Моделирование и расчет нагрузочных характеристик аппаратных модулей шифрования для платформы 2600XM19 октября 2004 г.C целью определения соответствия реальной и заявленной производителем производительности модулей аппаратного шифрования были произведены лабораторные испытания. В лаборатории использовалась следующая схема:  В качестве платформы для испытания производительности IPSec был использован модульный маршрутизатор Cisco 2650XM c IOS 12.3(8)T3 Advanced Security, оснащенный модулем аппаратного ускорителя шифрования AIM-VPN-BP. Для инициирования большого количества IPSec туннелей с заведомо большей пропускной способностью по шифрованию использовался межсетевой экран PIX-515, дооборудованный модулем аппаратного шифрования VAC+. Такая схема необходима для обеспечения полной уверенности в том, что "узким местом" в прохождении IPSec трафика является именно AIM-VPN-BP. Также на 2651XM и на PIX были отключены любые дополнительные security-механизмы (floodguard, ACL), способные повлиять отрицательно на производительность. Для обеспечения уверенной работы виртуального терминала (telnet) при большой нагрузке на 2650XM использовалась команда scheduler allocate 10000 1000, гарантирующая выделение определенного количества процессорного времени background-процессам. В качестве PC использовались достаточно мощные компьютеры (1.8GHz/512RAM - сервер, 1GHz/256RAM - клиент), оснащенные сетевыми картами Intel PRO/100. С помощью ПО Intel ProSet эмулировалось необходимое количество виртуальных адаптеров VLAN 802.1q. На адаптерах были установлены настройки, обеспечивающие максимальную производительность, в частности, был отключен контроль потока. Использовалась ОС Windows 2000 SP4 Professional и на сервере, и на клиенте. Clear-text производительность В начале эксперимента были произведены замеры "чистой" производительности обмена между клиентским и серверным PC. Через собранную схему при отключенном шифровании (то есть, IPSec туннели не устанавливались, прохождение clear-text пакетов через сеть Интернет имитировалось статической IP-маршрутизацией ). Проверялись FTP и NetBIOS over-TCP соединения между клиентом и сервером, в результате чего было установлено, что NetBIOS трафик более интенсивно нагружает имитируемую сетевую инфраструктуру (возможно, это особенность реализации ПО FTP-сервера или FTP-клиента), в итоге, было принято решение в дальнейшем использовать только NetBIOS-трафик для анализа нагрузочных характеристик. Результаты clear-text тестирования приведены ниже.
2650xm#sh int fa0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 000f.2411.ae00 (bia 000f.2411.ae00)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 94/255, rxload 94/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/87/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 36962000 bits/sec, 4807 packets/sec
30 second output rate 36892000 bits/sec, 4807 packets/sec
19455900 packets input, 1442369717 bytes
Received 16868 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
19402460 packets output, 1315996256 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
62 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
2650xm#sh proc cpu hist
2650xm 12:15:06 AM Sunday Mar 3 2002 UTC
9999999999999999999999999999999999999999999999999999999999
4333332222244444333333333322222333333333344444333333333333
100
90 ************************************************************
80 ************************************************************
70 ************************************************************
60 ************************************************************
50 ************************************************************
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
2650xm#sh proc cpu sort
CPU utilization for five seconds: 93%/90%; one minute: 83%; five minutes: 72%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
169 1130698 41642916 27 1.43% 0.83% 0.35% 0 SAA Event Proces
6 254988 22961 11105 0.87% 0.11% 0.06% 0 Check heaps
28 45973 172853 265 0.15% 0.02% 0.00% 0 Per-Second Jobs
2 14874 32863 452 0.07% 0.00% 0.00% 0 Load Meter
131 175530 4639 37837 0.07% 0.51% 0.27% 67 Virtual Exec
174 170543 1625974 104 0.07% 0.08% 0.03% 0 fastblk backgrou
171 6969 172368 40 0.07% 0.00% 0.00% 0 trunk conditioni
7 3071 50 61420 0.00% 0.00% 0.00% 0 Pool Manager
8 0 1 0 0.00% 0.00% 0.00% 0 AAA_SERVER_DEADT
9 0 2 0 0.00% 0.00% 0.00% 0 Timers
Таким образом, максимальная пропускная способность стенда без применения шифрования составила около 37 Mbps, 4.8 Кpps для типичного NetBIOS-трафика (скачивания большого файла по сети Microsoft Windows). При этом загрузка CPU составила около 93%, однако 90% этого времени было использовано обработчиками прерываний, что вполне нормально для архитектуры 2600XM при указанной высокой нагрузке. Все background-процессы, судя по выводу sh proc cpu sort, не занимали сколько-нибудь существенной доли общего процессорного времени. Производительность с 1 IPSec tunnel, software crypto В данном эксперименте модуль AIM-VPN-BP был запрещен командой no crypto engine accelerator, чтобы оценить реальную пропускную способность 2650XM в случае чисто программного шифрования (PIX продолжает использовать аппаратное шифрование). Имитировался 1 IPSec 3DES туннель. Результаты приведены ниже.
2650xm#sh int fa0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 000f.2411.ae00 (bia 000f.2411.ae00)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 4/255, rxload 4/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 20/75/74/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 1858000 bits/sec, 241 packets/sec
30 second output rate 1893000 bits/sec, 241 packets/sec
18798688 packets input, 810392325 bytes
Received 16776 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
18745316 packets output, 684233204 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
62 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
2650xm#sh proc cpu hist
2650xm 12:07:26 AM Sunday Mar 3 2002 UTC
9999999999999999999999999999999999999999999999999999999999
9999999999999999999999999999999999999999999999999999999999
100 ************************************************************
90 ************************************************************
80 ************************************************************
70 ************************************************************
60 ************************************************************
50 ************************************************************
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
2650xm#sh proc cpu sort
CPU utilization for five seconds: 99%/13%; one minute: 96%; five minutes: 51%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
157 362316 5275 68685 85.88% 83.02% 42.06% 0 Encrypt Proc
174 169746 1622638 104 0.15% 0.04% 0.01% 0 fastblk backgrou
181 889 6002 148 0.07% 0.00% 0.00% 0 CEF Scanner
169 1123499 41607086 27 0.07% 0.13% 0.09% 0 SAA Event Proces
28 45485 172360 263 0.07% 0.03% 0.00% 0 Per-Second Jobs
69 61307 674426 90 0.07% 0.01% 0.00% 0 SSS Feature Time
6 252754 22846 11063 0.00% 0.05% 0.05% 0 Check heaps
5 0 1 0 0.00% 0.00% 0.00% 0 EDDRI_MAIN
4 20 165 121 0.00% 0.00% 0.00% 0 CRYPTO IKMP IPC
7 3067 48 63895 0.00% 0.00% 0.00% 0 Pool Manager
Таким образом, производительность по сравнению с clear-text режимом упала почти в 20 раз. Загрузка процессора полная, при этом всего 13% процессорного времени тратится на прерывания, а в сортированном списке наиболее активных процессов Encrypt-процесс занимает до 86% времени. Производительность с 1 IPSec tunnel, hardware crypto
В последующих экспериментах аппаратный модуль AIM-VPN-BP включен:
2650xm#sh cry eng br
crypto engine name: Virtual Private Network (VPN) Module
crypto engine type: hardware
Product Name: AIM-VPN/BP
Configuration: 0x000109010F00F00784000000
: 0x4C118086FA1175E4BC6E6778
: 0xA5721EE1B3638EDB0A000300
: 0x000000000000000000000000
CryptIC Version: 001.000
CGX Version: 001.009
CGX Reserved: 0x000F
PCDB info: 0x07F0 0x0084 0x0000
Serial Number: 0x114C868011FAE4756EBC
: 0x786772A5E11E63B3DB8E
DSP firmware version: 000.010
DSP Bootstrap Version: 000.003
DSP Bootstrap Info: 0x0000
Compression: Yes
DES: Yes
3 DES: Yes
AES CBC: No
AES CNTR: No
Maximum buffer length: 4096
Maximum DH index: 0210
Maximum SA index: 0420
Maximum Flow index: 0840
Maximum RSA key size: 0000
crypto engine in slot: 0
Прочие условия эксперимента аналогичны предыдущему. Ниже приведены полученные результаты.
2650xm#sh cry eng conn ac
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Fa0/0.300 80.80.80.2 set HMAC_MD5+3DES_56_C 0 0
420 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 210555
421 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 407746 0
2650xm#sh cry eng conn dropped-packet
No dropped packets.
