Cisco ASA : crypto engine large-mod-accel

Découverte récente, la commande crypto engine large-mod-accel sur les équipements Cisco ASA 5510 à 5550 permet d’améliorer les performances des tunnels VPN IPSec et VPN en activant l’optimisation matérielle.

A en croire un diaporama de 2012 sur les performances des Cisco ASA, cette option concernerait surtout DH5 et RSA 2048-bits :

image004

Une connaissance qui l’a testé sur un ASA 5520 avec un grand nombre de tunnels IPSec 1024-bits n’a pas constaté de différence flagrante.

Voici ce qu’en dit les release notes de l’ASA 9.1 :

(ASA 5510, ASA 5520, ASA 5540, and ASA 5550 only) We strongly recommend that you enable hardware processing using the crypto engine large-mod-accel command instead of software for large modulus operations such as 2048-bit certificates and DH5 keys. If you continue to use software processing for large keys, you could experience significant performance degradation due to slow session establishment for IPsec and SSL VPN connections. We recommend that you initially enable hardware processing during a low-use or maintenance period to minimize a temporary packet loss that can occur during the transition of processing from software to hardware.

Note: For the ASA 5540 and ASA 5550 using SSL VPN, in specific load conditions, you may want to continue to use software processing for large keys. If VPN sessions are added very slowly and the ASA runs at capacity, then the negative impact to data throughput is larger than the positive impact for session establishment.

The ASA 5580/5585-X platforms already integrate this capability; therefore, crypto engine commands are not applicable on these platforms.

Je suis preneur de tout complément d’information sur cette option, en particulier sur les modes de chiffrement concernés et l’impact sur les performances 🙂

1 réflexion sur « Cisco ASA : crypto engine large-mod-accel »

  1. je l’ai mis en place sur mes 5540 V 9.1(7)6
    Nous avons dans les 300 tunnels Ipsec
    je cherche à améliorer les perfs en Vpn sur des liens FTTH Orange
    Si vous avez des pistes, je suis preneur

    Merci d’avance

    J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s