- Шифрование трафика,
 sh_, 14:56 , 16-Ноя-05 (1)
- Шифрование трафика, kirill_i, 15:19 , 16-Ноя-05 (2)
>А вы уверены, что тормозит из-за того, что криптуется? Трудно сказать, меня как то тунель смущает. Хотя кто знает....
Может само железо? С одной стороны 1750 с другой 3745.
- Шифрование трафика, Nailer, 15:30 , 16-Ноя-05 (3)
- Шифрование трафика, Изгой, 15:40 , 16-Ноя-05 (4)
- Шифрование трафика, kirill_i, 17:44 , 16-Ноя-05 (7)
>>>А вы уверены, что тормозит из-за того, что криптуется?
>>
>>Трудно сказать, меня как то тунель смущает. Хотя кто знает....
>>Может само железо? С одной стороны 1750 с другой 3745.
>
>
>show proc cpu с 1750 в студию..
sh processes cpu
CPU utilization for five seconds: 5%/2%; one minute: 10%; five minutes: 4%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
1 1548 1541303 1 0.00% 0.00% 0.00% 0 Load Meter
2 920 10707 85 0.00% 0.00% 0.00% 0 CRYPTO IKMP IPC
3 84 64224 1 0.00% 0.00% 0.00% 0 DHCPD Timer
4 20 16 1250 0.00% 0.00% 0.00% 0 IpSecMibTopN
5 5346832 936003 5712 0.00% 0.08% 0.06% 0 Check heaps
6 0 1 0 0.00% 0.00% 0.00% 0 Chunk Manager
7 1764 520 3392 0.00% 0.00% 0.00% 0 Pool Manager
8 0 2 0 0.00% 0.00% 0.00% 0 Timers
9 0 24 0 0.00% 0.00% 0.00% 0 Serial Backgroun
10 208496 678183 307 0.00% 0.00% 0.00% 0 ARP Input
11 0 3 0 0.00% 0.00% 0.00% 0 DDR Timers
12 0 2 0 0.00% 0.00% 0.00% 0 Dialer event
13 4 2 2000 0.00% 0.00% 0.00% 0 Entity MIB API
14 0 1 0 0.00% 0.00% 0.00% 0 SERIAL A'detect
15 0 1 0 0.00% 0.00% 0.00% 0 Critical Bkgnd
16 16516 1120408 14 0.00% 0.00% 0.00% 0 Net Background
17 112 831 134 0.00% 0.00% 0.00% 0 Logger
18 4208 7703005 0 0.00% 0.00% 0.00% 0 TTY Background
19 10672 7719560 1 0.00% 0.00% 0.00% 0 Per-Second Jobs
20 113692 1026188 110 0.00% 0.00% 0.00% 0 Net Input
21 3200 1541303 2 0.00% 0.00% 0.00% 0 Compute load avg
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
22 3134824 138716 22598 0.00% 0.04% 0.00% 0 Per-minute Jobs
23 0 2 0 0.00% 0.00% 0.00% 0 AAA Dictionary R
24 4 36 111 0.00% 0.00% 0.00% 0 AAA Server
25 0 1 0 0.00% 0.00% 0.00% 0 AAA ACCT Proc
26 0 1 0 0.00% 0.00% 0.00% 0 ACCT Periodic Pr
27 563120 1290391 436 0.00% 0.08% 0.02% 0 IP Input
28 0 1 0 0.00% 0.00% 0.00% 0 ICMP event handl
29 185956 1142917 162 0.00% 0.00% 0.00% 0 CDP Protocol
30 0 1 0 0.00% 0.00% 0.00% 0 X.25 Encaps Mana
31 0 2 0 0.00% 0.00% 0.00% 0 PASVC create VA
32 4 1 4000 0.00% 0.00% 0.00% 0 PPPATM Session d
33 0 1 0 0.00% 0.00% 0.00% 0 VPDN call manage
34 0 1 0 0.00% 0.00% 0.00% 0 L2X Socket proce
35 0 2 0 0.00% 0.00% 0.00% 0 KRB5 AAA
36 0 1 0 0.00% 0.00% 0.00% 0 Socket Timers
37 59452 130688 454 0.00% 0.00% 0.00% 0 IP Background
38 48 155 309 0.00% 0.00% 0.00% 0 TCP Timer
39 100 144 694 0.00% 0.00% 0.00% 0 TCP Protocols
40 0 1 0 0.00% 0.00% 0.00% 0 Probe Input
41 0 1 0 0.00% 0.00% 0.00% 0 RARP Input
42 0 1 0 0.00% 0.00% 0.00% 0 HTTP Timer
43 668 957 698 0.00% 0.00% 0.00% 0 DHCPD Receive
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
44 5760 128403 44 0.00% 0.00% 0.00% 0 IP Cache Ager
45 0 1 0 0.00% 0.00% 0.00% 0 PAD InCall
46 0 2 0 0.00% 0.00% 0.00% 0 X.25 Background
47 0 2 0 0.00% 0.00% 0.00% 0 PPP Hooks
48 0 1 0 0.00% 0.00% 0.00% 0 PPP IP Route
49 0 1 0 0.00% 0.00% 0.00% 0 PPP IPCP
50 0 1 0 0.00% 0.00% 0.00% 0 SNMP Timers
51 0 1 0 0.00% 0.00% 0.00% 0 Inspect Timer
52 0 1 0 0.00% 0.00% 0.00% 0 Authentication P
53 0 1 0 0.00% 0.00% 0.00% 0 IDS Timer
