Какое самое быстрое шифрование в VPN?

@gurlov · Регистрация: 27.05.2014

Author24 — интернет-сервис помощи студентам

Здравствуйте.
Имеется две CISCO ASA с настроенным между ними site-to-site VPN. Какие настройки шифрования лучше указать, что бы получить максимальную скорость передачи полезной информации? Вопрос безопасности данных не играет ни какой роли, так как канал работает в защищённой корпоративной сети. Пусть хоть просто инвертирует биты, лишь бы скорость была максимально возможной.

Сейчас VPN настроен так:

Кликните здесь для просмотра всего текста

Код

crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto map emts_map 3 match address CRYPTOMAP
crypto map emts_map 3 set pfs group1
crypto map emts_map 3 set peer 10.10.10.254
crypto map emts_map 3 set ikev1 transform-set ESP-3DES-SHA 
crypto map emts_map interface intrAnet
crypto ikev1 enable intrAnet
!
crypto ikev1 policy 120
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
!
group-policy GroupPolicy_STS_VPN internal
group-policy GroupPolicy_STS_VPN attributes
 vpn-tunnel-protocol ikev1 
tunnel-group 10.10.10.254 type ipsec-l2l
tunnel-group 10.10.10.254 general-attributes
 default-group-policy GroupPolicy_STS_VPN
tunnel-group 10.10.10.254 ipsec-attributes
 ikev1 pre-shared-key ******

@corlovito · 14.07.2015, 10:40

Сообщение от gurlov

Вопрос безопасности данных не играет ни какой роли

а зачем тогда VPN, ну да ладно, вот здесь якобы говорят что blowfish http://www.cse.wustl.edu/~jain... tion_perf/

@insect_87 · 14.07.2015, 10:46

раз

Сообщение от gurlov

Вопрос безопасности данных не играет ни какой роли

, тогда может
gre - инкапсулированные данные передаются в открытом виде http://linkmeup.ru/blog/50.html

@gurlov · 14.07.2015, 10:54 **[ТС]**

Сообщение от corlovito

а зачем тогда VPN

для того что бы соединить две сети, которые находятся за NATом для корпоративной сетки.

Сообщение от corlovito

вот здесь якобы говорят что blowfish

blowfish в моей ASA нет, тогда, судя по графикам в статье, моим выбором должен стать AES

Добавлено через 59 секунд

Сообщение от insect_87

, тогда может
gre

CiSCO ASA 5505 этого не может. или я ошибаюсь...

@MonaxGT · 14.07.2015, 11:27

Сообщение от gurlov

CISCO ASA

Сообщение от gurlov

CiSCO ASA 5505 этого не может. или я ошибаюсь...

Я уже комментировал несколько раз данное оборудование))

@gurlov · 14.07.2015, 12:26 **[ТС]**

Не по теме:

Сообщение от MonaxGT

Я уже комментировал несколько раз данное оборудование))

я помню, но других не предвидится :)

Добавлено через 14 минут
получается надо выбрать AES-128, а алгоритм хеширования MD5 или SHA? или они на скорость обработки одинаково влияют?

@corlovito · 14.07.2015, 12:47

cisco пишет что MD5 быстрее

@gurlov · 14.07.2015, 14:57 **[ТС]**

Итог получается: алгоритм шифрования AES c ключом в 128 бит, алгоритм хеширования MD5
Итоговая конфигурация:

Кликните здесь для просмотра всего текста

Код

crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto map emts_map 3 match address CRYPTOMAP
crypto map emts_map 3 set pfs group1
crypto map emts_map 3 set peer 10.10.10.254
crypto map emts_map 3 set ikev1 transform-set ESP-AES-128-MD5
crypto map emts_map interface intrAnet
crypto ikev1 enable intrAnet
!
crypto ikev1 policy 110
authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400

Если есть ещё какие-либо рекомендации по увеличению скорости передачи данных - буду признателен.
Всем Большое спасибо за помощь ))

