Cisco 3640A: schlechter Durchsatz

[Thomas_W]

Hallo.

Vorab: ich hab nicht viel Cisco-Erfahrung.

Unser 3640A hat schlechten Durchsatz, d.h. wenn Traffic mit zwei Aussenstellen entsteht, dann ist das Gerät schon stark beschäftigt. Regelmässig müssen aber Daten mit allen 10 Aussenstellen abgeglichen werden.

Die Verbindung mit den Aussenstellen ist über 10 MBit (Zentrale) und 1-4 MBit (Aussenstellen) realisiert, mit ISDN-Dialbackup (welches auch wirklich benötigt wird).

Zu den Aussenstellen wird über VPN gesprochen, momentan (IIRC) im Tunnelmode, mit kleinster (werksseitig vorhandener) Verschlüsselung. Tagsüber wird die Leitung Aussenstelle-Zentrale für Mail benutzt, nachts ausschließlich Dateisynchronisation (eine Meinge von Dateien wird an jede der 10 Aussenstellen verschickt). Trotz scheinbar "dicker Leitung" wird uns aber die Nacht zu kurz.

CPU scheint der Engpass, scheinbar frisst der "IP transfer"-Prozess (oder so) viel Leistung.

Gerät hat 128 MB RAM, 41 MB noch frei während Dateisynchronisation mit zwei Aussenstellen. Betriebssystem ist 12.8.irgendwas

Meine Ideen bzw. Fragen:

- Bringt das Umstellen der VPN-Tunnel auf "Transport" statt Tunnel etwas?

- Bringt das Umstellen der VPN-Tunnel auf einen anderen Verschlüsselungsmodus etwas? (Z.B. MD5 statt SHA)

- Sonstige Ideen?

Ciao

[dgr243]

Poste mal bitte die Ausgabe eines Show run (passwörter rausnehmen)..

anbindung 10mbit kann alles mögliche sein. man weiss nicht was für ein tunnel usw. daher mal die komplette konfig.

sofern die gegenseiten auch cisco einsetzen mal eine beispielkonfig der gegenseite

[Crash2001]

Die CPU des 3640 hat ja "nur" 100MHz. Bei mehreren gleichzeitigen 3DES-VPN-Verbindungen kann der Prozessor da schon mal schnell an seine Grenzen gelangen. Ist es von eurem Netzwerkaufbau her evtl möglich, VPN-Verbindungen erst hinter dem Router terminieren zu lassen, so dass dieser nicht den Aufwand des Ver-/Entschlüsselns leisten muss, sondern die Pakete nur weiterleitet?

MD5 und SHA sind keine Verschlüsselungsmethoden, sondern verhindern die Veränderung von Paketen. Per Haswertüberprüfung werden die Pakete auf Integrität überprüft und veränderte Pakete werden verworfen.

Der Verschlüsselungsalgorithmus sollte entweder AES oder 3DES sein, wobei AES sicherer ist und bei gleich hoher "Verschlüsselungstiefe"(?) weniger Leistung benötigt. AES unterstützt die von dir verwendete IOS-Version jedoch anscheinend nicht. Also solltest du wohl den Router am besten auf eine andere IOS-Version updaten, die das unterstützt. Alternativ gibt es auch Module (z.B. AIM-VPN/HPII-PLUS zu einem Listenpreis von ca. 3000€ - aktuellen MArktpreis davon kenne ich nicht, aber das günstigste was ich so auf Anhieb gefunden habe, lag bie ca. 1600€), die die Verschlüsselung und Kompression hardwaremässig übernehmen und so die CPU entlasten.

Alternativ kann natürlich auch das der grosse Bruder des Cisco 3640 (der Cisco 3660) verwendet werden. (Gibt es bei ebay schon ab ca. 200€ gebraucht und alle Module können darin weiterbenutzt werden.) Der hat dann 225 MHz und bis zu 256 MB RAM und sollte einiges mehr verkraften.

