。

Cisco 2901 是否真的能够通过 IPsec 隧道实现 100Mbps 的速度?我相信 Cisco 的文档指出它可以达到 170Mbps 或类似的速度。Cisco
实际上引用了我以下信息:
As for the 2801 (and eol model that is replaced by the 2901) can support up to 160Mbps.

在路由器不适合的情况下,什么型号可以在相同情况下维持100Mbps?

添加额外的硬件加密模块也有帮助吗?

还有其他技巧可以最大限度地利用 IPsec VPN 吗?

答案1

对于您的第一个问题 - 在启用功能(ACL + NAT)的情况下,40mbps 听起来大约正好符合 2901 ipsec 性能的测试规格。

所有 ISR G2 平台都包含自动启用的硬件加密。如果没有硬件模块启动,您将无法获得接近 40mbps 的速度 :)

如果您正在寻找一款能够通过服务推动 100 mbps ipsec 的路由器,那么 2951 或 3925 平台就是您的不二之选。我会选择 3925,这样可以留出一些余地。

您还需要美国的 HSEC(高安全许可证),因为如果没有该许可证,出口管制就不允许超过 85 mbps 的加密,无论硬件功能如何。

相关内容