Как добиться оптимального быстродействия канала?

Есть FreeBSD 6.2 , Cisco soho 91
между ними: Оптика - 10 Mbit - GRE + IPSEC

при использовании 3des шифрования
отклик не загруженного тоннеля 4 мс
отклик загруженного тоннеля 350 мс

при использовании des шифрования
отклик не загруженного тоннеля 4 мс
отклик загруженного тоннеля 120 мс

без использования шифрования
отклик не загруженного канала 3 мс
отклик загруженного канала 16 мс

• Оптимизация производительности IPSEC,dxer, 13:39 , 09-Окт-07
• Оптимизация производительности IPSEC,Erik, 11:31 , 10-Окт-07
  • Оптимизация производительности IPSEC,sunseeker, 14:03 , 10-Окт-07
    • Оптимизация производительности IPSEC,Erik, 17:41 , 10-Окт-07
      • Оптимизация производительности IPSEC,sunseeker, 09:36 , 11-Окт-07
        • Оптимизация производительности IPSEC,Erik, 14:33 , 11-Окт-07
          • Оптимизация производительности IPSEC,sunseeker, 14:46 , 11-Окт-07
        • Оптимизация производительности IPSEC,AlexDv, 21:29 , 11-Окт-07
          • Оптимизация производительности IPSEC,sunseeker, 09:58 , 12-Окт-07
            • Оптимизация производительности IPSEC,sunseeker, 10:21 , 12-Окт-07
            • Оптимизация производительности IPSEC,AlexDv, 20:32 , 12-Окт-07
    • Оптимизация производительности IPSEC,Erik, 17:41 , 10-Окт-07

>[оверквотинг удален]
>отклик не загруженного тоннеля 4 мс
>отклик загруженного тоннеля 350 мс
>
>при использовании des шифрования
>отклик не загруженного тоннеля 4 мс
>отклик загруженного тоннеля 120 мс
>
>без использования шифрования
>отклик не загруженного канала 3 мс
>отклик загруженного канала 16 мс

Заменить на более производительную Циску, например 1800 серии. А чтобы на 10 мегабитах не грузить процессор (предположит что трафик в туннеле будет 10 мегабит) то понадобица AIM-VPN карта аппаратного шифрования, которая стоит денег - но того стоит.

>[оверквотинг удален]
>отклик не загруженного тоннеля 4 мс
>отклик загруженного тоннеля 350 мс
>
>при использовании des шифрования
>отклик не загруженного тоннеля 4 мс
>отклик загруженного тоннеля 120 мс
>
>без использования шифрования
>отклик не загруженного канала 3 мс
>отклик загруженного канала 16 мс

У вас туннель со стороны FreeBSD на freeswan построен?

>У вас туннель со стороны FreeBSD на freeswan построен?

нет, на racoon

>
>>У вас туннель со стороны FreeBSD на freeswan построен?
>
>нет, на racoon

покажите конфиг циски

>>
>>>У вас туннель со стороны FreeBSD на freeswan построен?
>>
>>нет, на racoon
>
>покажите конфиг циски

Вот конфиг (понимаю что в нем много лишнего,однако времени почистить еще не нашел),
сейчас работаю по Des, использование 3des не критично,
однако совсем без шифрования нельзя.

