https://opennet.ru/openforum/vsluhforumID6/14594.html Как добиться оптимального быстродействия канала?<br><br>Есть FreeBSD 6.2 , Cisco soho 91<br>между ними: Оптика - 10 Mbit - GRE + IPSEC<br><br>при использовании 3des шифрования<br>отклик не загруженного тоннеля 4 мс<br>отклик загруженного тоннеля 350 мс<br><br>при использовании des шифрования<br>отклик не загруженного тоннеля 4 мс<br>отклик загруженного тоннеля 120 мс<br><br>без использования шифрования<br>отклик не загруженного канала 3 мс<br>отклик загруженного канала 16 мс<br> https://opennet.ru/openforum/vsluhforumID6/14594.html#12 Fri, 12 Oct 2007 16:32:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; crypto map spmap <br>&gt;&gt;&gt;! <br>&gt;&gt;&gt;ip route 0.0.0.0 0.0.0.0 Ethernet1 <br>&gt;&gt;&gt;ip route 192.168.30.0 255.255.255.0 Tunnel0 <br>&gt;&gt;&gt;ip route 192.168.30.39 255.255.255.255 Tunnel0 <br>&gt;&gt;<br>&gt;&gt;no ip route 0.0.0.0 0.0.0.0 Ethernet1 <br>&gt;&gt;ip route 0.0.0.0 0.0.0.0 89.209.69.4 <br>&gt;<br>&gt;а что, от этого будет разница в быстродействии? <br><br>Нагрузка от этого может и небольшая, но совершенно бесполезная, да еще arp-таблица будет больше памяти занимать.<br> https://opennet.ru/openforum/vsluhforumID6/14594.html#11 Fri, 12 Oct 2007 06:21:45 GMT Вот глянул утилизацию процессора, таки шифрование грузит сильно.<br><br>ap-router#sh processes cpu sorted 5min<br>CPU utilization for five seconds: 99%/16%; one minute: 99%; five minutes: 99%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 76 424497468 8467607 50132 65.22% 64.03% 64.20% 0 encrypt proc<br> 36 108529748 7666510 14156 16.51% 15.81% 15.91% 0 IP Input<br> 4 8600316 438211 19626 0.00% 1.03% 1.24% 0 Check heaps<br> 25 3153596 7744137 407 0.57% 0.42% 0.36% 0 LED Timers<br> https://opennet.ru/openforum/vsluhforumID6/14594.html#10 Fri, 12 Oct 2007 05:58:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; duplex auto <br>&gt;&gt; no cdp enable <br>&gt;&gt; crypto map spmap <br>&gt;&gt;! <br>&gt;&gt;ip route 0.0.0.0 0.0.0.0 Ethernet1 <br>&gt;&gt;ip route 192.168.30.0 255.255.255.0 Tunnel0 <br>&gt;&gt;ip route 192.168.30.39 255.255.255.255 Tunnel0 <br>&gt;<br>&gt;no ip route 0.0.0.0 0.0.0.0 Ethernet1 <br>&gt;ip route 0.0.0.0 0.0.0.0 89.209.69.4 <br><br>а что, от этого будет разница в быстродействии?<br><br> https://opennet.ru/openforum/vsluhforumID6/14594.html#9 Thu, 11 Oct 2007 17:29:35 GMT &gt;[оверквотинг удален]<br>&gt;! <br>&gt;interface Ethernet1 <br>&gt; ip address 89.209.69.4 255.255.255.0 <br>&gt; duplex auto <br>&gt; no cdp enable <br>&gt; crypto map spmap <br>&gt;! <br>&gt;ip route 0.0.0.0 0.0.0.0 Ethernet1 <br>&gt;ip route 192.168.30.0 255.255.255.0 Tunnel0 <br>&gt;ip route 192.168.30.39 255.255.255.255 Tunnel0 <br><br>no ip route 0.0.0.0 0.0.0.0 Ethernet1<br>ip route 0.0.0.0 0.0.0.0 89.209.69.4<br> https://opennet.ru/openforum/vsluhforumID6/14594.html#8 Thu, 11 Oct 2007 10:46:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt; password 7 06555C721F <br>&gt;&gt; login local <br>&gt;&gt; length 0 <br>&gt;&gt; transport input telnet ssh <br>&gt;&gt;! <br>&gt;&gt;scheduler max-task-time 5000 <br>&gt;&gt;end <br>&gt;<br>&gt;Ну вроде больше у вас ничего не должно сильно грузить проц. <br>&gt;Тогда видимо да, использовать des. Или менять циску на более производительную. <br><br>А подскажите как просмотреть загрузку процессора?<br>А может есть кокой нибудь еще более щадящий алгоритм шифрования?<br> https://opennet.ru/openforum/vsluhforumID6/14594.html#7 Thu, 11 Oct 2007 10:33:00 GMT &gt;[оверквотинг удален]<br>&gt;line vty 0 4 <br>&gt; access-class 23 in <br>&gt; exec-timeout 120 0 <br>&gt; password 7 06555C721F <br>&gt; login local <br>&gt; length 0 <br>&gt; transport input telnet ssh <br>&gt;! <br>&gt;scheduler max-task-time 5000 <br>&gt;end <br><br>Ну вроде больше у вас ничего не должно сильно грузить проц.<br>Тогда видимо да, использовать des. Или менять циску на более производительную.<br><br> https://opennet.ru/openforum/vsluhforumID6/14594.html#6 Thu, 11 Oct 2007 05:36:41 GMT &gt;&gt;<br>&gt;&gt;&gt;У вас туннель со стороны FreeBSD на freeswan построен? <br>&gt;&gt;<br>&gt;&gt;нет, на racoon <br>&gt;<br>&gt;покажите конфиг циски <br><br>Вот конфиг (понимаю что в нем много лишнего,однако времени почистить еще не нашел),<br>сейчас работаю по Des, использование 3des не критично, <br>однако совсем без шифрования нельзя.<br><br>!<br>version 12.4<br>no service pad<br>service timestamps debug uptime<br>service timestamps log uptime<br>service password-encryption<br>!<br>hostname ap-router<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 ****************<br>enable password 7 ***************<br>!<br>no aaa new-model<br>!<br>resource policy<br>!<br>!<br>!<br>ip cef<br>no ip domain lookup<br>ip ssh version 2<br>!<br>!<br>!<br>username adm privilege 15 secret 5 *********************<br>!<br>! <br>!<br>crypto isakmp policy 10<br> encr 3des<br> hash md5<br> authentication pre-share<br>crypto isakmp key ************* address 89.209.69.3<br>!<br>!<br>crypto ipsec transform-set spset esp-3des esp-md5-hmac <br>!<br>crypto map spmap local-address Ethernet1<br>crypto map spmap 1 ipsec-isakmp <br> set peer 89.209.69.3 https://opennet.ru/openforum/vsluhforumID6/14594.html#5 Wed, 10 Oct 2007 13:41:33 GMT &gt;<br>&gt;&gt;У вас туннель со стороны FreeBSD на freeswan построен? <br>&gt;<br>&gt;нет, на racoon <br><br>и вам нужен именно 3des как я понимаю?<br> https://opennet.ru/openforum/vsluhforumID6/14594.html#4 Wed, 10 Oct 2007 13:41:11 GMT &gt;<br>&gt;&gt;У вас туннель со стороны FreeBSD на freeswan построен? <br>&gt;<br>&gt;нет, на racoon <br><br>покажите конфиг циски<br>