Przepustowość GRE-OVER-IPSEC Temat rozwiązany

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
jeanas
member
member
Posty: 23
Rejestracja: 08 mar 2012, 16:02

Przepustowość GRE-OVER-IPSEC

#1

#1 Post autor: jeanas » 01 cze 2018, 13:27

Drodzy Forumowicze

Posiadam konfigurację z routerem centralnym Ciso 892 oraz routery w oddziałach Cisco 812, Cisco 881.
Pomiędzy routerami oddziałowymi zestawione po internecie są tunele GRE-OVER-IPSEC. Zastanawiam się nad ograniczeniami przepustowości tych tuneli. W praktyce maksymalna szybkość to 10 Mbit/s (fizyczne łącze w centrali to 100/100Mbit, test przegrywania pliku po SMB). Na routerach nie zdefiniowanych funkcji firewall, działają tylko ACLki. Testowo uruchomiłem w jednym oddziale router innego vendora i zestawiłem tunel IPSEC do centrali - testy wykazały około 30Mbit/s.

Czy to ograniczenie wynika z wydajności sprzętowej?
Przy obecnych łączach 10Mbit/s to już trochę mało a czeka mnie wymiana kilku routerów (także starszych). Patrząc na tabele wydajności np
http://www.anticisco.ru/pubs/ISR_G2_Perfomance.pdf
moje pomiary przeporowadzne na Cisco 890 potwierdzają mniej więcej parametry IPSec Mbps
test przepustowości tunelu IPSEC - 30Mbit/s
Test typu speddtest (NAT+ACL) - do 80Mbit/s

Czy faktycznie GRE-OVER-IPSEC powoduje spadek przepustowości do 10Mbit/s w porównaniu do IPSEC 30Mbit/s ?

Pozdrawiam
Jeanas

lukaszbw
CCIE
CCIE
Posty: 501
Rejestracja: 23 mar 2008, 11:41

Re: Przepustowość GRE-OVER-IPSEC  Temat rozwiązany

#2

#2 Post autor: lukaszbw » 01 cze 2018, 22:38

Cześć,

ISR G2 ogólnie kiepskie są w wydajności jeżeli chodzi o IPSEC. 881 routery z praktyki do 25Mbps wyciągają przy DMVPN i to przy dużych pakietach. 890 są niewiele szybsze bo to ta sama konstrukcja generalnie tylko trochę szybszy CPU.

1900 i 2900 są bardzo słabe jeżeli chodzi o szyfrowanie. Pomaga tutaj ISM-VPN ale to dodatkowy koszt. Cenowo na 100Mbps najlepiej wychodzą sprawdzone w bojach 3845. Powyżej tego to 7200 NPE-G2 z VSA (500Mbps) i 3945E (do 1Gbps). Masz jeszcze ISR 4K gdzie licencje mogą cie zjeść no i ASR1K ale to już jak 1Gbps przekraczasz.

Problem się pojawia jak potrzeba coś małego, najlepiej bezwiatrakowego i obsługującego 100Mbps IPSEC. Wtedy to szczerze bezwiatrakowy Juniper SRX300 - wydajnościowo powala i ma funkcjonalność routera oraz firewalla więc nie ma sztucznych ograniczeń jak na ASA. DMVPN jako takiego nie obsługuje natomiast sam tunel IP-IP z IPSEC z cisco działa bez problemów.

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

http://allegro.pl/sklep/180817_tandem-networks

jeanas
member
member
Posty: 23
Rejestracja: 08 mar 2012, 16:02

Re: Przepustowość GRE-OVER-IPSEC

#3

#3 Post autor: jeanas » 02 cze 2018, 12:34

lukaszbw pisze:
01 cze 2018, 22:38
Wtedy to szczerze bezwiatrakowy Juniper SRX300 - wydajnościowo powala i ma funkcjonalność routera oraz firewalla więc nie ma sztucznych ograniczeń jak na ASA. DMVPN jako takiego nie obsługuje natomiast sam tunel IP-IP z IPSEC z cisco działa bez problemów.