!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ap-router
!
boot-start-marker
boot-end-marker
!
enable secret 5 ****************
enable password 7 ***************
!
no aaa new-model
!
resource policy
!
!
!
ip cef
no ip domain lookup
ip ssh version 2
!
!
!
username adm privilege 15 secret 5 *********************
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key ************* address 89.209.69.3
!
!
crypto ipsec transform-set spset esp-3des esp-md5-hmac
!
crypto map spmap local-address Ethernet1
crypto map spmap 1 ipsec-isakmp
set peer 89.209.69.3
set transform-set spset
match address CRYPTO_ACL_IPSec_CCU
!
!
!
interface Tunnel0
ip unnumbered Ethernet0
ip tcp adjust-mss 1436
tunnel source Ethernet1
tunnel destination 89.209.69.3
crypto map spmap
!
interface Ethernet0
ip address 192.168.10.5 255.255.255.0
no cdp enable
hold-queue 32 in
!
interface Ethernet1
ip address 89.209.69.4 255.255.255.0
duplex auto
no cdp enable
crypto map spmap
!
ip route 0.0.0.0 0.0.0.0 Ethernet1
ip route 192.168.30.0 255.255.255.0 Tunnel0
ip route 192.168.30.39 255.255.255.255 Tunnel0
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
!
ip access-list extended CRYPTO_ACL_IPSec_CCU
permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
permit icmp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 1 permit 192.168.30.0 0.0.0.255
access-list 23 permit any
access-list 101 permit gre host 89.209.69.4 host 89.209.69.3
access-list 101 permit gre host 89.209.69.3 host 89.209.69.4
access-list 101 permit ip host 89.209.69.4 host 89.209.69.3
access-list 101 permit ip host 89.209.69.3 host 89.209.69.4
access-list 101 permit ip host 192.168.21.2 host 192.168.21.1
access-list 101 permit ip host 192.168.21.1 host 192.168.21.2
access-list 102 permit ip 192.168.30.0 0.0.0.7 any
access-list 103 permit gre 89.209.69.0 0.0.0.255 89.209.69.0 0.0.0.255
snmp-server community public RO
no cdp run
!
control-plane
!
!
line con 0
exec-timeout 120 0
login local
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 120 0
password 7 06555C721F
login local
length 0
transport input telnet ssh
!
scheduler max-task-time 5000
end

>[оверквотинг удален]
>line vty 0 4
> access-class 23 in
> exec-timeout 120 0
> password 7 06555C721F
> login local
> length 0
> transport input telnet ssh
>!
>scheduler max-task-time 5000
>end

Ну вроде больше у вас ничего не должно сильно грузить проц.
Тогда видимо да, использовать des. Или менять циску на более производительную.

>[оверквотинг удален]
>> password 7 06555C721F
>> login local
>> length 0
>> transport input telnet ssh
>>!
>>scheduler max-task-time 5000
>>end
>
>Ну вроде больше у вас ничего не должно сильно грузить проц.
>Тогда видимо да, использовать des. Или менять циску на более производительную.

А подскажите как просмотреть загрузку процессора?
А может есть кокой нибудь еще более щадящий алгоритм шифрования?

>[оверквотинг удален]
>!
>interface Ethernet1
> ip address 89.209.69.4 255.255.255.0
> duplex auto
> no cdp enable
> crypto map spmap
>!
>ip route 0.0.0.0 0.0.0.0 Ethernet1
>ip route 192.168.30.0 255.255.255.0 Tunnel0
>ip route 192.168.30.39 255.255.255.255 Tunnel0

no ip route 0.0.0.0 0.0.0.0 Ethernet1
ip route 0.0.0.0 0.0.0.0 89.209.69.4

>[оверквотинг удален]
>> duplex auto
>> no cdp enable
>> crypto map spmap
>>!
>>ip route 0.0.0.0 0.0.0.0 Ethernet1
>>ip route 192.168.30.0 255.255.255.0 Tunnel0
>>ip route 192.168.30.39 255.255.255.255 Tunnel0
>
>no ip route 0.0.0.0 0.0.0.0 Ethernet1
>ip route 0.0.0.0 0.0.0.0 89.209.69.4

а что, от этого будет разница в быстродействии?

Вот глянул утилизацию процессора, таки шифрование грузит сильно.

ap-router#sh processes cpu sorted 5min
CPU utilization for five seconds: 99%/16%; one minute: 99%; five minutes: 99%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
  76   424497468   8467607      50132 65.22% 64.03% 64.20%   0 encrypt proc
  36   108529748   7666510      14156 16.51% 15.81% 15.91%   0 IP Input
   4     8600316    438211      19626  0.00%  1.03%  1.24%   0 Check heaps
  25     3153596   7744137        407  0.57%  0.42%  0.36%   0 LED Timers

>[оверквотинг удален]
>>> crypto map spmap
>>>!
>>>ip route 0.0.0.0 0.0.0.0 Ethernet1
>>>ip route 192.168.30.0 255.255.255.0 Tunnel0
>>>ip route 192.168.30.39 255.255.255.255 Tunnel0
>>
>>no ip route 0.0.0.0 0.0.0.0 Ethernet1
>>ip route 0.0.0.0 0.0.0.0 89.209.69.4
>
>а что, от этого будет разница в быстродействии?

Нагрузка от этого может и небольшая, но совершенно бесполезная, да еще arp-таблица будет больше памяти занимать.

>
>>У вас туннель со стороны FreeBSD на freeswan построен?
>
>нет, на racoon

и вам нужен именно 3des как я понимаю?