+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

CCR1009 или RB1100AHx2 для EoIP+IPSec

CCR1009 или RB1100AHx2 для EoIP+IPSec, RouterOS

Ascendo

Guest

10.06.2014 07:35:00

Всем привет! Сейчас мы связываем два сайта по L2TPv3+IPSec с помощью маршрутизаторов Cisco 2900, но производительность IPSec ужасная (максимум 50 Мбит/с при 100 % загрузке CPU). Хотим заменить их на один из перечисленных выше маршрутизаторов на каждой стороне. Очевидно, что CCR новее, но есть ли в нём аппаратное ускорение IPSec? Смогут ли любой из этих маршрутизаторов обеспечить, скажем, 150 Мбит/с AES-128 при обычном трафике? Спасибо, A.

Ascendo

Guest

23.02.2015 19:53:00

Небольшое обновление для тех, кому интересно. После множества доработок и упрощений конфигурации нам удалось выжать около 680 Мбит/с из двух роутеров RB1100AHx2 (включая разгон до 1333 МГц). Мы купили 2 CCR1009 для другого проекта и решили проверить, как они справятся с этой задачей. Скопировали конфиг — и производительность просто ужасная. С той же настройкой смочь получить удалось только 25 Мбит/с. Похоже, как только начинаешь сочетать EoIP или другие туннели с IPSec на серии CCR, скорость падает катастрофически. Тест пропускной способности между точками EoIP показал более 600 Мбит/с, а если отключить шифрование, EoIP работает свыше 900 Мбит/с, но когда их комбинируешь, производительность падает до 25. Мы пытались играть с MTU, MSS, менять порты и так далее, так и не решили проблему, поэтому пока придется использовать 1100-е. Mikrotik, а не пора ли выпустить обновлённую PPC-модель с более высокой тактовой частотой?

coylh

Guest

26.02.2015 04:39:00

Сегодня вечером я провел много тестов. Результаты получаются не очень стабильными, но удалось добиться примерно 500 Мбит/с на связке CCR1036 – CCR1009. Оба устройства работали на версии 6.27 с обновлённой прошивкой. Единственные нормальные результаты были с aes-256-cbc. Правда, «in-state-sequence-errors» оказались очень высокими. Вот одна сторона лаборатории, если кто-то захочет повторить. Обратите внимание, что NAT, файрвол и отслеживание соединений отключены; у вас может быть иначе. Я использовал iperf на Windows в режиме tcp с --window на 16M и 8–16 параллельными потоками. Без ipsec тот же тест выдаёт около 850 Мбит/с.

# feb/24/2015 17:53:51 by RouterOS 6.27
#
#

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc
/port
set 0 name=serial0
set 1 name=serial1
/ip firewall connection tracking
set enabled=no
/ip address
add address=10.0.0.2/24 interface=ether1 network=10.0.0.0
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
/ip ipsec peer
add address=10.0.0.1/32 enc-algorithm=aes-256 nat-traversal=no secret=password
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.0.0/24 sa-dst-address=10.0.0.1 sa-src-address=10.0.0.2 src-address=\
192.168.1.0/24 tunnel=yes
/ip route
add distance=1 gateway=10.0.0.1
/system clock
set time-zone-autodetect=no time-zone-name=America/Los_Angeles
/system ntp server
set enabled=yes
/system resource irq rps
set ether1 disabled=yes
set ether2 disabled=yes
set ether3 disabled=yes
set ether4 disabled=yes
/system routerboard settings
set cpu-frequency=1200MHz enter-setup-on=delete-key memory-frequency=1066DDR

Ascendo Guest	#4 0 26.02.2015 05:24:00 Если у тебя есть немного времени, мог бы ты настроить EoIP-туннель и зашифровать конечные точки? Мне очень интересно посмотреть, упадет ли у тебя производительность на 90% и больше, как это случилось у нас.

coylh

Guest

26.02.2015 07:12:00

Да, кажется, я это настроил. Раньше с такой конфигурацией не сталкивался, так что советую посмотреть на настройки с долей скепсиса. Тем не менее, счетчики байт SA движутся, значит, трафик проходит и через EOIP-туннель, и через IPSEC. Вот одна сторона:

# feb/24/2015 20:34:11 by RouterOS 6.27
#
#
/interface bridge
add name=bridge1
/interface eoip
add !keepalive mac-address=02:02:96:29:2A:86 name=eoip-tunnel1 remote-address=192.168.0.1 tunnel-id=0
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=eoip-tunnel1
add bridge=bridge1 interface=ether5
/ip firewall connection tracking
set enabled=no
/ip address
add address=10.0.0.2/24 interface=ether1 network=10.0.0.0
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
/ip ipsec peer
add address=10.0.0.1/32 enc-algorithm=aes-256 exchange-mode=main-l2tp nat-traversal=no secret=password
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 sa-dst-address=10.0.0.1 sa-src-address=10.0.0.2 src-address=0.0.0.0/0 tunnel=yes
/ip route
add distance=1 gateway=10.0.0.1
/system clock
set time-zone-autodetect=no time-zone-name=America/Los_Angeles
/system ntp server
set enabled=yes
/system resource irq rps
set ether1 disabled=yes
set ether2 disabled=yes
set ether3 disabled=yes
set ether4 disabled=yes
/system routerboard settings
set cpu-frequency=1200MHz enter-setup-on=delete-key memory-frequency=1066DDR

Результаты не ахти, но и не ужасные:

C:\iperf>iperf --client 172.16.5.55 --parallel 16 --window 16M
------------------------------------------------------------
Client connecting to 172.16.5.55, TCP port 5001
TCP window size: 16.0 MByte
------------------------------------------------------------
[ 18] local 172.16.5.44 port 51435 connected with 172.16.5.55 port 5001
[ 16] local 172.16.5.44 port 51433 connected with 172.16.5.55 port 5001
[ 15] local 172.16.5.44 port 51432 connected with 172.16.5.55 port 5001
[ 12] local 172.16.5.44 port 51429 connected with 172.16.5.55 port 5001
[ 11] local 172.16.5.44 port 51428 connected with 172.16.5.55 port 5001
[ 8] local 172.16.5.44 port 51425 connected with 172.16.5.55 port 5001
[ 7] local 172.16.5.44 port 51424 connected with 172.16.5.55 port 5001
[ 3] local 172.16.5.44 port 51420 connected with 172.16.5.55 port 5001
[ 17] local 172.16.5.44 port 51434 connected with 172.16.5.55 port 5001
[ 14] local 172.16.5.44 port 51431 connected with 172.16.5.55 port 5001
[ 13] local 172.16.5.44 port 51430 connected with 172.16.5.55 port 5001
[ 10] local 172.16.5.44 port 51427 connected with 172.16.5.55 port 5001
[ 9] local 172.16.5.44 port 51426 connected с 172.16.5.55 port 5001
[ 6] local 172.16.5.44 port 51423 connected с 172.16.5.55 port 5001
[ 5] local 172.16.5.44 port 51422 connected с 172.16.5.55 port 5001
[ 4] local 172.16.5.44 port 51421 connected с 172.16.5.55 port 5001
[ ID] Interval Transfer Bandwidth
[ 8] 0.0-10.0 сек 36.2 МБ 30.4 Мбит/с
[ 6] 0.0-10.0 сек 42.0 МБ 35.2 Мбит/с
[ 17] 0.0-10.0 сек 26.1 МБ 21.8 Мбит/с
[ 9] 0.0-10.0 сек 46.9 МБ 39.2 Мбит/с
[ 10] 0.0-10.0 сек 35.5 МБ 29.6 Мбит/с
[ 14] 0.0-10.1 сек 42.4 МБ 35.3 Мбит/с
[ 11] 0.0-10.1 сек 36.2 МБ 30.2 Мбит/с
[ 16] 0.0-10.1 сек 41.8 МБ 34.7 Мбит/с
[ 15] 0.0-10.1 сек 33.6 МБ 27.9 Мбит/с
[ 7] 0.0-10.1 сек 34.6 МБ 28.7 Мбит/с
[ 18] 0.0-10.1 сек 38.1 МБ 31.5 Мбит/с
[ 4] 0.0-10.1 сек 40.4 МБ 33.4 Мбит/с
[ 12] 0.0-10.2 сек 42.2 МБ 34.9 Мбит/с
[ 5] 0.0-10.2 сек 45.6 МБ 37.6 Мбит/с
[ 3] 0.0-10.2 сек 37.8 МБ 30.9 Мбит/с
[ 13] 0.0-10.7 сек 35.2 МБ 27.8 Мбит/с
[SUM] 0.0-10.7 сек 615 МБ 484 Мбит/с

Хотелось бы попробовать это на паре 1100AHx2. Если соберу результаты — поделюсь ими.

Ascendo

Guest

26.02.2015 07:31:00

Интересный результат. Сколько можно выжать на одном потоке? Планируешь запускать eoip поверх l2tp+IPSec? Конфигурация нашего IPSec peer выглядит так: /ip ipsec peer add address=10.10.10.6/32 dpd-maximum-failures=10 enc-algorithm=aes-128 generate-policy=port-override lifetime=8h nat-traversal=no proposal-check=exact secret=password

coylh Guest	#7 0 26.02.2015 23:58:00 eoip+ipsec в одном потоке выдаёт около 135 Мбит/с. При этом с этим тестовым инструментом я считаю нормальным то, что нельзя загрузить канал полностью одним TCP-потоком, вне зависимости от конфигурации туннеля.

coylh

Guest

28.02.2015 03:13:00

Окей, я подключил пару 1100AHx2 с примерно такой же конфигурацией, как у пары CCR. Мне удалось получить около 800 Мбит/с по EoIP + IPSEC. Минус хорошей производительности в том, что двойной CPU/irq загружены по максимуму. Думаю, работа роутербордов на 90% и выше приведёт к проблемам со стабильностью, поэтому лучше ограничить скорость до чего-то пониже (600 Мбит/с?). Хотя у CCR процессор вроде бы не нагружен из-за меньшей производительности туннеля, что-то не так с аппаратным ускорителем или программной реализацией. Надеюсь, это исправят. Пока что 1100AHx2 выглядит лучше для ipsec.

payday Guest	#9 0 28.02.2015 20:49:00 Ребята, это действительно удивительно и сбивает с толку! Я был уверен, что CCR с 9 ядрами и ускорителем IPsec безоговорочно быстрее старого RB1100AHx2 с ускорителем и всего двумя ядрами! В этом документе http://www.tilera.com/files/drim__TILE-Gx8009_PB036-02_WEB_7663.pdf говорится, что он должен обеспечивать до “10Gbps шифрования”: TileGx.JPG. Как вообще может быть, что CCR работает медленнее? MikroTik вообще над оптимизацией трудится? Это максимум возможностей IPsec?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры