скорость при шифровании L2

Тема в разделе "Общий форум", создана пользователем svm, 2 сен 2022.

  1. svm

    svm Новый участник

    Здравствуйте.
    Прошу сильно не пинать, но навскидку данных на этом форуме не нашел.
    есть задача:
    необходимо подобрать модель микрота для шифрования L2 трафика, который проходит через чужие коммутаторы с гарантированной скоростью 1Gb/s.
    с одной стороны - ROS(там достаточно процессорной мощности), с другой микротик.
    варианты организации, которые я вижу:
    1. EoIP+IPsec туннель (IPsec дефолт с IPSec secret)
    2. Wireguard с EoIP поверх (этот быстрее первого, но bandwidth test UDP почему-то тест не проходит, хотя FW нету)
    3. L2TP-ethernet+IPSec (но про этот вариант информации совсем скудно. На вики не нашел, а сходу не завелось.
    Смотрю в сторону CCR1009, но не уверен :(
    Может кто здесь есть обладатель данного девайса, чтобы затестировать 1ый вариант?
    Сколько выдаст bandwidth test CCR1009 на туннеле EoIP+IPSec?
    На других форумах народ жаловался на маленькую производительность, но там была версия 6.2x ROS.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Могу еще подкинуть вариант с VxLAN, что должно по идее быть быстрее EOIP. IPSec придется сверху накрутить.
    Из моделей 1009 по идее должен потянуть, смотрите в документации IPSec test results. Так же 4011, 5009, 1100AHx4 и конечно CCR2004 по идее все это утянут.
    Со стороны x86 желательна поддержка AES-NI.
    Далее. Из ваших вариантов я бы выбирал между EoIP и VxLAN. Все остальное - двойная и тройная инкапсуляция.
     
  3. svm

    svm Новый участник

    Спасибо за ответ, Илья.
    Вдогонку вопрос: а есть ли у Вас возможность протестировать CCR1009 на ROS7 на предмет скорости обработки EoIP+IPsec? Хотя бы синтетические тесты - tools/speed test или bandwidth test.
    Потому как разница в цене между CCR1009 и CCR2004 достаточно существенна (особенно сейчас). Да и найти для тестов CCR1009 на ROS7 оказалось непросто. :(
    К тому же, у CCR1009 - 9 ядер, и, если я не ошибаюсь, то несколько туннелей EoIP+IPsec, объединенные в bonding, теоретически могут выдать большую скорость?
    Или MikroTik в ROS7 уже "допилили" распараллеливание при шифровании?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Доброго дня,
    На данный момент возможности нету, но еще в 2017 году мы на MUM в СПб показывали как работает EoIP+IPsec на CCR1036.
    На тот момент проходило 8Гбит туннельного трафика между роутерами. Сами 10GE интерфейсы были загружены полностью. Загрузка CPU была около 40%.
    IPSec прекрасно "разлетается" по ядрам уже давно. )