URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13595
[ Назад ]

Исходное сообщение
"Производительность ISR 2811-2851"
Отправлено orb , 21-Май-07 14:45

Здравствуйте!
Интересует мнение людей активно работающих с оборудованием Cisco.
Есть WAN 100 Mbit (провайдерская Ethernet сеть), группа объектов подключенных к этой сети. Также между некоторыми объектами есть резервные каналы, тоже 100 Mbit (другой Ethernet провайдер). Трафик между объектами (через WAN) должен быть зашифрован (IPSec). На каждом объекте есть небольшая локальная сеть (до 50 хостов).
Связь между объектами предполагается организовать с ипользованием маршрутизаторов Cisco 2800 (серия выбрана исключительно из соображений цена/функционал, без малейшего представления о производительности устройств). В устройства предполагается также установить модуль AIM-VPN-EPII-PLUS (аппаратное ускорение шифрования).
На маршрутизаторах должен быть поднят OSPF.
         | IP канал A (100 Mbit) - IPSec
       +-----+
       |     |
     --+ 28xx|
LAN    |     |
       +-----+
         | IP канал B (100 Mbit) - IPSec
Интересует собственно вот что:
1) Сможет ли маршрутизатор указанной серии разрулить такую конфигурацию, если используются одновременно 2 канала (пусть даже не на полную мощность, а на 75%).
2) Сможет ли Cisco 2851 разрулить вот такую конфигурацию
         | IP канал A (100 Mbit) - IPSec
       +-----+
       |     |
     --+ 2851|
LAN    |     |
       +-----+
         | IP канал B (1 Gbit) (без IPSec)
Спасибо.

Содержание

Производительность ISR 2811-2851,fantom, 16:18 , 21-Май-07
- Производительность ISR 2811-2851,orb, 16:38 , 21-Май-07
  - Производительность ISR 2811-2851,fantom, 09:42 , 22-Май-07
    - Производительность ISR 2811-2851,fantom, 09:51 , 22-Май-07
      - Производительность ISR 2811-2851,orb, 16:01 , 22-Май-07
    - Производительность ISR 2811-2851,orb, 16:06 , 22-Май-07

Сообщения в этом обсуждении

"Производительность ISR 2811-2851"
Отправлено fantom , 21-Май-07 16:18

>Здравствуйте!
>
>Интересует мнение людей активно работающих с оборудованием Cisco.
>
>Есть WAN 100 Mbit (провайдерская Ethernet сеть), группа объектов подключенных к этой
>сети. Также между некоторыми объектами есть резервные каналы, тоже 100 Mbit
>(другой Ethernet провайдер). Трафик между объектами (через WAN) должен быть зашифрован
>(IPSec). На каждом объекте есть небольшая локальная сеть (до 50 хостов).
>
>
>Связь между объектами предполагается организовать с ипользованием маршрутизаторов Cisco 2800 (серия выбрана
>исключительно из соображений цена/функционал, без малейшего представления о производительности устройств). В
>устройства предполагается также установить модуль AIM-VPN-EPII-PLUS (аппаратное ускорение шифрования).
>
>На маршрутизаторах должен быть поднят OSPF.
>
>         | IP канал
>A (100 Mbit) - IPSec
>       +-----+
>       |
>|
>     --+ 28xx|
>LAN    |     |
>       +-----+
>         | IP канал
>B (100 Mbit) - IPSec
>
>Интересует собственно вот что:
>1) Сможет ли маршрутизатор указанной серии разрулить такую конфигурацию, если используются одновременно
>2 канала (пусть даже не на полную мощность, а на 75%).
>
>
>2) Сможет ли Cisco 2851 разрулить вот такую конфигурацию
>
>         | IP канал
>A (100 Mbit) - IPSec
>       +-----+
>       |
>|
>     --+ 2851|
>LAN    |     |
>       +-----+
>         | IP канал
>B (1 Gbit) (без IPSec)
>
>Спасибо.
1. У этой серии модуль шифрования уже есть "наборту"
2. Ее предел по данным Cisco - 2821 87Mbit, 2851 112Mbit
Судя по вашему описанию, вам нужна железка с производительностью 250-300 Мбит (вход+выход на всех интерфейсах) а это 3845 какминимум, или 7200 с NPE-G1 , ну или 7301 (одномодульный вариант 7200 с NPE-G1).

