CLOUD CORE ROUTER (CCR1036)

[microMind555]

Ahoj vespolek,

mám dotaz ohledně CCR1036 a šifrování. Momentálně používáme L3 switche pro propojení lokalit ve městě přes pronajatou optiku. Vzhledem k určitým okolnostem potřebujeme nyní zavést šifrování propojů a podle specifikací by tenhle mikrotik měl mít hw podporu šifrování. Takže dokáže tenhle CCR1036 utáhnout plně šifrovanej gigabit? Má představa je taková, že přes ipsec(nebo něco jiného?) procpu stávající komunikaci včetně vlanů, drobného routovaní a pár qosů. Žádný shaping apod. neplánuji. A samozřejmě potřebuji max. dostupnost bez výpadků, takže mě zajímá i stabilita tohoto řešení vzhledem k výše uvedenému.

[microMind555]

vic jak 100 lidí navštívilo toto vlákno od napsání mého příspěvku...to opravdu tady nikdo nemá zkušenost s šifrováním pod mikrotikama?

[Radek Úlehla]

100 lidí z toho tu byl 80krát bot
S šifrováním má zkušenost kde kdo, ale táhnout plný gigabit nad IPsecem je docela masakr, neumím si to dost dobře představit jak by to jelo a pochybuji, že to někdo zkoušel a zkusí. Není lepší si vyjasnit vztahy s operátorem, který Ti dává okruh nebo ho vyřešit jinou cestou než se obávat o data?

[ludvik]

The Tilera CPU supports IPsec acceleration, as was stated above by otgooneo. Intial RouterOS software release will not support it, but we are actively working to add software support in upcoming RouterOS versions (it is definitely coming!)

Je to z loňského listopadu.

[microMind555]

díky za reakce...já čtu na http://wiki.mikrotik.com/wiki/Manual:IP/IPsec :::...

Hardware encryption

Hardware encryption allows to do faster encryption process by using built-in encryption engine inside CPU. AES is the only algorithm that will be accelerated in hardware.

List of RouterBoards with enabled hardware support:
RB1000
RB1100AHx2

For comparison RB1000 with enabled HW support can forward up to 550Mbps encrypted traffic. When HW support is disabled it can forward only 150Mbps encrypted traffic in AES-128 mode.

...With all above recommendations it is possible to forward 820Mbps (1470byte packets two streams).

With enabled connection tracking 700Mbps (1470 byte packets two streams).



A v reklamnim pdf na 1036 se píše ... High speed encryption engine.
Nerozumím initial verzi...už snad vydali hafo subverzí pro 6tkovou řadu...znamená to, že pokud si teď koupim CCR1036 a nainstaluji tam poslední verzi 6tky, tak pořád nebudu mít hw support pro aes na tomto boardu?

[net.work]

myslim ze ne... to by se tim patricne pochlubili v changelogu a pokud si vzpominam tak tam nic moc o hw podpore sifrovani nebylo

[hapi]

zajímavý, poslední info co jsem viděl o RB1000 bylo že zakazujou HW kryptování kvůli nestabilitě...

[Majklik]

Ten CPU v CCR HW šifrování podporuje, ale není na to podpora v ROS v této chvíli. Mají to na vzdáleném TODO listu.
K tomu RB1100AHx2. Pozor, to krásné číslo platí pro dva IPsec tunely dohromady, každé jádro dá cca 350 Mbps, když jsem to zkoušel.
RB1000 je zakázaná HW podpora v některých sériích (v těch prvních něoc zprznili, v další je to poopraveno změnou tišťáku). Stejně tak první verze RB1100AH měly HW IPsec, ale v dalších ji zrušili (imho marketinkgovy trik pro podporu prodeje AHx2, tvrdí, že tam dávají jiný typ CPU, než v té první sérii).

[microMind555]

Ten CPU v CCR HW šifrování podporuje, ale není na to podpora v ROS v této chvíli. Mají to na vzdáleném TODO listu.
K tomu RB1100AHx2. Pozor, to krásné číslo platí pro dva IPsec tunely dohromady, každé jádro dá cca 350 Mbps, když jsem to zkoušel.
RB1000 je zakázaná HW podpora v některých sériích (v těch prvních něoc zprznili, v další je to poopraveno změnou tišťáku). Stejně tak první verze RB1100AH měly HW IPsec, ale v dalších ji zrušili (imho marketinkgovy trik pro podporu prodeje AHx2, tvrdí, že tam dávají jiný typ CPU, než v té první sérii).

mno sláva...konečně nějaké přesnější info..dík. Takže mikrotik momentálně noway...btw jak moc vzdálený je ten todo list?
Když už jsem tady tu diskuzi načal...může mi někdo doporučit nějaké řešení co zvládne plně šifrovanej 1Gb/s? Chci se vyhnout implementaci s klasickým 1U serverem(nebo dekstopem), což je dost práce na víc s OS, HW serveru a pak celkovou správou...nemluvě o spotřebě, nutnosti klimačky atd.
Mojí vysněnou představou je krabička jak třebas tady ten mikrotik s pár sfp a ether porty a hw podporou šifrování. Návrhy?

[net.work]

chtel jsem ti navrhnout nejake pekne 1U supermicro s xeonem a na tom mikrotik, ale kdyz nechces ...

[honzam]

Zas tak vzdálené to není (IPSEC for CCR) možná rc13 nebo další. Vzhledem že to vydávají jakou houby po dešti tak to může být relativně brzo.

Some new CCR optimisations that are in the next release are:
- Made Simple Queue setups very fast
- TX packet loss issue fixed
- PPP setups speed increase (this would address your PPPoE issue)
- Firewall speed increase
- IPsec acceleration support is coming too

[duro28]

Ma to uz niekto nasadene ako hlavnu branu (nat, firewal, shaping, dhcp...) Chcel by som to nasadit pre cca 200ludi trafic cca do 50-80Mbit? Bude stacit model 1016?

[hafieror]

Tak jsem to v pátek risknul a nasadil jsem to místo jednoho páteřního routeru. Konkrétně tento dělá simple ques pro zhruba 1300 lidí, ospf, dhcp server pro nějaký vlany. Abych to nějak zadřel tak jsem všem uživatelům nastavil 70Mbit linky, ale nějak si toho neváží a nestahují. Co mě hodně vadí, že občas nějaké jádro vyletí na 100 procent. Dál jsem si všimnul, že verze 6 zřejmě neumí v /tools profile zobrazit vytížení jednotlivých jader a toho co je vytěžuje jako tomu je u v5.

Hodinový přehled

[hapi]

umí, cpu: all... ne total

to jádro na max může dělat snmp, má menší prio, nemělo by to vadit, pokud to je snmp.

[hafieror]

snmp bere data každých 30 vteřin, tak to by se asi objevilo častěji.