Cisco SA500 je taková malá hračka. :-) Do řady těch krabic od Cisca se dá dokoupit HW akcelerátor pro IPsec, ale něco to stojí.
Jestil ti stačí 100 Mbps, tak to dá i ta RB1100AH, která má pasivní chlazení. RB1100AHx2 má dva malé fufrníky a když to jede trvale toky 100 Mbps a více, tak pěkně kvílí, takže v servrovně OK, v kanclu tě uškrtí. Jinak první série RB1100AH, co se prodávala vloni na jaře, měla také HW akceleraci. Ale to byla jedna zkušební várka, pak půl roku nic a ta dosupná nyní má jiný čip a už bez akcelerace.
Dva IPsec kanály třeba tak, že máš centrálu, z ní jdou kanály na dvě pobočky a na každou naráz tlačíš těch 400 Mbps.
Pokud by jsi měl potřebu to udělat bod-bod a snažit se to udělat na víc kanálů, tak můžeš mít různé bezpečnostní politiky pro různé druhy přenosu a tím to rozdělíš na víc streamů.
Nezkoušel jsem na RBčku, ale možná by mohlo jít to sloučit tak, že uděláš dva GRE kanály mezi těma dvěma RBčky, do těch kanálů pomocí ECMP budeš rozhazovat spojení. Každý tento kanál obalíš svou vlastní politikou a možná by šlo takto zapojit obě jádra naráz v jednom směru (jedno spojení bude limitování výkonem jendoho jádra, ale víc spojení by se mělo rozkládat do těch dvou kanálů, jak ECMP bude střídat trasy) a na ty GRE kanály aplikuješ IPsec transport, každý trohu jinak. Nicméně to bude chtít dvě veřejné IP na každé straně, pokud máš jen jednu, tak by mohl jít použít GRE plus IPIP tunel a nastavit, že GRE se má prohánět přes politiku s AES/MD5 a IPIP přes AES/SHA1 a také by z toho mohly být dva proudy.
Pokud mezi těma RBčky bude jeden L2 segment, tak si zjisti, jaké maximálníé MTU ti dovolí propustit, pokud na LAN stranách máš klasické MTU1500 a ta WAN linka ti dovolí víc (aby nemuselo docházet k fragmentaci LAN paketu po obalení Psec vrstvou), tak také něco naženeš.