[Thomas_W]

Alternativ gibt es auch Module (z.B. AIM-VPN/HPII-PLUS zu einem Listenpreis von ca. 3000€ - aktuellen MArktpreis davon kenne ich nicht, aber das günstigste was ich so auf Anhieb gefunden habe, lag bie ca. 1600€), die die Verschlüsselung und Kompression hardwaremässig übernehmen und so die CPU entlasten.

Wie kriege ich per Software raus, ob ich das hab?

Der Trend geht jetzt in Richtung "Neukauf", der 3640A ist wohl schon recht "alt". Der Dateiaustausch ist hier recht geschäftskritisch.

Die Anforderungen an den Router würde ich mal so formulieren:

- "nächtlicher Lastesel", d.h. zentral erstellte Dateien werden an mind. 10 fest verbundene Aussenstellen geschickt (z.B. ein Powerpoint17.pps an München und Hamburg und und und) - kleine und grosse Dateien - keine starke Verschüsselung erforderlich, da speziell abgetrennter Unternehmensbereich ohne Finanzbuchhaltungs oder Personalabteilungs-traffic (eher verkaufsorientiert)

- tagsüber wechselnde VPN-Beziehungen (mal 5 Wochen Energielieferant, daneben 3 Wochen Autohersteller, etc.) - hier ist Wartbarkeit(schnelles Einrichten) wichtig - mal Site-to-Site mal Client-to-Site.

- Tagsüber auch SAP und Host-traffic, d.h. interaktive Sitzungen mit SQL oder Mainframe-programmierern. QoS?

- tagsüber Websurf-traffic (Proxy in jeder Aussenstelle und in Zentrale)

- Managebarkeit: Was ist jetzt gerade auf den Leitungen los (Surf-traffic oder Mail oder Filereplication)

Wichtig ist die Verfügbarkeit, d.h. ISDN-Fallback für jede Aussenstelle mind. Einkanal-ISDN besser mehr. Theoretisch also maximal 20 ISDN-Kanäle.

Muss man die Module neukaufen oder kann man was mitnehmen?

Kosten darf das ganze natürlich am besten gar nix.:old

[Crash2001]

Wie kriege ich per Software raus, ob ich das hab?

Bei einem show version sollte da was von stehen, falls so was drin ist. Als was genau sich dieses Modul aber melden, weiss ich nicht. Hab bisher noch keine gesehen. Lohnt sich meiner Ansicht nach auch nicht wirklich, da das grössere Modell des Routers gebraucht günstiger zu haben sein sollte, als dieses Modul. Beim Cisco 3661 (1 Port FE) oder 3662 (2 Port FE) können die Module komplett weiterverwendet werden und sogar noch zwei dazugesteckt werden. Das teure daran könnte höchstens das IOS sein, falls das aktuell benutzte nicht für alle 3600er-Modelle, sondern nur bis 3640 ist.

Der Trend geht jetzt in Richtung "Neukauf", der 3640A ist wohl schon recht "alt". Der Dateiaustausch ist hier recht geschäftskritisch.[...]

Da würden wohl Modelle der 3700er oder 3800er Baureihe in Betracht kommen. Bei beiden Baureihen können die NM- und WIC-Module wohl weiterhin verwendet werden. Die kosten dann aber natürlich auch einiges mehr... Der 3845er kostet z.B. ca. 5000,- € in der Standardausführung.

[...]Wichtig ist die Verfügbarkeit, d.h. ISDN-Fallback für jede Aussenstelle mind. Einkanal-ISDN besser mehr. Theoretisch also maximal 20 ISDN-Kanäle.[...]

Sollen die alle gleichzeitig an dem Router reinkommen können? Falls ja, dann brauchst du ja mindestens 10 ISDN-Ports, sowie auch so viele Anschlüsse für die Einwahl.

[dgr243]

Für das ISDN würde sich dann ja kostentechnisch eher ein PMXer mit PRI interface rechnen .. spart ungemein viele slots

sofern vorhanden sollte das modul unter einem show inventory zu sehen sein