Всем привет!
Задача построить выделенный шифрованный канал. Имется 2мб канал данный провайдером, на обоих концах маршрутизаторы.
Сейчас подняты тунели+статические ключи с обоих сторон. Но все жуть как тормозит. (прочитал, что такая технология не самая быстрая)
Может быть есть другие варианты постороение защищенного канала между 2 девайсами (cisco). Посоветуйте?!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 7200
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 3
encr 3des
hash md5
authentication pre-share
group 2
lifetime 14400
crypto isakmp key ХХХХХХХХХ address 1.1.1.1
crypto isakmp keepalive 20 3
crypto isakmp xauth timeout 30!
crypto isakmp client configuration group cisco
!
!
crypto ipsec transform-set remote-itransform esp-3des esp-sha-hmac
crypto ipsec transform-set test-transform esp-3des esp-sha-hmac
!
crypto map TEST 3 ipsec-isakmp
set peer 1.1.1.6
set transform-set test-transform
match address 104
!
interface Tunnel0
bandwidth 2048
bandwidth inherit
ip address 1.1.1.1 255.255.255.252
ip mtu 1456
tunnel source Serial0/2
tunnel destination 1.1.1.6
crypto map TEST
!
interface Serial0/2
description ***** LINK to another office *****
bandwidth 2048
ip address 1.1.1.5 255.255.255.252
crypto map TEST
с обратной стороны аналогично.
Спасибо.
А вы уверены, что тормозит из-за того, что криптуется?
>А вы уверены, что тормозит из-за того, что криптуется?Трудно сказать, меня как то тунель смущает. Хотя кто знает....
Может само железо? С одной стороны 1750 с другой 3745.
>>А вы уверены, что тормозит из-за того, что криптуется?
>
>Трудно сказать, меня как то тунель смущает. Хотя кто знает....
>Может само железо? С одной стороны 1750 с другой 3745.
show proc cpu с 1750 в студию..
>>>А вы уверены, что тормозит из-за того, что криптуется?
>>
>>Трудно сказать, меня как то тунель смущает. Хотя кто знает....
>>Может само железо? С одной стороны 1750 с другой 3745.
>
>
>show proc cpu с 1750 в студию..
По умолччанию поставитьcrypto isakmp keepalive 20 3
crypto isakmp xauth timeout 30
не пробывали , попробуйте может поможет
>>>А вы уверены, что тормозит из-за того, что криптуется?
>>
>>Трудно сказать, меня как то тунель смущает. Хотя кто знает....
>>Может само железо? С одной стороны 1750 с другой 3745.
>
>
>show proc cpu с 1750 в студию..
sh processes cpu
CPU utilization for five seconds: 5%/2%; one minute: 10%; five minutes: 4%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
1 1548 1541303 1 0.00% 0.00% 0.00% 0 Load Meter
2 920 10707 85 0.00% 0.00% 0.00% 0 CRYPTO IKMP IPC
3 84 64224 1 0.00% 0.00% 0.00% 0 DHCPD Timer
4 20 16 1250 0.00% 0.00% 0.00% 0 IpSecMibTopN
5 5346832 936003 5712 0.00% 0.08% 0.06% 0 Check heaps
6 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager
7 1764 520 3392 0.00% 0.00% 0.00% 0 Pool Manager
8 0 2 0 0.00% 0.00% 0.00% 0 Timers
9 0 24 0 0.00% 0.00% 0.00% 0 Serial Backgroun
10 208496 678183 307 0.00% 0.00% 0.00% 0 ARP Input
11 0 3 0 0.00% 0.00% 0.00% 0 DDR Timers
12 0 2 0 0.00% 0.00% 0.00% 0 Dialer event
13 4 2 2000 0.00% 0.00% 0.00% 0 Entity MIB API
14 0 1 0 0.00% 0.00% 0.00% 0 SERIAL A'detect
15 0 1 0 0.00% 0.00% 0.00% 0 Critical Bkgnd
16 16516 1120408 14 0.00% 0.00% 0.00% 0 Net Background
17 112 831 134 0.00% 0.00% 0.00% 0 Logger
18 4208 7703005 0 0.00% 0.00% 0.00% 0 TTY Background
19 10672 7719560 1 0.00% 0.00% 0.00% 0 Per-Second Jobs
