Исходное сообщение
"Cisco фильрация https" Отправлено zanswer CCNA RS and S, 23-Авг-17 06:37
>> Как вы правильно заметили, Cisco это не про бесплатно, поэтому тот, кто >> купил ваш ISR 1921, просто далёк от решений этого класса. > Вы серьёзно? Вы вообще его юзали? Мы его тестили около 2 недель > по нагрузкой... > NAT(200 хостов) + NetFlow = CPU 100%, та же ситуация и с > VPN. > Так что там ещё, а OSPF так он и в 3750 есть... Вспомнил кстати отличный пример с troubleshoot сессии по ASR 1000, где инженер Cisco TAC рассказывал интересные особенности архитектуры обработки пакетов для IPSec туннелей. Так вот опуская все детали, остановлюсь на самом главном, производительность крипто операций. Условно один крипто акселатор может выполнять крипто операции над потоком до 80 Mbit/s (цифра условная), это при условии, что пакет будет соответствовать требованиям для обработки на interrupt level. Но, стоит нам добавить условие, что пакет фрагментирован, как наша производительность крипто акселератора падает сразу до 10 Mbit/s, вы спросите почему? Ответ, потому, что пакет будет обрабатываться на process level, обработка фрагментированных пакетов на interrupt level не возможна. И таких архитектурных примеров, как катастрофически снизить производительность аппаратного маршрутизатора, масса. Без знания архитектуры устройства, архитектуры его операционной системы, архитектуры обработки пакетов и того, какие функции и когда не могут быть акселерированы, использовать такие устройства может быть совершенно не возможно.