Выбор типа VPN

Обсуждение ПО и его настройки
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

imaoskol писал(а): 18 ноя 2020, 15:01 1) OSPF + IPSEC а если там ещё и AES256 то может запросто загрузить слабую железку..
Там 1-2кб/с на каждый лишний туннель.


Telegram: @thexvo
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

xvo писал(а): 18 ноя 2020, 15:55
imaoskol писал(а): 18 ноя 2020, 15:01 1) OSPF + IPSEC а если там ещё и AES256 то может запросто загрузить слабую железку..
Там 1-2кб/с на каждый лишний туннель.
ДА я не про пропускную способность. Я про процессор и память. Короче смысл в том что на это тоже надо обращать внимание.ipsec прожорлив, если несколько туннелей с активным трафиком то слабая железка может не вывозить...
У меня на rb2011 при трех туннелях с aes128 проц нагружен был капитально. Приходилось на mppe уходить...


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

imaoskol писал(а): 18 ноя 2020, 23:53 ДА я не про пропускную способность. Я про процессор и память. Короче смысл в том что на это тоже надо обращать внимание.ipsec прожорлив, если несколько туннелей с активным трафиком то слабая железка может не вывозить...
У меня на rb2011 при трех туннелях с aes128 проц нагружен был капитально. Приходилось на mppe уходить...
"Пустые" туннели никакой дополнительной нагрузки не дают.
IPsec прожорлив если через него качать трафик.
А количество трафика не изменится от того, будет он бегать через 1 туннель, 2 или 10.

Достаточно посмотреть на цифры официальных тестов: через много туннелей железка обычно может прокачать даже больше трафика, чем она может через один.

OSPF точно так же при таких масштабах даёт околонулевую нагрузку.
Несколько сотен маршрутов - это смешные цифры, даже если они будут достаточно часто перестраиваться (а в данном случае и не будут).

Так что тут вопрос только в одном: слабые узлы не должны качать через себя транзитный трафик при нормальной эксплуатации, только свой, а чужой исключительно в аварийных случаях.
А это решается установкой завышенных метрик на второстепенных туннелях.


Telegram: @thexvo
Ответить