20 113692 1026188 110 0.00% 0.00% 0.00% 0 Net Input
21 3200 1541303 2 0.00% 0.00% 0.00% 0 Compute load avg
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
22 3134824 138716 22598 0.00% 0.04% 0.00% 0 Per-minute Jobs
23 0 2 0 0.00% 0.00% 0.00% 0 AAA Dictionary R
24 4 36 111 0.00% 0.00% 0.00% 0 AAA Server
25 0 1 0 0.00% 0.00% 0.00% 0 AAA ACCT Proc
26 0 1 0 0.00% 0.00% 0.00% 0 ACCT Periodic Pr
27 563120 1290391 436 0.00% 0.08% 0.02% 0 IP Input
28 0 1 0 0.00% 0.00% 0.00% 0 ICMP event handl
29 185956 1142917 162 0.00% 0.00% 0.00% 0 CDP Protocol
30 0 1 0 0.00% 0.00% 0.00% 0 X.25 Encaps Mana
31 0 2 0 0.00% 0.00% 0.00% 0 PASVC create VA
32 4 1 4000 0.00% 0.00% 0.00% 0 PPPATM Session d
33 0 1 0 0.00% 0.00% 0.00% 0 VPDN call manage
34 0 1 0 0.00% 0.00% 0.00% 0 L2X Socket proce
35 0 2 0 0.00% 0.00% 0.00% 0 KRB5 AAA
36 0 1 0 0.00% 0.00% 0.00% 0 Socket Timers
37 59452 130688 454 0.00% 0.00% 0.00% 0 IP Background
38 48 155 309 0.00% 0.00% 0.00% 0 TCP Timer
39 100 144 694 0.00% 0.00% 0.00% 0 TCP Protocols
40 0 1 0 0.00% 0.00% 0.00% 0 Probe Input
41 0 1 0 0.00% 0.00% 0.00% 0 RARP Input
42 0 1 0 0.00% 0.00% 0.00% 0 HTTP Timer
43 668 957 698 0.00% 0.00% 0.00% 0 DHCPD Receive
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
44 5760 128403 44 0.00% 0.00% 0.00% 0 IP Cache Ager
45 0 1 0 0.00% 0.00% 0.00% 0 PAD InCall
46 0 2 0 0.00% 0.00% 0.00% 0 X.25 Background
47 0 2 0 0.00% 0.00% 0.00% 0 PPP Hooks
48 0 1 0 0.00% 0.00% 0.00% 0 PPP IP Route
49 0 1 0 0.00% 0.00% 0.00% 0 PPP IPCP
50 0 1 0 0.00% 0.00% 0.00% 0 SNMP Timers
51 0 1 0 0.00% 0.00% 0.00% 0 Inspect Timer
52 0 1 0 0.00% 0.00% 0.00% 0 Authentication P
53 0 1 0 0.00% 0.00% 0.00% 0 IDS Timer
54 0 1 0 0.00% 0.00% 0.00% 0 COPS
55 0 2 0 0.00% 0.00% 0.00% 0 Dialer Forwarder
56 0 1 0 0.00% 0.00% 0.00% 0 PPP Forwarder
57 1652 129615 12 0.00% 0.00% 0.00% 0 Adj Manager
58 32241488 40845881 789 0.16% 0.72% 0.51% 0 Crypto HW Proc
59 8 36 222 0.00% 0.00% 0.00% 0 LOCAL AAA
60 0 2 0 0.00% 0.00% 0.00% 0 ENABLE AAA
61 0 2 0 0.00% 0.00% 0.00% 0 LINE AAA
62 0 2 0 0.00% 0.00% 0.00% 0 TPLUS
63 6656 142 46873 2.12% 5.65% 1.95% 6 SSH Process
64 43708 93812 465 0.00% 0.00% 0.00% 0 Crypto Support
65 0 1 0 0.00% 0.00% 0.00% 0 Crypto SS Proces
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
66 0 1 0 0.00% 0.00% 0.00% 0 Router Autoconf
67 4 7 571 0.00% 0.00% 0.00% 0 Crypto ACL
68 0 1 0 0.00% 0.00% 0.00% 0 Encrypt Proc
69 17737756 87361 203042 0.00% 0.00% 0.00% 0 Key Proc
70 0 3 0 0.00% 0.00% 0.00% 0 Crypto CA
71 0 3 0 0.00% 0.00% 0.00% 0 Crypto SSL
72 191840 718736 266 0.00% 0.00% 0.00% 0 Crypto IKMP
73 53288 1215679 43 0.00% 0.00% 0.00% 0 IPSEC key engine
74 0 1 0 0.00% 0.00% 0.00% 0 IPSEC manual key
75 16 68 235 0.00% 0.00% 0.00% 0 AAA SEND STOP EV
76 0 1 0 0.00% 0.00% 0.00% 0 Syslog Traps
78 10884 106752 101 0.00% 0.00% 0.00% 0 SSH Event handle
79 0 2 0 0.00% 0.00% 0.00% 0 IP SNMP
80 0 1 0 0.00% 0.00% 0.00% 0 PDU DISPATCHER
81 24 2 12000 0.00% 0.00% 0.00% 0 SNMP ENGINE
82 0 1 0 0.00% 0.00% 0.00% 0 SNMP ConfCopyPro
83 0 1 0 0.00% 0.00% 0.00% 0 SNMP Traps
84 7568 7809695 0 0.00% 0.00% 0.00% 0 NTP
85 50520 565672 89 0.00% 0.00% 0.00% 0 Crypto Hardware
86 10232 2182683 4 0.00% 0.00% 0.00% 0 DHCPD Database
Загрузка смешная. Посмотрите статистику на внешнем и внутреннем интерфейсах. Обратите внимание на количество ошибок.
