Maksymalna przepustowość IPsec site to site - HSECK9

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Jezyk
newbie
newbie
Posty: 1
Rejestracja: 10 sty 2017, 15:07

Maksymalna przepustowość IPsec site to site - HSECK9

#1

#1 Post autor: Jezyk »

Witam,

Niestety Cisco nie prowadzi zbyt przejrzystej dokumentacji w tym temacie w związku z czym postanowiłem zapytać się was.

Obecnie pracuje z kilkoma routerami Cisco w wersjach 2921 i 3925. Zgodnie z oficjalnym datasheetem maksymalna jednokierunkowa przepustowość tuneli Ipsec z wykorzystanie licencji SEC to 85 Mbps. Jakiś czas temu postanowiliśmy zakupić licencję HSEC, jednakże poza oficjalną informacją:
The HSEC-K9 license removes the curtailment enforced by the U.S. government export restrictions on the encrypted tunnel count and encrypted throughput. HSEC-K9 is available only on the Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E, and Cisco 3945E. With the HSEC-K9 license, the ISR G2 router can go over the curtailment limit of 225 tunnels maximum for IP Security (IPsec) and encrypted throughput of 85-Mbps unidirectional traffic in or out of the ISR G2 router, with a bidirectional total of 170 Mbps.

bardzo ciężko znaleźć oficjalne dane odnośnie realnej maksymalnej przepustowości tuneli.

Przeszukując internet natknąłem się na whitepaper http://www.anticisco.ru/pubs/ISR_G2_Perfomance.pdf. Podaje on następujące dane dla routerów z zainstalowaną licencje HSEC(Tunele w wypadku tych pomiarów nie wykorzystują SHA lub MD5):

2921 - maksymalna przepustowość 207 Mbps
3925 - maksymalna przepustowość 770 Mbps


Zastanawiam się teraz czy w wypadku tych testów wykorzystywany był moduł VPN ISM.

Czy ktoś z was badał kiedyś dokładnie tą sprawę i jest w stanie przybliżyć mi jaka jest realna maksymalna przepustowość tuneli IPSEC (z licencją HSEC) bez wykorzystania modułu VPN ISM?


PS mój pierwszy post tutaj. Mam nadzieję, że udało mi się w dość jasny sposób opisać moją sprawę.

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: Maksymalna przepustowość IPsec site to site - HSECK9

#2

#2 Post autor: Kyniu »

Wszystkie te wyniki powstają w konkretnym środowisku testowym przy konkretnych założeniach. Posiłkowanie się nimi nie ma sensu bo w praktyce jest bardzo różnie. Po to się robi testy "proof of concept" żeby sprawdzić założenia teoretyczne w środowisku, w jakim rozwiązanie docelowo ma pracować. I dopiero taki test ma jakąkolwiek wartość.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Awatar użytkownika
awo
CCIE
CCIE
Posty: 355
Rejestracja: 05 wrz 2004, 16:25
Lokalizacja: waw@pl
Kontakt:

Re: Maksymalna przepustowość IPsec site to site - HSECK9

#3

#3 Post autor: awo »

Sesje Cisco Live z zakresie IPSEC/VPN/DMVPN mają bardzo fajne ściągawki z wydajności IPSEC datasheet vs reality.
Najlepiej tak przed 2014 bo będą jeszcze starsze modele itp.

ODPOWIEDZ