отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

высокая нагрузка cpu Cisco VPN

Здравствуйте!

Подскажите, пожалуйста, со следующим вопросом.

Имеется 2 роутера Cisco - 1841 и 870. Подключены с разных концов оптоволоконной сети между двумя зданиями. Конфигурация настроена на шифрование всего трафика, ходящего по этому каналу. Шифрование работает, связь есть, но периодически канал проседает.

Обратил внимание, что время отклика увеличивается (а иногда и пинг рвется вовсе) пропорционально загрузке на процессорах роутеров. Видимо, проблема кроется в загрузке cpu:

R002#sh proc cpu sort 5sec | exclude 0.00%

CPU utilization for five seconds: 61%/60%; one minute: 65%; five minutes: 64%

PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process

139    20649056  12648972       1632  1.22%  1.47%  1.41%   0 Crypto Support

   5      160884     12122      13272  0.40%  0.07%  0.05%   0 Check heaps

   2       44672     18621       2399  0.08%  0.03%  0.02%   0 Load Meter

  11      275612    427248        645  0.08%  0.16%  0.16%   0 ARP Input

  87       67680    147546        458  0.08%  0.07%  0.08%   0 CEF process

  65      279744    259541       1077  0.08%  0.08%  0.08%   0 IP Input

А теперь внимание вопрос: как узнать на что сжирается загрузка cpu, если sh proc cpu выводит таблицу процессов, которые в сумме не дают больше 5%, но при этом он показывает, что загрузка составляет 50-100%?

Теги (4)
2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Re: высокая нагрузка cpu Cisco VPN

судя по:

reliability 255/255, txload 2/255, rxload 14/255 (но это показатели коммутатора причем гигабитного порта)

Запас большой еще на интерфейсе.

0.08%  0.08%  0.08%   0 IP Input Это мелочь тоже.

Если интерфейс не справляется с нагрузкой то росли бы именно эти показатели.

У вас растет Crypto Support

Нужно уменьшить количество шифруемого траффика. (http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a00800a70f2.shtml#Encrypt
)

Не забываем оценивать полезные посты.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: высокая нагрузка cpu Cisco VPN

http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf

Для 870-го заявлено 12мбит/с роутинга без сервисов мелкими пакетами. У вас там уже 6мб/с. С IPSec. Я не уверен, что на 870 он аппаратный.

Вывод: железо просто не справляется. Варианты: уменьшить число связанных с транзитными пакетами сервисов (небольшое облегчение) или заменить 870 на что-то приличнее.

24 ОТВЕТ.
New Member

высокая нагрузка cpu Cisco VPN

Обратите внимание, у вас загрузка 61%/60%. Вторая цифра - прерывания. В общем, железки у вас слабые и просто физически не справляются с трафиком. Вопрос даже не только в шифровании, а просто в передаче данных (у вас ведь канал передачи данных 100Мбит/сек?).

New Member

высокая нагрузка cpu Cisco VPN

Верно, 100 мбит. А как можно убедиться, что дело именно в том, что циски не справляются с трафиком?

На корневом свитче, куда подключена Cisco 1841, следующие данные:

GigabitEthernet1/0/21 is up, line protocol is up (connected)

  Hardware is Gigabit Ethernet, address is 0017.95da.5a15 (bia 0017.95da.5a15)

  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

     reliability 255/255, txload 2/255, rxload 14/255

  Encapsulation ARPA, loopback not set

  Keepalive set (10 sec)

  Full-duplex, 100Mb/s, media type is 10/100/1000BaseTX

  input flow-control is off, output flow-control is unsupported

  ARP type: ARPA, ARP Timeout 04:00:00

  Last input never, output 00:00:00, output hang never

  Last clearing of "show interface" counters never

  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

  Queueing strategy: fifo

  Output queue: 0/40 (size/max)

  5 minute input rate 5493000 bits/sec, 1316 packets/sec

  5 minute output rate 1032000 bits/sec, 777 packets/sec

     155830161 packets input, 70864889 bytes, 0 no buffer

     Received 224323 broadcasts (0 multicast)

     0 runts, 0 giants, 0 throttles

     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

     0 watchdog, 300 multicast, 0 pause input

     0 input packets with dribble condition detected

     118766689 packets output, 2259469086 bytes, 0 underruns

     0 output errors, 302076 collisions, 1 interface resets

     0 babbles, 0 late collision, 0 deferred

     0 lost carrier, 0 no carrier, 0 PAUSE output

     0 output buffer failures, 0 output buffers swapped out

Re: высокая нагрузка cpu Cisco VPN

судя по:

reliability 255/255, txload 2/255, rxload 14/255 (но это показатели коммутатора причем гигабитного порта)

Запас большой еще на интерфейсе.

0.08%  0.08%  0.08%   0 IP Input Это мелочь тоже.

Если интерфейс не справляется с нагрузкой то росли бы именно эти показатели.