Pozdr.
Dziękuję lukaszbw za cenne wskazówki.
Juniper SRX300 rzeczywiście wypada cenowo bezkonkurencyjnie w tym zestawieniu. DMVPN nie wykorzystuję. Praktycznie wykorzystuje fail-over na WANach

Kod: Zaznacz cały

track X ip sla X reachability
i ustawiam wagę na regułach routingu kierując ruch do podsieci przez numerowane tunele

Kod: Zaznacz cały

ip route 172.18.1.0 255.255.255.0 192.168.168.2 track 2
ip route 172.18.1.0 255.255.255.0 192.168.169.2 10 track 102 
Rozumiem, że Juniper SRX300 wspierając GRE może przy takiej architekturze zastąpić routery oddziałowe lub nawet centralny?
Czy SRX300 jest w pełni konfigurowalny przez GUI czy wymaga CLI?

pozdrawiam
Jeanas

lukaszbw
CCIE
CCIE
Posty: 501
Rejestracja: 23 mar 2008, 11:41

Re: Przepustowość GRE-OVER-IPSEC

#4

#4 Post autor: lukaszbw » 02 cze 2018, 13:28

Ja SRX300 potrzebowałem do lokalizacji, gdzie jest UPC 600/60 i potrzeba zestawienia szyfrowanych tuneli z Cisco. Wcześniej tam był 1941 który kompletnie nie wyrabiał nawet bez ACL, IPSEC 60Mbps a sam internet NAT to góra 200Mbps.
Większe pudła odpadały w tym miejscu. Nie było wtedy jeszcze dostępnych Cisco ISR 1K, które w teorii cenowo są podobne ale wymagają dodatkowych licencji na przepustowość. Juniper nie ma takich sztucznych ograniczeń.

SRX300 bez problemów obsługuje te 600Mbps z NAT i firewall. Do tego masz 8 portów GE w tym 2 porty SFP. Porty możesz ustawić w switching więc od razu może ci ogarnąć małego switcha. Co do VPN to do 100Mbps sprawdzałem i bez zająknięcia. Plusem masz stateful firewall na dzień dobry i do tego możliwość zestawiania tuneli. Ja po tunelach wykorzystuję OSPF i BGP, nie było problemów zgrania tego z cisco aczkolwiek są to połączenia point to point.

Dodatkowo potrzebowałem też ACL w oparciu o nazwy domen a w Cisco tylko w ASA to masz (chyba że coś nowego ostatnio w IOS XE wrzucili).Zaletą też jest brak wiatraków i zużycie prądu.

Co do konfiguracji to jest GUI ale jak dla mnie toporny. Lepszy niż GUI na routerach cisco (jeżeli wogóle to można nazwać GUI) ale do ASDM na ASA się nie umywa więc ja wolę CLI.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

http://allegro.pl/sklep/180817_tandem-networks

geminiuss
member
member
Posty: 47
Rejestracja: 16 lut 2008, 00:38

Re: Przepustowość GRE-OVER-IPSEC

#5

#5 Post autor: geminiuss » 02 cze 2018, 23:36

Teraz na SRX jest nowe GUI wyglada lepiej niz stare , ale co do ilosci funkcji to sie nie wypowiem bo nie uzywam.

Do centralki to raczej nie SRX 300 tylko 345 conajmniej albo nawet cos wiekszego, w zaleznosci jaki masz ruch. Jak masz SRX to nie musisz miec tunelu GRE zeby Ci smigal przez niego OSPF sam IPSEC wystarczy, Jedyna rzecz , ktora trzeba miec na uwadze jak zestawiasz tunel IPSEC miedyz Cisco a Juniper to ustawienie odpowiednich Proxy ID na Juniperze ( musza one odpowiadac ACL na Cisco bo inaczej faza druga sie nie zestawi).