2650xm#sh cry eng acc st
Virtual Private Network (VPN) Module in aim slot : 0 pak waiting for hi pri tx ring:
0x84531A68
Statistics for Hardware VPN Module since the last clear
of counters 853 seconds ago
608642 packets in 608619 packets out
0 packet overruns 0 output packets dropped
0 packets decompressed 0 packets compressed
0 compressed bytes in 0 uncompressed bytes in
0 decompressed bytes out 0 compressed bytes out
0 packets bypass compression 0 packets abort compression
0 packets fail decompression 0 packets fail compression
207292 packets decrypted 401432 packets encrypted
10651304 bytes decrypted 10651304 bytes encrypted
18113816 bytes before decrypt 2941579033 bytes after encrypt
713 paks/sec in 713 paks/sec out
169 Kbits/sec decrypted 27585 Kbits/sec encrypted
Last 5 minutes:
386126 packets in 386126 packets out
131474 packets decrypted 254652 packets encrypted
6751904 bytes decrypted 358063716 bytes encrypted
11484968 bytes before decrypt 367231188 bytes after encrypt
1287 paks/sec in 1287 paks/sec out
306 Kbits/sec decrypted 9792 Kbits/sec encrypted
rx_no_endp: 0 rx_hi_discards: 0 fw_failure: 0
invalid_sa: 0 invalid_flow: 0 cgx_errors 0
fw_qs_filled: 0 fw_resource_lock: 0 lotx_full_err: 0
null_ip_error: 0 pad_size_error: 0 out_bound_dh_acc: 0
esp_auth_fail: 0 ah_auth_failure: 0 crypto_pad_error: 0
ah_prot_absent: 0 ah_seq_failure: 0 ah_spi_failure: 0
esp_prot_absent: 0 esp_seq_fail: 0 esp_spi_failure: 0
obound_sa_acc: 0 invalid_sa: 0 out_bound_sa_flow: 0
invalid_dh: 0 bad_keygroup: 0 out_of_memory: 0
no_sh_secret: 0 no_skeys: 0 invalid_cmd: 0
dsp_coproc_err: 0 comp_unsupported: 0 pak_too_big: 0
null packets: 0
pak_mp_length_spec_fault: 0 cmd queue errors: 0
tx_lo_queue_size_max 0 cmd_unimplemented: 0
Interrupts: 323003 Immed: 0 HiPri ints: 322769
LoPri ints: 234 POST Errs: 0 Alerts: 0
Unk Cmds: 0 UnexpCmds: 0
cgx_cmd_pending:0 packet_loop_max: 0packet_loop_limit: 0
2650xm#sh int fa0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 000f.2411.ae00 (bia 000f.2411.ae00)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 25/255, rxload 24/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 1/75/74/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 9693000 bits/sec, 1244 packets/sec
30 second output rate 9814000 bits/sec, 1243 packets/sec
18569754 packets input, 588696991 bytes
Received 16604 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
18516636 packets output, 459405481 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
62 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
2650xm#sh proc cpu hist
2650xm 11:48:40 PM Saturday Mar 2 2002 UTC
9999999999999999999999999999999999999999999999999999999999
7777777777777777776666677777777777777666666666666666666667
100 ************************************************************
90 ************************************************************
80 ************************************************************
70 ************************************************************
60 ************************************************************
50 ************************************************************
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
2650xm#sh proc cpu sort
CPU utilization for five seconds: 96%/95%; one minute: 97%; five minutes: 75%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
169 1115288 41407167 26 0.87% 0.96% 0.78% 0 SAA Event Proces
174 169170 1613601 104 0.23% 0.17% 0.13% 0 fastblk backgrou
69 60835 670398 90 0.07% 0.05% 0.02% 0 SSS Feature Time
62 39949 21966 1818 0.07% 0.06% 0.02% 0 IP Input
28 45085 171355 263 0.07% 0.06% 0.03% 0 Per-Second Jobs
131 165128 3391 48695 0.07% 0.42% 0.12% 67 Virtual Exec
108 147566 1610442 91 0.07% 0.14% 0.13% 0 RBSCP Background
7 3067 48 63895 0.00% 0.00% 0.00% 0 Pool Manager
6 250506 22692 11039 0.00% 0.15% 0.11% 0 Check heaps
5 0 1 0 0.00% 0.00% 0.00% 0 EDDRI_MAIN
4 20 147 136 0.00% 0.00% 0.00% 0 CRYPTO IKMP IPC
Таким образом, наблюдаемая производительность около 10Mbps, при загрузке процессора около 96%, причем в основном за счет прерываний (95%). Ни один из процессов, как и в clear-text эксперименте, не занимает существенного времени. Для обеспечения уверенности в том, что узким местом в данном опыте действительно является 2650XM/AIM-VPN-BP, параллельно на PIX давалась команда: lab-pix# sh cpu us CPU utilization for 5 seconds = 15%; 1 minute: 15%; 5 minutes: 14% Данный результат показывает, что PIX загружен незначительно и не является ограничивающим фактором для эксперимента. Производительность с 10 IPSec tunnel, hardware crypto В данном эксперименте аппаратный модуль включен, для анализа возможностей по масштабируемости используется следующий подход: одновременно открыто 10 IPSec 3DES туннелей, и процесс закачки (в разные стороны - на прием и на передачу) одного и того же файла запущен с клиентской машины одновременно для 10 разных адресов виртуальных сетевых адаптеров:
Хотя при таком подходе трудно обеспечить точность испытаний (неодновременный запуск процессов закачки, разные и неуправляемые приоритеты процессов в Windows), тем не менее, он дает возможность оценить масштабируемость схемы в плане равномерности распределения общей нагрузки на отдельные клиентские сессии, а также убедиться в том, что суммарная производительность остается на том же уровне, что и при реализации единственного туннеля. Результаты приведены ниже:
2650xm#sh cry eng conn active
ID Interface IP-Address State Algorithm Encrypt Decrypt
1 Fa0/0.300 80.80.80.2 set HMAC_MD5+3DES_56_C 0 0
420 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 83748
421 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 155195 0
422 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 155450
423 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 85134 0
424 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 84094
425 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 155245 0
426 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 155339
427 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 85136 0
428 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 84049
429 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 155158 0
430 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 155283
431 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 84632 0
432 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 155346
433 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 84694 0
434 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 155293
435 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 84836 0
436 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 83878
437 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 155217 0
438 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 0 155349
439 Fa0/0.300 80.80.80.2 set 3DES_56_CBC 84965 0
2650xm#sh cry eng conn drop
No dropped packets.
2650xm#sh cry eng accelerator st
Virtual Private Network (VPN) Module in aim slot : 0 pak waiting for hi pri tx ring:
0x845346D0
Statistics for Hardware VPN Module since the last clear
of counters 1047 seconds ago
1211933 packets in 1191744 packets out
0 packet overruns 20136 output packets dropped
0 packets decompressed 0 packets compressed
0 compressed bytes in 0 uncompressed bytes in
0 decompressed bytes out 0 compressed bytes out
0 packets bypass compression 0 packets abort compression
0 packets fail decompression 0 packets fail compression
597806 packets decrypted 594082 packets encrypted
566187000 bytes decrypted 566187000 bytes encrypted
587719696 bytes before decrypt 1748309102 bytes after encrypt
1157 paks/sec in 1138 paks/sec out
4488 Kbits/sec decrypted 13353 Kbits/sec encrypted
Last 5 minutes:
394395 packets in 387375 packets out
197264 packets decrypted 190111 packets encrypted
192926384 bytes decrypted 165893084 bytes encrypted
200027888 bytes before decrypt 172737080 bytes after encrypt
1314 paks/sec in 1291 paks/sec out
5334 Kbits/sec decrypted 4606 Kbits/sec encrypted
rx_no_endp: 0 rx_hi_discards: 0 fw_failure: 0
invalid_sa: 0 invalid_flow: 0 cgx_errors 0
fw_qs_filled: 0 fw_resource_lock: 0 lotx_full_err: 0
null_ip_error: 0 pad_size_error: 0 out_bound_dh_acc: 0
esp_auth_fail: 0 ah_auth_failure: 0 crypto_pad_error: 0
ah_prot_absent: 0 ah_seq_failure: 0 ah_spi_failure: 0
esp_prot_absent: 0 esp_seq_fail: 0 esp_spi_failure: 0
obound_sa_acc: 0 invalid_sa: 0 out_bound_sa_flow: 0
invalid_dh: 0 bad_keygroup: 0 out_of_memory: 0
no_sh_secret: 0 no_skeys: 0 invalid_cmd: 0
dsp_coproc_err: 0 comp_unsupported: 0 pak_too_big: 0
null packets: 0
pak_mp_length_spec_fault: 0 cmd queue errors: 0
tx_lo_queue_size_max 0 cmd_unimplemented: 0
Interrupts: 512727 Immed: 0 HiPri ints: 512727
LoPri ints: 0 POST Errs: 0 Alerts: 0
Unk Cmds: 0 UnexpCmds: 0
cgx_cmd_pending:0 packet_loop_max: 0packet_loop_limit: 0
2650xm#sh int fa0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 000f.2411.ae00 (bia 000f.2411.ae00)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 24/255, rxload 25/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 1/75/74/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
30 second input rate 9945000 bits/sec, 1281 packets/sec
30 second output rate 9652000 bits/sec, 1253 packets/sec
16400632 packets input, 2769369022 bytes
Received 8551 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
16360540 packets output, 2659743375 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
62 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
2650xm 08:56:30 AM Saturday Mar 2 2002 UTC
9999999999999999999999999999999999999999999999999999999999
7777666667777777777777776666677777777778888877777888888888
100 ************************************************************
90 ************************************************************
80 ************************************************************
70 ************************************************************
60 ************************************************************
50 ************************************************************
40 ************************************************************
30 ************************************************************
20 ************************************************************
10 ************************************************************
0....5....1....1....2....2....3....3....4....4....5....5....