У вас растет Crypto Support

Нужно уменьшить количество шифруемого траффика. (http://www.cisco.com/en/US/products/hw/routers/ps133/products_tech_note09186a00800a70f2.shtml#Encrypt
)

Не забываем оценивать полезные посты.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: высокая нагрузка cpu Cisco VPN

http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf

Для 870-го заявлено 12мбит/с роутинга без сервисов мелкими пакетами. У вас там уже 6мб/с. С IPSec. Я не уверен, что на 870 он аппаратный.

Вывод: железо просто не справляется. Варианты: уменьшить число связанных с транзитными пакетами сервисов (небольшое облегчение) или заменить 870 на что-то приличнее.

высокая нагрузка cpu Cisco VPN

"Я не уверен, что на 870 он аппаратный."

Он там 100% на базе софта.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

высокая нагрузка cpu Cisco VPN

В общем, временно обрубили шифрование на обоих роутерах. Подготовил замену 870, в закромах залежался еще один 1841.

Подскажите, пожалуйста, аппаратное шифрование на нем включается по умолчанию или есть какая-то специальная команда? И какой тип шифрования посоветуете.

высокая нагрузка cpu Cisco VPN

Как вариант вы могли бы акцесс листами выбрать только опредеоенный трафик для шифрования. Обычно не весь траффик требуется в шифровании.

В первую очередь вам нужна Security IOS для 1841. У них как заявляет Cisco есть встроенный аппаратный процесоор который занимается шифрованием, но для его использования нужно цитирую:

"integrated hardware-based encryption enabled by an optional Cisco IOS® Software security image"

Тип зависит от того насколько важны данные и совместимость устройств на те или иные алгоритмы.  Я использую везде: 3des и хеширование Md5.

Не забываем оценивать полезные посты.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: высокая нагрузка cpu Cisco VPN

От 1841, кстати, 100мб/с ждать тоже не следует.

Аппаратное шифрование на 1841 по умолчанию. Проверить - "show crypto engine accelerator statistic". Оптимально - AES128.

New Member

высокая нагрузка cpu Cisco VPN

Вчера попробовал включить AES256, показания примерно те же что и с DES. Попробую включить 128-битное, отпишусь.

New Member

высокая нагрузка cpu Cisco VPN

Table 3.

Cisco IOS Software Features on Cisco 870 Series Routers-Advanced Security Feature Set (Default)

• Hardware-accelerated 3DES for IPSec

• Hardware-accelerated AES for IPSec

http://www.cisco.com/en/US/prod/collateral/routers/ps380/ps6200/product_data_sheet0900aecd8028a976.html

Видимо, шифрование программное, с ускорителем.

высокая нагрузка cpu Cisco VPN

Все верно

Hardware-Based = Апаратное

Hardware-Accelerated = ускорено процессором.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: высокая нагрузка cpu Cisco VPN

"Hardware-Accelerated = ускорено процессором."

Ускорено ускорителем. Криптографией занимается отдельная логика. Т.е. шифрование аппаратное.

New Member

высокая нагрузка cpu Cisco VPN

Шифрования DES, AES128 и AES256 показали примерно одинаковые результаты по пингу, скорости копирования данных и загрузке на процессор Cisco 1841. Во всех трех случаях при копировании большого файла (порядка 2 гб) происходит прерывания пинга (1-2 %, средний тайминг 10-40 мс), загрузка процессоров - 30-60%. Это нормальные значения при включенном шифровании?

высокая нагрузка cpu Cisco VPN

Это нормально и без шифрования. 1841 не может потянуть 100мб/с вне зависимости от задействованных сервисов.

New Member

высокая нагрузка cpu Cisco VPN

Подскажите плиз, какое оборудование в таком случае закупить. Есть центральный офис, от него идет темная оптика гигабит в 4-5 других офисов, кол-во пользователей порядка 500. Что лучше взять для центрального офиса и конечных офисов? Потянет ли модель Cisco 2851 как корневой роутер со включенным шифрованием?

высокая нагрузка cpu Cisco VPN

Если там темная оптика, то какой смысл шифровать? Боитесь прослушки АНБ?

Берите какие-нибудь 3560-3750 с SFP слотами. Они переварят столько трафика, сколько влезет в их интерфейсы.

Если шифровать очень-очень надо (и/или есть дополнительные требования вроде гибкого QoS, стейтфульного файрволинга и т.д.), то тут уже надо на роутеры линейки ASR1k смотреть.

Третий, немного экзотический вариант - MACSEC на нексусах. Если у вас уже нет N7K, то его нет смысла рассматривать - зельмо дорого.

По 2821: таблицу я уже прикладывал. Ни одна цискина софтовая платформа не тянет гигабитные скорости, это территория полужелезных ASR1k или полноценных хардварных роутеров/свитчей.

New Member

высокая нагрузка cpu Cisco VPN

Против АНБ и шифрование не поможет.

