Salve a tutti!
Devo "alleggerire" un po' una vpn site to site tra due Cisco 837, attualmente configurata con la classica "ipsec-3des-md5".
Mi serve perche' devo inserire in rete dei telefoni ip che potrebbero patire un po' l'eccesso di overhead generato da quel tipo di tunnel vpn (cosi' mi ha detto quello che mi vendera' i telefoni ip).
Pensavo, quindi, di cambiare radicalmente il tipo di vpn per trasformarla in una PPTP che, credo, sia quella piu' "light" disponibile. Che ne pensate ? Si puo' fare ?
Se si, potete indicarmi qualche esempio di configurazione pptp site-to-site ?
In alternativa, potrei modificare la configurazione attuale ? Se si, come ?
Grazie a tutti per l'aiuto
"Alleggerire" la vpn: pptp o ... cosa??
Moderatore: Federico.Lagni
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
IPSEC:
20 octets for the IP tunnel header.
4 for the SPI
4 for the sequence number
8 for the IV (DES/3DES are the same; 64-bit IV)
some amount of padding, which may be between 0 and 7 octets
1 octet for pad length
1 octet for next header
16 octets for the ICV (hash) (HMAC-SHA1-96 or HMAC-MD5-96 are the same)
....IPSEC aggiunge tra i 54 e i 61 byte per un tunnel ESP+3DES+SHA .
Non sara' quello il tuo problema.
Dovrai lavorare su QOS e MTU per ottenere qualcosa di buono.
P.S. MAI e dico MAI stare a sentire i commerciali....quando iniziano a parlare di qualcosa all'infuori di prezzi,mandarli a cagare o,se si vuole essere educati,tapparsi platealmente le orecchie.....
20 octets for the IP tunnel header.
4 for the SPI
4 for the sequence number
8 for the IV (DES/3DES are the same; 64-bit IV)
some amount of padding, which may be between 0 and 7 octets
1 octet for pad length
1 octet for next header
16 octets for the ICV (hash) (HMAC-SHA1-96 or HMAC-MD5-96 are the same)
....IPSEC aggiunge tra i 54 e i 61 byte per un tunnel ESP+3DES+SHA .
Non sara' quello il tuo problema.
Dovrai lavorare su QOS e MTU per ottenere qualcosa di buono.
P.S. MAI e dico MAI stare a sentire i commerciali....quando iniziano a parlare di qualcosa all'infuori di prezzi,mandarli a cagare o,se si vuole essere educati,tapparsi platealmente le orecchie.....
-
spider21
- Cisco fan
- Messaggi: 46
- Iscritto il: mar 08 mag , 2007 6:24 pm
Ok... ma con l'837 mi sembra che il QoS non esista. Sull' MTU, invece si puo' intervenire.zot ha scritto:IPSEC aggiunge tra i 50 e i 57 byte per un tunnel ESP+3DES+SHA .
Non sara' quello il tuo problema.
Dovrai lavorare su QOS e MTU per ottenere qualcosa di buono.
Cosa dovrei fare ? Ridurre i pacchetti ? Se si, di quanto ?
Concordo con te sull'opinione dei commerciali pero', e' errato dire che l'encryption "appesantisce" anche in termini di latenze ?P.S. MAI e dico MAI stare a sentire i commerciali....quando iniziano a parlare di qualcosa all'infuori di prezzi,mandarli a cagare o,se si vuole essere educati,tapparsi platealmente le orecchie.....
In fondo, gli stream audio sono basati su udp che non ha controllo di flusso ne di errore.
Eventualmente, si potrebbe applicare una cifratura piu' "light" ?
A prescindere da quello, mi interesserebbe sapere se si puo' realizzare una PPTP site to site con i Cisco
Grazie per l'aiuto
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Che mi risulti,l'837 puo' fare QOS.
Non penso che si possa fare pptp L2L coi Cisco.
La latenza degli incapsulamenti necessari ad IPSEC e' presente ma ritengo che possa essere trascurata mettendola a confronto con altri parametri quali banda disponibile e/o traffico sul router.
Esempio :
Decido di configurare i router senza nessun tunnel,diretto da un IP pubblico all'altro......Telefono,parlo,parlo,ascolto.Un mio collega scarica la posta,non sento piu' un fico secco e parlo al nulla...a sto punto a che e' servito eliminare la "latenza" dell 'IPSEC?
P.S non ho niente contro i commerciali...fanno il loro lavoro....ma se si mettono a fare i tecnici o gli ingegneri....
Non penso che si possa fare pptp L2L coi Cisco.
La latenza degli incapsulamenti necessari ad IPSEC e' presente ma ritengo che possa essere trascurata mettendola a confronto con altri parametri quali banda disponibile e/o traffico sul router.
Esempio :
Decido di configurare i router senza nessun tunnel,diretto da un IP pubblico all'altro......Telefono,parlo,parlo,ascolto.Un mio collega scarica la posta,non sento piu' un fico secco e parlo al nulla...a sto punto a che e' servito eliminare la "latenza" dell 'IPSEC?
P.S non ho niente contro i commerciali...fanno il loro lavoro....ma se si mettono a fare i tecnici o gli ingegneri....
-
fddi
- n00b
- Messaggi: 22
- Iscritto il: dom 11 apr , 2010 10:24 pm
un overhead di 61 byte e' sostanzialmente ininfluente non ti aumenta la latenza in modo sensibile (aumenta meno del 10%)
Piu' che altro devi stare attento sulla banda disponibile. in ogni modo per i collegamenti voip (intendo come voip SIPv2)
se la latenza rimane entro 150ms la qualita' e' buona, oltre i 150ms incominci a notare una leggera caduta di performance (ritardi e qualita' scadente) oltre i 300ms diventa inutilizzabile.
fai un check con ping e vedi subito i tempi di latenza se sono compatibili con l'architettura VOIP che vuoi realizzare.
Piu' che altro devi stare attento sulla banda disponibile. in ogni modo per i collegamenti voip (intendo come voip SIPv2)
se la latenza rimane entro 150ms la qualita' e' buona, oltre i 150ms incominci a notare una leggera caduta di performance (ritardi e qualita' scadente) oltre i 300ms diventa inutilizzabile.
fai un check con ping e vedi subito i tempi di latenza se sono compatibili con l'architettura VOIP che vuoi realizzare.
