шифрованный трафик это ipsec или ssl vpn?

ipsec

считаем что других серьёзных процессов там нет

обработка ipsec выполняется отлельным чипом, производительность, полагаю, можно посчитать по pps

на g2, кстати, есть еще лицензия The HSEC-K9 license removes the curtailment enforced by the U.S. government export restrictions on the encrypted tunnel count and encrypted throughput. HSEC-K9 is available only on the Cisco 2921, Cisco 2951, Cisco 3925, Cisco 3945, Cisco 3925E, and Cisco 3945E. With the HSEC-K9 license, the ISR G2 router can go over the curtailment limit of 225 tunnels maximum for IP Security (IPsec) and encrypted throughput of 85-Mbps unidirectional traffic in or out of the ISR G2 router, with a bidirectional total of 170 Mbps.

Да, про лицензию я помню

обработка ipsec выполняется отлельным чипом, производительность, полагаю, можно посчитать по pps

Спасибо, но я не до конца понял, что это значит в контексте моего вопроса. (см. чуть выше)

я про то, что ssl vpn трафик обрабатывается cpu и даже при 50 Mbps cpu умирает. Обработка ipsec выполняется отдельным чипом и производительность должна быть ограничена тем, сколько pps cpu сможет переварить.

isr'ы же днище древнее

ну 4к может еще не сильно днище

но 28 и 29 точна днище

рухтеры без портов, лол

Одного порта достаточно!

Включаешь свищ и дальше пуляешь во вланах!

на 4к нет поддержки ssl vpn, только флекс через ikev2, да и там софтовая платформа на х86, для сервисов dsp голосовые - да, а ipsec нет там модулей же

угу, все на ядре

Одного порта достаточно!

router on stick !

https://rule11.tech/rehashing-certifications/

Да. вроде клёво. И можно по количеству трафика понять загрузку CPU, но есть одно но. Как правильно посчитать вот такой кейс. Например у меня сейчас суммарный трафик - 100 мегабит. Он условно разделён на две части. Допустим 50 на 50. Одну из частей я шифрую. Вторую - нет. Как вычислить загрузку CPU? Суммировать тупо?

загрузка цпу на isr4k по идее не должна особо напрягать с лицензионными ограничениями в сотку никак не упрёшься

ну и от трафика зависит, размеры пакетов все дела

https://rule11.tech/rehashing-certifications/

И вот поэтому у меня CCNA занимал 250 часов

загрузка цпу на isr4k по идее не должна особо напрягать с лицензионными ограничениями в сотку никак не упрёшься

на isr4k нельзя загрузить цпу без буст лицензии

да и с ней тоже

траффиком

У нас ещё раньше легла, но я не мог понять почему, думали массовый глюк каталистов

свичи ребутнулись?

Да. вроде клёво. И можно по количеству трафика понять загрузку CPU, но есть одно но. Как правильно посчитать вот такой кейс. Например у меня сейчас суммарный трафик - 100 мегабит. Он условно разделён на две части. Допустим 50 на 50. Одну из частей я шифрую. Вторую - нет. Как вычислить загрузку CPU? Суммировать тупо?

у тебя не один cpu у тебя размазывается по ядрам

шифрованный траффик не влияет на обычный траффик

что значит не влияет?

Ребзя

Нету не у кого список смартнетов циски

и их sla

Выручили бы

что значит не влияет?

что шифрованный что нешифрованный разницы нет

не как на isr g2

ну вроде шифрованный это ещё один цикл через проц и перфоманс снижается

не снижается

у тебя не 1 cpu на роутере

посмори презу

Господа умные ребята, вопрос :) есть gre тоннель, через который рухтер ( в моем случае джун МХ) получает адвертайсмент префикса. Если я смотрю в форвардинг тэйбл, там я вижу: Destination Next hop Netif х.х.х.0/24 gr-0/0/0.149 Т.е. после инкапсуляции будет еще один лукап в форвардинг тейбл? И так ли это у других вендоров?

посмори презу

я смотрел 2 цпу только на 4451 на остальных по одному, просто много ядер

ну вот

ты почитай что для чего какие ядра

и про boost лицензию

а что с ней?

она вроде просто шейпер снимает, нет?

на 2017ом циско конекте специально спросил у чувака который презу по isr 4k делал , "можно ли на 100мбит лицензии сделать так, что бы получить не 100 а меньше". ну вот он ответил, что шифрование и туннелирование в сумме уменьшат перфомант процентов на 25

потому как пакет несколько раз проходит через проц, не важно через какое ядро

Господа умные ребята, вопрос :) есть gre тоннель, через который рухтер ( в моем случае джун МХ) получает адвертайсмент префикса. Если я смотрю в форвардинг тэйбл, там я вижу: Destination Next hop Netif х.х.х.0/24 gr-0/0/0.149 Т.е. после инкапсуляции будет еще один лукап в форвардинг тейбл? И так ли это у других вендоров?