@corlovito · 14.07.2015, 15:02

set agressive mode

@gurlov · 14.07.2015, 15:23 **[ТС]**

Сообщение от corlovito

set agressive mode

почитал про это. Пишут что в ASA он включён по умолчанию

@gurlov 3 / 3 / 3 Регистрация: 27.05.2014 Сообщений: 373
		1
	Какое самое быстрое шифрование в VPN? 14.07.2015, 10:27. Показов 2420. Ответов 9 Метки нет (Все метки) Здравствуйте. Имеется две CISCO ASA с настроенным между ними site-to-site VPN. Какие настройки шифрования лучше указать, что бы получить максимальную скорость передачи полезной информации? Вопрос безопасности данных не играет ни какой роли, так как канал работает в защищённой корпоративной сети. Пусть хоть просто инвертирует биты, лишь бы скорость была максимально возможной. Сейчас VPN настроен так: Кликните здесь для просмотра всего текста Код crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map emts_map 3 match address CRYPTOMAP crypto map emts_map 3 set pfs group1 crypto map emts_map 3 set peer 10.10.10.254 crypto map emts_map 3 set ikev1 transform-set ESP-3DES-SHA crypto map emts_map interface intrAnet crypto ikev1 enable intrAnet ! crypto ikev1 policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 ! group-policy GroupPolicy_STS_VPN internal group-policy GroupPolicy_STS_VPN attributes vpn-tunnel-protocol ikev1 tunnel-group 10.10.10.254 type ipsec-l2l tunnel-group 10.10.10.254 general-attributes default-group-policy GroupPolicy_STS_VPN tunnel-group 10.10.10.254 ipsec-attributes ikev1 pre-shared-key ****** 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	14.07.2015, 10:40	2
	Сообщение от gurlov Вопрос безопасности данных не играет ни какой роли а зачем тогда VPN, ну да ладно, вот здесь якобы говорят что blowfish http://www.cse.wustl.edu/~jain... tion_perf/ 1

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	14.07.2015, 10:46	3
	раз Сообщение от gurlov Вопрос безопасности данных не играет ни какой роли , тогда может gre - инкапсулированные данные передаются в открытом виде http://linkmeup.ru/blog/50.html 0

@gurlov 3 / 3 / 3 Регистрация: 27.05.2014 Сообщений: 373
	14.07.2015, 10:54 [ТС]	4
	Сообщение от corlovito а зачем тогда VPN для того что бы соединить две сети, которые находятся за NATом для корпоративной сетки. Сообщение от corlovito вот здесь якобы говорят что blowfish blowfish в моей ASA нет, тогда, судя по графикам в статье, моим выбором должен стать AES Добавлено через 59 секунд Сообщение от insect_87 , тогда может gre CiSCO ASA 5505 этого не может. или я ошибаюсь... 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	14.07.2015, 11:27	5
	Сообщение от gurlov CISCO ASA Сообщение от gurlov CiSCO ASA 5505 этого не может. или я ошибаюсь... Я уже комментировал несколько раз данное оборудование)) 0

@gurlov 3 / 3 / 3 Регистрация: 27.05.2014 Сообщений: 373
	14.07.2015, 12:26 [ТС]	6
	Не по теме: Сообщение от MonaxGT Я уже комментировал несколько раз данное оборудование)) я помню, но других не предвидится :) Добавлено через 14 минут получается надо выбрать AES-128, а алгоритм хеширования MD5 или SHA? или они на скорость обработки одинаково влияют? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	14.07.2015, 12:47	7
	cisco пишет что MD5 быстрее 1

@gurlov 3 / 3 / 3 Регистрация: 27.05.2014 Сообщений: 373
	14.07.2015, 14:57 [ТС]	8
	Итог получается: алгоритм шифрования AES c ключом в 128 бит, алгоритм хеширования MD5 Итоговая конфигурация: Кликните здесь для просмотра всего текста Код crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto map emts_map 3 match address CRYPTOMAP crypto map emts_map 3 set pfs group1 crypto map emts_map 3 set peer 10.10.10.254 crypto map emts_map 3 set ikev1 transform-set ESP-AES-128-MD5 crypto map emts_map interface intrAnet crypto ikev1 enable intrAnet ! crypto ikev1 policy 110 authentication pre-share encryption aes hash sha group 2 lifetime 86400 Если есть ещё какие-либо рекомендации по увеличению скорости передачи данных - буду признателен. Всем Большое спасибо за помощь )) 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,886
	14.07.2015, 15:02	9
	set agressive mode 1

@gurlov 3 / 3 / 3 Регистрация: 27.05.2014 Сообщений: 373
	14.07.2015, 15:23 [ТС]	10
	Сообщение от corlovito set agressive mode почитал про это. Пишут что в ASA он включён по умолчанию 0