Jesli potrzebujesz DMVPN to na Juniperze masz AutoVPN.

jeanas
member
member
Posty: 23
Rejestracja: 08 mar 2012, 16:02

Re: Przepustowość GRE-OVER-IPSEC

#6

#6 Post autor: jeanas » 06 cze 2018, 23:11

Dzięki GEMINIUSS
Dużego ruch raczej nie mam (tak uważam). Jest 10 routerów oddziałowych, głównie pracujących na MS RDP. Czasami transfer pojedynczych plików. Plus użytkownicy mobilni ale raczej więcej niż 5 osób na raz się podłącza. W sumie około 60-70 userów zdalnych. W "normalnym" trybie pracy wykres obciążenia interfejsu w centrali to 1Mbps (do 2Mbps max) na wysyłaniu danych (przy testach max obciążeniu tunelu do 10Mbps). Co do wyboru SRX do centrali to rzecz wtórna. Plan jest taki aby zastąpić najpierw routery oddziałowe (812, 881 i wstyd się przyznać 1700, te ostatnie obsługują max po 4 użytkowników)
Co do dostępu użytkowników mobilnych czy AutoVPN to rozwiązanie płatne? W cennikach licencji widzę klienta NCP lub Dynamic VPN Service....?

lbromirs
CCIE
CCIE
Posty: 3949
Rejestracja: 30 lis 2006, 08:44

Re: Przepustowość GRE-OVER-IPSEC

#7

#7 Post autor: lbromirs » 06 cze 2018, 23:23

Proponuje żebyś rzucił okiem na ISRy 1100 do oddziałów:
https://www.cisco.com/c/en/us/products/ ... 39512.html

Nie ma się co (oczywiście IMHO) pakować w rozwiązanie, które ma realne szanse za chwilę w ogóle zniknąć z rynku, albo być przez kogoś przejęte.

jeanas
member
member
Posty: 23
Rejestracja: 08 mar 2012, 16:02

Re: Przepustowość GRE-OVER-IPSEC

#8

#8 Post autor: jeanas » 10 cze 2018, 18:33

lbromirs
lbromirs pisze:
06 cze 2018, 23:23
Proponuje żebyś rzucił okiem na ISRy 1100 do oddziałów:
https://www.cisco.com/c/en/us/products/ ... 39512.html

Nie ma się co (oczywiście IMHO) pakować w rozwiązanie, które ma realne szanse za chwilę w ogóle zniknąć z rynku, albo być przez kogoś przejęte.
myślisz o rozwiązania Junper w sensie zaniechane lub przejęte?
Nie widzę w dostępnych źródłach cen serii ISR 1100 + SEC . Masz jakieś info?

na temat wydajności znalazłem takie info:
https://www.reddit.com/r/networking/com ... isco_1100/

pozdrawiam Jeanas

lbromirs
CCIE
CCIE
Posty: 3949
Rejestracja: 30 lis 2006, 08:44

Re: Przepustowość GRE-OVER-IPSEC

#9

#9 Post autor: lbromirs » 11 cze 2018, 14:50

jeanas pisze:
10 cze 2018, 18:33
lbromirs
lbromirs pisze:
06 cze 2018, 23:23
Proponuje żebyś rzucił okiem na ISRy 1100 do oddziałów:
https://www.cisco.com/c/en/us/products/ ... 39512.html

Nie ma się co (oczywiście IMHO) pakować w rozwiązanie, które ma realne szanse za chwilę w ogóle zniknąć z rynku, albo być przez kogoś przejęte.
myślisz o rozwiązania Junper w sensie zaniechane lub przejęte?
Popatrz na market share Junipera generalnie, w routingu/bezpieczeństwie w szczególności.
jeanas pisze:
10 cze 2018, 18:33
Nie widzę w dostępnych źródłach cen serii ISR 1100 + SEC . Masz jakieś info?
Są w cenniku, zapytaj jednego z Autoryzowanych Partnerów Cisco. Nie odbiegają cenami od 800'ek.
jeanas pisze:
10 cze 2018, 18:33
na temat wydajności znalazłem takie info:
https://www.reddit.com/r/networking/com ... isco_1100/
Czysty IMIX to ~2Gbit/s, w scenariuszu z NATem, ACLkami i HQoSem wydajność spradnie do około 0,5Gbit/s, nałożenie IPsec AES to w zależności od modelu 250-350Mbit/s.
1100 ma cztery rdzenie, dwa z nich odpowiadają za data plane. Jest osobny moduł odpowiedzialny za szyfrowanie.

ODPOWIEDZ