Re: высокая нагрузка cpu Cisco VPN

Из практики: Внедряли решение

CISCO3925-CHASSIS (revision 1.1) with C3900-SPE100/K9

Количество филиалов: 16 каждый шифрует 85 Мегабит всего траффика (т.к. лицензия не позволяет на конечных филиалах использовать больше траффика внутри IPSEC тоннеля. Чтобы поддерживало больше 85 мегабит нужна лицензия hseck9, ее мы ставили в главном оффисе)

Плюс держит еще Call Manager

в итоге в часы пик:

CPU utilization for five seconds: 12%/11%; one minute: 13%; five minutes: 13%

А так если шифровать нужно L3 траффик то используйте Cisco ASA  они очень производительны.

Обратитесь к местному Cisco партнеру, и запросите решение на основе ваших требований и нагрузок. Они дадут решение а брать его или нет уже решите сами. Зато будете знать к чему идти.

Не забываем оценивать полезные посты.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

высокая нагрузка cpu Cisco VPN

85 мегабит и несколько гигабит - разные вещи

ASA мне никогда не нравились. Нет, они не особо производительны и весьма убоги в плане функционала.

Учитывая, что за деньги ASA 5545-X (заявлено 400мб/с шифрования, софтовая платформа) можно взять ASR1002-X (5гб/с шифрования, 40гб/с хардварного роутинга, функционал несравнимо шире, чем у асы и сравним с ISR, хотя может потребоваться небольшая доплата за лицензии) - выбор очевиден.

Re: высокая нагрузка cpu Cisco VPN

85 мегабит это конечные точки - центр обрабатывает 85*16 траффика. (1.3 гигабит из возможных 2-ух на маршрутизаторе без дополнительных модулей)

Какая речь идет о несколькитх гигабитах Если у Эмиля Валиева стоит 1841 сейчас маршрутизатор для шифрования.

ASA Next-Generation дает хорошие результаты сужу из практики. ASA выполняет одни функнции маршрутизатор другие, их я думаю ставить в одной линейке не стоит. Ниодин ASR не даст  такого гибкого static nat, any connect, IPS...  Ни один ASA не даст такие емкости и скорости обработки ИП пакетов и Dynamic NAT как ASR

ASR решение для крупных организаций на мой взгляд. И для провайдеров. Но как железо они очень хороши лично использую 1006.

Не забываем оценивать полезные посты.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: высокая нагрузка cpu Cisco VPN

"центр обрабатывает 85*16 траффика. (1.3 гигабит из возможных 2-ух на маршрутизаторе без дополнительных модулей)"

То есть реальные 1,3гб/с трафика на 3925? А можно увидеть "show int | in rate" и "show proc cpu his"? Слабо верится.

Вверху говорилось о нескольких гигабитных темных оптиках. Конечно, приземление их на 1841 - дурацкая затея. И я не вижу необходимости ни в шифровании, ни в фильтрации пакетов более глубокой, чем банальные не-стейтфульные ACL. Если есть ресурс, то лучше использовать его по полной, и тут пригодятся L3 свитчи.

"Ниодин ASR не даст  такого гибкого static nat, any connect, IPC"

Да ну... Static NAT как был отвратителен на pre-8.3, так и остался отвратительным. Anyconnect? Если речь про clientless, то да, ASA лучше любых других цискиных продуктов, но намного хуже большинства конкурентов (дороже и менее функционально). Нет причин, по которым данный функционал нельзя вынести на отдельный сервер. Про IPC не понял, но если имелся в виду IPSec, то ASA разгромлена и по производительности, и тем более по функционалу. Что можно сказать хорошего про платформу, которая не умеет GRE/IPSec?

Ну и на самом деле есть ощущение, что Cisco планомерно убивает ASA.

New Member

высокая нагрузка cpu Cisco VPN

Если быть точнее, роутеры сейчас используются пока на одном канале. Как только доточим конфигурацию, будем планировать закупку на оставшиеся каналы.

Есть еще одна старая железка - PIX 515E (прародитель ASA, как я понимаю). Подойдет ли она для целей шифрования и будет ли лучше 1841?

высокая нагрузка cpu Cisco VPN

515-й, в принципе, может оказаться быстрее.

Соберите требования.

1) Требуется ли шифрование на темной оптике, и если да, то зачем?

2) Требуются ли какие-либо сервисы помимо банального роутинга пакетов?

3) Какая реальная производительность нужна?

Если нет/нет/много, то правильнее всего приземлить каналы на L3 свитчи. Вопрос о производительности сразу отпадет навсегда.

New Member

высокая нагрузка cpu Cisco VPN

Да/нет/много: шифрование с той целью, которое оно преследует - защита корпоративных данных; вроде только роутинг, по каналу раз в день идет бэкап критических данных с серверов.

Спасибо всем за ответы! Очень выручили. Будем искать подходящие железки.

1925
Просмотры
100
Полезный материал
24
Ответы