"Производительность ISR 2811-2851"
Отправлено orb , 21-Май-07 16:38

>
>1. У этой серии модуль шифрования уже есть "наборту"
>2. Ее предел по данным Cisco - 2821 87Mbit, 2851 112Mbit
будьте добры ссылочку

>Судя по вашему описанию, вам нужна железка с производительностью 250-300 Мбит (вход+выход
>на всех интерфейсах)
вот здесь если честно мне не совсем понятно. В IPsec VPN WAN Design Overview - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns17... тоже говоря о производительности IPSec упоминают, что если канал скажем T1, то модуль шифрования (ну или CPU) должен зашифровать 2*T1. Я скорее всего что-то плохо понимаю, но откуда берется вход+выход если интерфейс в единицу времени может пропустить те же Т1 (и вход и выход) и соответственно зашифровать нужно именно Т1. Спорить со специалистами Cisco (и с Вами в том числе) не буду, просто принимать на веру не особо люблю, хочется понимать физику процесса, а посему буду благодарен либо за объяснение, либо за наводку на материал для осмысления.
> а это 3845 какминимум, или 7200 с NPE-G1
>, ну или 7301 (одномодульный вариант 7200 с NPE-G1).
М-да...Это насколько я владею информацией существенно удорожает проект.

"Производительность ISR 2811-2851"
Отправлено fantom , 22-Май-07 09:42

>>
>>1. У этой серии модуль шифрования уже есть "наборту"
>>2. Ее предел по данным Cisco - 2821 87Mbit, 2851 112Mbit
>будьте добры ссылочку
Пожалуйста
http://www.cisco.com/warp/public/765/tools/quickreference/ro...
>
>>Судя по вашему описанию, вам нужна железка с производительностью 250-300 Мбит (вход+выход
>>на всех интерфейсах)
>вот здесь если честно мне не совсем понятно. В IPsec VPN WAN
>Design Overview - http://www.cisco.com/application/pdf/en/us/guest/netsol/ns17... тоже говоря о производительности IPSec упоминают, что
>если канал скажем T1, то модуль шифрования (ну или CPU) должен
>зашифровать 2*T1. Я скорее всего что-то плохо понимаю, но откуда берется
>вход+выход если интерфейс в единицу времени может пропустить те же Т1
>(и вход и выход) и соответственно зашифровать нужно именно Т1. Спорить
>со специалистами Cisco (и с Вами в том числе) не буду,
>просто принимать на веру не особо люблю, хочется понимать физику процесса,
>а посему буду благодарен либо за объяснение, либо за наводку на
>материал для осмысления.
T1 или E1 - канал полнодуплексный (в терминах Ethernet) т.е. например для E1 это 2Мбит вход и 2Мбит Выход, т.к. через процесс шифрования проходит трафик в обоих направлениях (шифровка исходящего + дешифровка входящего) то получается, что для обоспечения нормальной работы E1 канала с шифрованием модуль шифрования должен пропускать 4 Мбит.
>> а это 3845 какминимум, или 7200 с NPE-G1
>>, ну или 7301 (одномодульный вариант 7200 с NPE-G1).
>М-да...Это насколько я владею информацией существенно удорожает проект.

"Производительность ISR 2811-2851"
Отправлено fantom , 22-Май-07 09:51

Предполагается использование исключительного нового оборудования?
Если возможно применение б/у - поглядите в сторону 75-ой серии с RSP-8 + модуль шифрования.
Из недостатков - небольшой по современным меркам обьем памяти (для RSP8 - всего 256Мбайт оперативки), ну и размер :)
Из преимуществ - распределенная архитектура, существенную часть нагрузки по маршрутизации/коммутации пакетов принимает на себя вспомогательный модуль.
Хотя по задачам шифрования надобы выяснить поподробнее.

"Производительность ISR 2811-2851"
Отправлено orb , 22-Май-07 16:01

>Предполагается использование исключительного нового оборудования?
>Если возможно применение б/у - поглядите в сторону 75-ой серии с RSP-8
>+ модуль шифрования.
>Из недостатков - небольшой по современным меркам обьем памяти (для RSP8 -
>всего 256Мбайт оперативки), ну и размер :)
>Из преимуществ - распределенная архитектура, существенную часть нагрузки по маршрутизации/коммутации пакетов принимает
>на себя вспомогательный модуль.
спасибо. На первый взгляд это то что нужно
>Хотя по задачам шифрования надобы выяснить поподробнее.

"Производительность ISR 2811-2851"
Отправлено orb , 22-Май-07 16:06

>
>T1 или E1 - канал полнодуплексный (в терминах Ethernet) т.е. например для
>E1 это 2Мбит вход и 2Мбит Выход, т.к. через процесс шифрования
>проходит трафик в обоих направлениях (шифровка исходящего + дешифровка входящего) то
>получается, что для обоспечения нормальной работы E1 канала с шифрованием модуль
>шифрования должен пропускать 4 Мбит.
>
Спасибо. Как говорится учите матчасть