Имеешь ввиду просмотр форвадинга для gre?(dest)

Господа умные ребята, вопрос :) есть gre тоннель, через который рухтер ( в моем случае джун МХ) получает адвертайсмент префикса. Если я смотрю в форвардинг тэйбл, там я вижу: Destination Next hop Netif х.х.х.0/24 gr-0/0/0.149 Т.е. после инкапсуляции будет еще один лукап в форвардинг тейбл? И так ли это у других вендоров?

а как иначе он тебе отфорвардит пакет?

Имеешь ввиду просмотр форвадинга для gre?(dest)

ну да, типо первый раз смотрит, видит только гре интерфейс, делает инкапсуляцию и еще раз смотрит куда высылать гре пакет. Я просто че то думал что он за раз все это может посмотреть:)

ну да, типо первый раз смотрит, видит только гре интерфейс, делает инкапсуляцию и еще раз смотрит куда высылать гре пакет. Я просто че то думал что он за раз все это может посмотреть:)

а тебе какая разница то за раз или за два он это делает?

а тебе какая разница то за раз или за два он это делает?

Микросекунды наверно)

а тебе какая разница то за раз или за два он это делает?

никакой, у нас тут просто дискуссия :) я не думал что до инкапсуляции он смотрит в форвардинг тейбл. ну строго говоря и я не задумывался об этом раньше:)

потому как пакет несколько раз проходит через проц, не важно через какое ядро

Чего?

Не проходит. Там один раз ппе и спп

И крипто ассистант если шифровать

ну да, типо первый раз смотрит, видит только гре интерфейс, делает инкапсуляцию и еще раз смотрит куда высылать гре пакет. Я просто че то думал что он за раз все это может посмотреть:)

Каким образом?

Каким образом?

ну мало ли че можно напридумывать, какой нить алерт бит, чтоб сразу в контрол плейн поднимался, инкапсулировался и потом уже форвардился. но нет, так нет. Меня и так все устраивает)

А если у тебя некстхоп для gre изменится?

это я имел ввиду под "форвардится". лукап куда его высылать из рухтера

Вот весь проход пакета через дата плейн

Вот весь проход пакета через дата плейн

да увидел, наверное с ASR спутал. но то что ипсек с тунелями уменьшают перфоманс это по всем тестам видно

да увидел, наверное с ASR спутал. но то что ипсек с тунелями уменьшают перфоманс это по всем тестам видно

Отличие от г2 роутеров в том, что ипсек траффик не загрузит Весь цпу, потому что ядра разные для процессов и достаточно мощный цпу стоит, что в буст лицензии показывает предел перформанса при максимальной загрузке

То есть общий траутпут для траффика точно такой же как и для ипсек

На г2 надо было уставлять аимвпн модули, а тут ядра справляются

То есть общий траутпут для траффика точно такой же как и для ипсек

общий это када буст лицензия?

общий это када буст лицензия?

При любой лицензии

откуда тада просадки производительности в тестах?

они врут?

Если пишут 50мбпс для 4321 то тут без разницы крипто это или нет

откуда тада просадки производительности в тестах?

Там непонятно что они снимают, ядер много, а цпу типо один на графике

я про производительность по трафику а не по цпу

типа со 100мбит лицензии при ипсеке больше 90 мбит не получить

Заголовки

Наверно

ну мб и заголовки для конечного кастомера не так принципиально

Вообще странно, честно говоря. Но с другой стороны тут всегда две стороны оценки, даташит/презы вендора и риаллайф

ну мб и заголовки для конечного кастомера не так принципиально

Вообще я вел к тому, что крипто не грузит проц, который форвардит траффик. За счет ядер оно параллельно рабит, не влияя друг на друга

А с буст лицензией там грубо говоря выделенные ядра под контейнеры и сервисы отдают под датаплейн, поэтому там в сервисах есть ограничения на буст лицухе. А перформанс лиценз эт софтшейпер

как буст лицуху получить не знаешь случайно?

алгоритма

Купить и активировать )

Itprice.com boost isr

не , я о том что там вроде как они убрали активацию через pak коды, и только через smart install вариант есть

Смарт аккаунт имеешь ввиду ?

да

Да вроде пак еще есть

Разве убрали ?

хз

https://www.cisco.com/c/en/us/td/docs/routers/access/4400/software/configuration/guide/isr4400swcfg/bm_isr_4400_sw_config_guide_chapter_0101.html#concept_jzt_wlq_ybb

Enable the boost performance license: Boot the device in Smart License mode. The boost performance command is not visible without registering in the Smart Portal.

Если честно за стоимость буст лицухи проще свопнуть 4к на 1100

Только что прошёл полуторачасовое собеседование на пресейл архитектора с директором системного интегратора в США. Норм., мне понравилось. Хорошо поговорили про технологии, про бизнес, чуть-чуть про то, на чём деньги зарабатывать. Результатов пока нет. Посмотрим, что ответят.

Пришёл утром позитивный отзыв с собеседования, деталей не сказали. Хотят меня на развитие бизнеса (включая отчасти пресейл архитектора).