Есть 2801 с AIM-VPN/ssl-2 и 2821 c AIM-VPN/EPII plus.
Между ними поднят IPSEC тунель по каналу 100Mbit.
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key XXXXX address 10.0.0.2
!
crypto ipsec transform-set MySet esp-des esp-md5-hmac
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to10.0.0.2
set peer 10.0.0.2
set transform-set MySet
match address 100
!
interface GigabitEthernet0/0.4
encapsulation dot1Q 4
ip address 10.0.0.1 255.255.255.252
no snmp trap link-status
crypto map SDM_CMAP_1Без IPSEC скорость копирования порядка 60-70 Mbit.
Поднимаю тунель падает до 25 Mbit. Хотя на циске пишут что с AIM-VPN скорость должна быть от 50Mbit и выше.
В чем трабл ? куда копать ?
пробовал с 3des и sha скорость практически не меняется.PS если сделать no crypto engine accelerator то скорость порядка 12mbit
>Есть 2801 с AIM-VPN/ssl-2 и 2821 c AIM-VPN/EPII plus.
>Между ними поднят IPSEC тунель по каналу 100Mbit.
>
>Без IPSEC скорость копирования порядка 60-70 Mbit.
>Поднимаю тунель падает до 25 Mbit. Хотя на циске пишут что с
>AIM-VPN скорость должна быть от 50Mbit и выше.
>В чем трабл ? куда копать ?
>пробовал с 3des и sha скорость практически не меняется.
>
>PS если сделать no crypto engine accelerator то скорость порядка 12mbitНе ошибусь, если скажу что параметры производительности заявленые на сайте CISCO надо уменьшить вдвое. По моим наблюдениям для прокачки 100 мб + фильтры + криптотуннель думаю надо как минимум 2851 + AIM (лучше 38xx + AIM).
Опять же не забывайте, что производительность зависит от типа трафика (величины пакетов i mean) . У 2851 ультраспарк CPU 466MHz (RM7065C-466T) , у 2821 а тем более у 2801 - еще меньше. Кстати в вашем случае скорость в разные стороны должна различаться.
У 3des и aes256 разница есть процентов 5-10% - быстрее 3DES.
Я игрался данным образом с 3825 <-> 1841, 1841 <-> 1841 (все с AIM) , сейчас вот помучал 1721 + VPN модуль.
Примерно так и получается - в 2 оказывается меньше чем в рекламных буклетах.