Господа.
Прошу помощи.
Есть Cisco 2851. ios 151-4.M9. На борту модуль аппратного шифрования AIM-VPN/SSL-2 State Enabled.
Кошка стоит в ЦОД-е. Держит три gre/ipsec тунеля. aes128 md5 в туннельном режиме. Кроме этого является SSLVPN сервером.
Проблема. Скорость через SSLVPN не поднимается выше 10 Мбит/сек. При этом подключен единственный VPN клиент. Измерял спидтсетом. Т.е. маршрут такой: Мобильник >> SSLVPN туннель >> Cisco (маршрутизация, ZBF с единственным правилом, NAT) >> внешний мир.
В момент тестирования на кошке:
Код:
show processes cpu | exclude 0.00
CPU utilization for five seconds: 99%/34%; one minute: 21%; five minutes: 8%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
104 6304 2879 2189 0.54% 2.53% 0.82% 514 SSH Process
119 1804 5037304 0 0.15% 0.23% 0.22% 0 Ethernet Msec Ti
140 292 1239461 0 0.07% 0.05% 0.05% 0 IPAM Manager
144 215148 229351 938 21.95% 3.90% 1.69% 0 IP Input
293 193296 209258 923 38.90% 5.82% 2.12% 0 encrypt proc
303 20716 104214 198 2.43% 0.31% 0.09% 0 Crypto PAS Proc
371 488 1240873 0 0.07% 0.07% 0.07% 0 PPP manager
Для начала в галаза бросается
encrypt proc Т.е. шифрование идет программно, Но почему? при активном то модуле AIM-VPN/SSL-2. С ним все ок. Он работает. Проверял тестированием скорости через GRE/IPSEC туннель. Тем же спид тестом. Топология такая ПК >> GRE/IPSEC туннель >> Cisco (маршрутизация, ZBF с единственным правилом, NAT) >> внешний мир. 50 Мбит/сек ( в пять раз больше, чем через SSLVPN)
В момент тестирования на кошке:
Код:
show processes cpu | exclude 0.00
CPU utilization for five seconds: 94%/94%; one minute: 37%; five minutes: 13%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
2 632 8153 77 0.39% 0.33% 0.12% 0 Load Meter
109 264 40782 6 0.31% 0.07% 0.02% 0 Kontrol Common H
119 6944 5158413 1 0.95% 0.36% 0.25% 0 Ethernet Msec Ti
140 1016 1269465 0 0.15% 0.05% 0.06% 0 IPAM Manager
144 223376 233878 955 0.23% 0.43% 0.41% 0 IP Input
371 2508 1271008 1 0.31% 0.13% 0.09% 0 PPP manager
372 1396 1271014 1 0.07% 0.06% 0.06% 0 PPP Events
Ну т.е. просто уперлись в ее возможности при текущей конфигурации.
Почему же c SSLVPN такая беда?
Весь конфиг не привожу, он длинный и все подряд показывать не хочется... Если чего-то конкретного не хватает, с радостью добавлю.
Код:
webvpn gateway ***
ip interface GigabitEthernet0/0 port 443
ssl encryption aes-sha1 rc4-md5
ssl trustpoint ***
inservice
!
webvpn install svc flash:/webvpn/anyconnect-win-4.0.02052-k9.pkg sequence 1
!
webvpn install svc flash:/webvpn/anyconnect-macosx-i386-4.0.02052-k9.pkg sequence 2
!
webvpn context ***
ssl authenticate verify all
!
!
policy group ****
functions svc-enabled
banner "*****"
svc address-pool "anyconnect_pool" netmask 255.255.255.0
svc default-domain "antares.lan"
svc keep-client-installed
svc dns-server primary *.*.*.*
svc dns-server secondary *.*.*.*
svc dtls
virtual-template 1
default-group-policy ***
aaa authentication list ANYCONNECT_LOGIN
gateway ****
authentication certificate aaa
ca trustpoint ***
inservice
Код:
interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly in
zone-member security VPN
end
Заметил что подключенный AnyConnect клиент пишет:
Protocol DTLS
Cipher RSA_AES_256_SHA1
Мне AES 256 нафиг не уперся в принципе. Вполне хватит AES 128. Но как поменять не нашел. Да и в этом ли причина того, что encrypt proc грузить процессор?
Заранее спасибо за помощь. А то я уже весь мозг сломал.