"жуть как тормозит" - не очень информативно, в любом случае, посмотрите, как вам уже советуют, загрузку процессора. Дальше начинайте думать - может быть, есть смысл воткнуть криптоускоритель, или использовать более простые и менее ресурсоёмкие алгоритмы шифрования (des, aes).
И кстати, почему все так любят сначала создать туннель, а потом на него ставить криптомап? Почему не сразу транспортный режим IPSec ? Много processor cycles вы на этом не выиграете, но всё-таки. Да и конфигурация упрощается.
> Почему не сразу транспортный режим IPSec ?
Прошу прощения, опечатался - *туннельный* режим, конечно же.
>> Почему не сразу транспортный режим IPSec ?
>Прошу прощения, опечатался - *туннельный* режим, конечно же.
А может подскжите кусочком конфига как это делается?
Спасибо.
>>> Почему не сразу транспортный режим IPSec ?
>>Прошу прощения, опечатался - *туннельный* режим, конечно же.
>А может подскжите кусочком конфига как это делается?
>Спасибо.Так в том-то и дело, что конфиг будет практически такой же - только криптоACL, возможно, придется подправить. На cisco.com множество примеров с объяснениями - вот тут, хотя бы
http://www.cisco.com/warp/public/707/static.pdf
>"жуть как тормозит" - не очень информативно, в любом случае, посмотрите, как
>вам уже советуют, загрузку процессора. Дальше начинайте думать - может быть,
>есть смысл воткнуть криптоускоритель, или использовать более простые и менее ресурсоёмкие
>алгоритмы шифрования (des, aes).
>И кстати, почему все так любят сначала создать туннель, а потом на
>него ставить криптомап? Почему не сразу транспортный режим IPSec ? Много
>processor cycles вы на этом не выиграете, но всё-таки. Да и
>конфигурация упрощается.Я считаю что "тормозит" - это когда на незагруженном канале (2мб) пытаюсь войти ssh на удаленный 1750 и вижу приглашение только через секунд 5-6. Да и пользователи жалуются - пытался сам работать удаленно - чувствуется заметные тормоза, хотя канал загружается процентов на 10 всего.
>"жуть как тормозит" - не очень информативно, в любом случае, посмотрите, как
>вам уже советуют, загрузку процессора. Дальше начинайте думать - может быть,
>есть смысл воткнуть криптоускоритель, или использовать более простые и менее ресурсоёмкие
>алгоритмы шифрования (des, aes).
>И кстати, почему все так любят сначала создать туннель, а потом на
>него ставить криптомап? Почему не сразу транспортный режим IPSec ? Много
>processor cycles вы на этом не выиграете, но всё-таки. Да и
>конфигурация упрощается.Данная конфигурация осталась мне в наследство от предыдущего админа :(
>>"жуть как тормозит" - не очень информативно, в любом случае, посмотрите, как
>>вам уже советуют, загрузку процессора. Дальше начинайте думать - может быть,
>>есть смысл воткнуть криптоускоритель, или использовать более простые и менее ресурсоёмкие
>>алгоритмы шифрования (des, aes).
>>И кстати, почему все так любят сначала создать туннель, а потом на
>>него ставить криптомап? Почему не сразу транспортный режим IPSec ? Много
>>processor cycles вы на этом не выиграете, но всё-таки. Да и
>>конфигурация упрощается.
>
>Данная конфигурация осталась мне в наследство от предыдущего админа :(Убрать туннель , вот это исключить.
interface Tunnel0
bandwidth 2048
bandwidth inherit
ip address 1.1.1.1 255.255.255.252
ip mtu 1456
tunnel source Serial0/2
tunnel destination 1.1.1.6
crypto map TEST, остальное нужно смотреть accsecc list
который прикреплен к крипто мапу.
просто там надо разрешить трафик который должен у вас шифроваться.