54 0 1 0 0.00% 0.00% 0.00% 0 COPS
55 0 2 0 0.00% 0.00% 0.00% 0 Dialer Forwarder
56 0 1 0 0.00% 0.00% 0.00% 0 PPP Forwarder
57 1652 129615 12 0.00% 0.00% 0.00% 0 Adj Manager
58 32241488 40845881 789 0.16% 0.72% 0.51% 0 Crypto HW Proc
59 8 36 222 0.00% 0.00% 0.00% 0 LOCAL AAA
60 0 2 0 0.00% 0.00% 0.00% 0 ENABLE AAA
61 0 2 0 0.00% 0.00% 0.00% 0 LINE AAA
62 0 2 0 0.00% 0.00% 0.00% 0 TPLUS
63 6656 142 46873 2.12% 5.65% 1.95% 6 SSH Process
64 43708 93812 465 0.00% 0.00% 0.00% 0 Crypto Support
65 0 1 0 0.00% 0.00% 0.00% 0 Crypto SS Proces
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
66 0 1 0 0.00% 0.00% 0.00% 0 Router Autoconf
67 4 7 571 0.00% 0.00% 0.00% 0 Crypto ACL
68 0 1 0 0.00% 0.00% 0.00% 0 Encrypt Proc
69 17737756 87361 203042 0.00% 0.00% 0.00% 0 Key Proc
70 0 3 0 0.00% 0.00% 0.00% 0 Crypto CA
71 0 3 0 0.00% 0.00% 0.00% 0 Crypto SSL
72 191840 718736 266 0.00% 0.00% 0.00% 0 Crypto IKMP
73 53288 1215679 43 0.00% 0.00% 0.00% 0 IPSEC key engine
74 0 1 0 0.00% 0.00% 0.00% 0 IPSEC manual key
75 16 68 235 0.00% 0.00% 0.00% 0 AAA SEND STOP EV
76 0 1 0 0.00% 0.00% 0.00% 0 Syslog Traps
78 10884 106752 101 0.00% 0.00% 0.00% 0 SSH Event handle
79 0 2 0 0.00% 0.00% 0.00% 0 IP SNMP
80 0 1 0 0.00% 0.00% 0.00% 0 PDU DISPATCHER
81 24 2 12000 0.00% 0.00% 0.00% 0 SNMP ENGINE
82 0 1 0 0.00% 0.00% 0.00% 0 SNMP ConfCopyPro
83 0 1 0 0.00% 0.00% 0.00% 0 SNMP Traps
84 7568 7809695 0 0.00% 0.00% 0.00% 0 NTP
85 50520 565672 89 0.00% 0.00% 0.00% 0 Crypto Hardware
86 10232 2182683 4 0.00% 0.00% 0.00% 0 DHCPD Database
- Шифрование трафика, toor99, 17:02 , 16-Ноя-05 (5)
- Шифрование трафика, toor99, 17:03 , 16-Ноя-05 (6)
- Шифрование трафика, kirill_i, 17:49 , 16-Ноя-05 (9)
>> Почему не сразу транспортный режим IPSec ?
>Прошу прощения, опечатался - *туннельный* режим, конечно же.
А может подскжите кусочком конфига как это делается?
Спасибо.
- Шифрование трафика, kirill_i, 17:48 , 16-Ноя-05 (8)
>"жуть как тормозит" - не очень информативно, в любом случае, посмотрите, как
>вам уже советуют, загрузку процессора. Дальше начинайте думать - может быть,
>есть смысл воткнуть криптоускоритель, или использовать более простые и менее ресурсоёмкие
>алгоритмы шифрования (des, aes).
>И кстати, почему все так любят сначала создать туннель, а потом на
>него ставить криптомап? Почему не сразу транспортный режим IPSec ? Много
>processor cycles вы на этом не выиграете, но всё-таки. Да и
>конфигурация упрощается. Я считаю что "тормозит" - это когда на незагруженном канале (2мб) пытаюсь войти ssh на удаленный 1750 и вижу приглашение только через секунд 5-6. Да и пользователи жалуются - пытался сам работать удаленно - чувствуется заметные тормоза, хотя канал загружается процентов на 10 всего.
- Шифрование трафика, kirill_i, 17:55 , 16-Ноя-05 (10)
>"жуть как тормозит" - не очень информативно, в любом случае, посмотрите, как
>вам уже советуют, загрузку процессора. Дальше начинайте думать - может быть,
>есть смысл воткнуть криптоускоритель, или использовать более простые и менее ресурсоёмкие
>алгоритмы шифрования (des, aes).
>И кстати, почему все так любят сначала создать туннель, а потом на
>него ставить криптомап? Почему не сразу транспортный режим IPSec ? Много
>processor cycles вы на этом не выиграете, но всё-таки. Да и
>конфигурация упрощается. Данная конфигурация осталась мне в наследство от предыдущего админа :(
|
Версия для распечатки
Шифрование трафика, 