0 5 0 5 0 5 0 5 0 5
CPU% per second (last 60 seconds)
2650xm#sh proc cpu sort
CPU utilization for five seconds: 97%/95%; one minute: 97%; five minutes: 95%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
169 900352 28418197 31 0.79% 1.03% 1.03% 0 SAA Event Proces
174 152289 1081202 140 0.23% 0.10% 0.11% 0 fastblk backgrou
108 132254 1078333 122 0.23% 0.14% 0.13% 0 RBSCP Background
62 27821 12710 2188 0.15% 0.03% 0.03% 0 IP Input
115 37184 187723 198 0.07% 0.06% 0.06% 0 CEF process
69 52819 461343 114 0.07% 0.02% 0.01% 0 SSS Feature Time
131 65843 1839 35803 0.07% 0.06% 0.10% 67 Virtual Exec
7 3018 41 73609 0.00% 0.00% 0.00% 0 Pool Manager
8 0 1 0 0.00% 0.00% 0.00% 0 AAA_SERVER_DEADT
5 0 1 0 0.00% 0.00% 0.00% 0 EDDRI_MAIN
4 12 129 93 0.00% 0.00% 0.00% 0 CRYPTO IKMP IPC
Данные свидетельствуют о справедливости наших предположений о хорошей масштабируемости данного VPN-решения. Загрузка CPU и суммарная IPSec-производительность остались практически на прежнем уровне независимо от количества туннелей, при этом загрузка файлов шла параллельно и завершилась примерно в одно и то же время. Анализ низкоуровневой реализации Чтобы убедиться в том, что реализация криптования с участием аппаратного модуля не приводит к process-switching на 2650XM, используем следующие команды:
2650xm#sh int fa0/0 stats
FastEthernet0/0
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 15622 1531219 21188 3453923
Route cache 16735885 3108398644 16684136 2988111344
Total 16751507 3109929863 16705324 2991565267
2650xm#sh int fa0/0 switching
FastEthernet0/0
Throttle count 0
Drops RP 74 SP 0
SPD Flushes Fast 0 SSE 0
SPD Aggress Fast 0
SPD Priority Inputs 1809 Drops 60
Protocol IP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 11708 1072016 6919 1890224
Cache misses 0 - - -
Fast 16774960 3146429439 16722669 3025267704
Auton/SSE 0 0 0 0
Как видно из данного вывода, практически все пакеты являются Fast-Switched, что говорит о корректной реализации низкоуровневого взаимодействия модуля шифрования с платформой 2600XM в целом. Выводы Приведенные экспериментальные данные показывают, что заявленная производителем функциональность и производительность по шифрованию модуля AIM-VPN-BP (10 Mbps / 3DES) полностью согласуются с полученными результатами. Проведенные дополнительно анализы масштабируемости и эффективности низкоуровневой аппаратной реализации модуля доказывают практическую применимость платформы 2600XM/AIM-VPN в качестве основного терминирующего устройства IPSec-трафика модуля Enterprise Edge малых и средних предприятий с количеством удаленных филиалов около нескольких десятков и суммарной пропускной способностью соединений с Интернет около 10 Mpbs. |
© 1996 — 2025 «CompTek». Все права защищены.
БЦ Комсити, корпус B1, этаж 4
Наши телефоны: +7 (495) 789-65-65
E-mail: sales@comptek.ru
БЦ Комсити, корпус B1, этаж 4
Наши телефоны: +7 (495) 789-65-65
E-mail: sales@comptek.ru