Doporuceni CCR1036 ?

ferdafree

Doporucili by jste pouziti CCR1036 jako core router(fw, vlan routing) pro cca 1000 zarizeni(pc, servery etc) na 10Gb/s pateri v ramci budovy? Utahne CCR1036 ipsec na 10Gb/s?

kdavid

Ne. Kup si radeji kvalitni server s 4+ jadry a povali ti to lepe a rychleji. Na bgp a core routing ok ale na fw a shaping ne.

hapi

ten ipsec jenom protejká jebo tam jsou konce nějakých vpnek? protože pak to otáčí kartu.

ferdafree

ad1. nechci shapovat, a snad par pravidel pro fw jako je filtrovani provozu mezi vlanamy a filtrovani prichozi komunikace by to mohlo zvladnout ne?

ad2. ipsec tunel bych chtel mezi dvema lokalitami s CCR1036 na 10Gb/s portech. Jde mi primarne o zasifrovani trafiku co jde mezi dvema lokalitami po optice poskytovatele. Linka bude, ale vytizena, protoze se pouziva pro zalohovani. Co lze v tomto ohledu od CCR1036 ocekavat?

ludvik

http://www.stubarea51.com/page/8/

ferdafree

http://www.stubarea51.com/page/8/

Diky za link. Vysledek testu je povzbuzujici:

Use cases and conclusions

The CCR1036 certainly had no issues getting to 10 Gbps with the right MTU and test hardware, but we were suprised that the IPSEC thoughput was so high. Considering a pair of CCR1036-8G-2S+ routers are just a little over $2000.00 USD, 7.5 Gigabits of encrypted throughput with IPSEC is incredible. Even over a 1500 byte MTU, the 1.7 Gbps we were able to hit is amazing considering it would probably take at least 20k to 30k USD to reach that kind of encrypted throughput with equipment from a mainstream network vendor like Cisco or Juniper.

V diskuzi, se ale ozvali 2 jedinci, ze se pokouseli o to same se stejnym zarizenim a s ipsec meli jen 38Mbs...

ludvik

Až takhle se v tom nevyznám ... ale předpokládám, že pro vysoký výkon je potřeba to nastavit tak, aby se šifrovalo v hardware. A to zase potřebuje nějakou verzi firmware. Co si pamatuji, tak od začátku to hw šifrování neumělo.

Hardware acceleration allows to do faster encryption process by using built-in encryption engine inside CPU. AES-CBC and sha1/sha256 are the only algorithms that uses these features, any other combination will fall back to software.

ferdafree

A co ten FW? Proc by s nim mel byt problem?

ludvik

Protože podporu přidávali až později. Tak jako jiné funkce, opravy chyb a chyby.

ferdafree

Ok, skutecne mi tu chcete tvrdit, ze je na tom CCR1036 tak spatne, ze nezvladne fw pro 20-30 vlan z interní site a filtrovani prichozich spojeni? Ja tomu popravde nerozumim, proto se tu na to ptam, ale MK ma FW jako jednu ze svych zakladnich funkcionalit a odpoved obchodniku s MK byla...zadnej problem, normalne funguje. Takze sem z toho ted tady volaký zmetěný.

hapi

neboj se toho, to co tady čteš jsou pindy spekulantů. Ten článek je starej 2 roky, od tý doby uběhlo hodně času. Pro jistotu bych si našel nějaký nový článek kde někdo má hw ipsec na ccrku. X86 ti to se šifrou rozhodně nedá takže moc na výběr nemáš.