Pagina 1 di 1
"Alleggerire" la vpn: pptp o ... cosa??
Inviato: lun 21 mar , 2011 1:29 pm
da spider21
Salve a tutti!
Devo "alleggerire" un po' una vpn site to site tra due Cisco 837, attualmente configurata con la classica "ipsec-3des-md5".
Mi serve perche' devo inserire in rete dei telefoni ip che potrebbero patire un po' l'eccesso di overhead generato da quel tipo di tunnel vpn (cosi' mi ha detto quello che mi vendera' i telefoni ip).
Pensavo, quindi, di cambiare radicalmente il tipo di vpn per trasformarla in una PPTP che, credo, sia quella piu' "light" disponibile. Che ne pensate ? Si puo' fare ?
Se si, potete indicarmi qualche esempio di configurazione pptp site-to-site ?
In alternativa, potrei modificare la configurazione attuale ? Se si, come ?
Grazie a tutti per l'aiuto
Re: "Alleggerire" la vpn: pptp o ... cosa??
Inviato: mar 22 mar , 2011 10:26 am
da zot
IPSEC:
20 octets for the IP tunnel header.
4 for the SPI
4 for the sequence number
8 for the IV (DES/3DES are the same; 64-bit IV)
some amount of padding, which may be between 0 and 7 octets
1 octet for pad length
1 octet for next header
16 octets for the ICV (hash) (HMAC-SHA1-96 or HMAC-MD5-96 are the same)
....IPSEC aggiunge tra i 54 e i 61 byte per un tunnel ESP+3DES+SHA .
Non sara' quello il tuo problema.
Dovrai lavorare su QOS e MTU per ottenere qualcosa di buono.
P.S. MAI e dico MAI stare a sentire i commerciali....quando iniziano a parlare di qualcosa all'infuori di prezzi,mandarli a cagare o,se si vuole essere educati,tapparsi platealmente le orecchie.....
Re: "Alleggerire" la vpn: pptp o ... cosa??
Inviato: mar 22 mar , 2011 10:33 am
da spider21
zot ha scritto:IPSEC aggiunge tra i 50 e i 57 byte per un tunnel ESP+3DES+SHA .
Non sara' quello il tuo problema.
Dovrai lavorare su QOS e MTU per ottenere qualcosa di buono.
Ok... ma con l'837 mi sembra che il QoS non esista. Sull' MTU, invece si puo' intervenire.
Cosa dovrei fare ? Ridurre i pacchetti ? Se si, di quanto ?
P.S. MAI e dico MAI stare a sentire i commerciali....quando iniziano a parlare di qualcosa all'infuori di prezzi,mandarli a cagare o,se si vuole essere educati,tapparsi platealmente le orecchie.....
Concordo con te sull'opinione dei commerciali pero', e' errato dire che l'encryption "appesantisce" anche in termini di latenze ?
In fondo, gli stream audio sono basati su udp che non ha controllo di flusso ne di errore.
Eventualmente, si potrebbe applicare una cifratura piu' "light" ?
A prescindere da quello, mi interesserebbe sapere se si puo' realizzare una PPTP site to site con i Cisco
Grazie per l'aiuto
Re: "Alleggerire" la vpn: pptp o ... cosa??
Inviato: mar 22 mar , 2011 10:44 pm
da zot
Che mi risulti,l'837 puo' fare QOS.
Non penso che si possa fare pptp L2L coi Cisco.
La latenza degli incapsulamenti necessari ad IPSEC e' presente ma ritengo che possa essere trascurata mettendola a confronto con altri parametri quali banda disponibile e/o traffico sul router.
Esempio :
Decido di configurare i router senza nessun tunnel,diretto da un IP pubblico all'altro......Telefono,parlo,parlo,ascolto.Un mio collega scarica la posta,non sento piu' un fico secco e parlo al nulla...a sto punto a che e' servito eliminare la "latenza" dell 'IPSEC?
P.S non ho niente contro i commerciali...fanno il loro lavoro....ma se si mettono a fare i tecnici o gli ingegneri....
Re: "Alleggerire" la vpn: pptp o ... cosa??
Inviato: mer 23 mar , 2011 1:12 am
da fddi
un overhead di 61 byte e' sostanzialmente ininfluente non ti aumenta la latenza in modo sensibile (aumenta meno del 10%)
Piu' che altro devi stare attento sulla banda disponibile. in ogni modo per i collegamenti voip (intendo come voip SIPv2)
se la latenza rimane entro 150ms la qualita' e' buona, oltre i 150ms incominci a notare una leggera caduta di performance (ritardi e qualita' scadente) oltre i 300ms diventa inutilizzabile.
fai un check con ping e vedi subito i tempi di latenza se sono compatibili con l'architettura VOIP che vuoi realizzare.