Будет ли работать аппаратное шифрование на MikroTik CHR?

Question

[Rodion]

Хочу купить маршрутизатор MikroTik с поддержкой аппаратного шифрования в IPsec, установить Cloud Hosted Router на какой-нибудь арендованный VDS и сделать туннель между ними (без существенной потери ширины канала).

Будет ли это так работать, как я хочу? Нужно ли уточнять у провайдера облачных услуг о поддержке аппаратного шифрования? И какие настройки (и на маршрутизаторе и на CHR) необходимо устанавливать чтобы это заработало?

Answer 1

[brar]

Имел аналогичный опыт пару лет назад. CHR фактически только частично использует проц для шифрования, а хэши считает софт. 30 мегабит/с удалось выжать, не больше. Но как выснил тогда, хостинг не позволял полноценно иметь AES passthrough в виртуалку с CHR.
Так что, нужно уточнить у вашего хостинга, в котором будете размещать CHR, есть ли полноценный проброс аппаратного шифрования физического процессора в виртуальную машину. Если есть, скорее всего взлетит, но возможно с танцами с бубном вокруг вариантов настроек протоколов шифрования.
А вот на стороне железного микротика при условии, что модель будет с аппаратным шифрованием, проблем с шириной полосы не будет (там всё будет соотвествовать спецификации к вашей железке).
Виртуалку выбирайте по принципу "больше 2,2 гигагерц", на количество ядер забейте, так как будет задействовано только одно ядро.
В общем-то лучше купить второй аппаратный микротик и воткнуть к какому нить ДЦ, где у вас уже есть что-то.
Еще вариант - забить на шифрование. :)

Answer 2

[akelsey]

Аппаратного не будет. Аппаратный это когда в устройстве есть чип который занимается шифрованием налету, в обход процессора. Вы хотите развернуть х86 - само собой там всё это делать будет ЦПУ.
PS
А работать будет, для этого CHR и придуман.

Answer 3

[Дмитрий]

CHR поддерживает AES-NI. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Har...