Portable Product Sheets – Routing Performance
             PPS     Mbps
ISR G2 2901 327,000 167.42
ISR G2 2911 353,000 180.73
ISR G2 2921 480,000 245.76
ISR G2 2951 580,000 296.96

Numbers are given with 64 byte packet size, IP only, and are only an indication of raw switching performance.
These are testing numbers, usually with FE to FE, GigE to GigE or POS to POS, no services enabled. As you add ACL's,
encryption, compression, etc - performance will decline significantly from the given numbers, unless it is a hardware-assisted
platform, such as the ASR 1000, 7600 or 12000, which process QoS, ACL's, and other features in hardware (or when a hardware
assist is installed, for instance an AIM-VPN in a 3745 will offload the encryption from the CPU).
Every situation is different - please simulate the true environment to get applicable performance
values.
Knowing the performance for a specific router platform is not a good indication of how well a specific feature will
perform. If a feature is supported in the CEF path, for instance, and we know the feature-free CEF throughput in a
specific configuration, then we only know the platform's "never-to-exceed" performance but we do not know the
actual performance of any given feature, which will always be less.
All numbers are for IP packets only - no IPX/AT/DEC, etc. - Mbps calculated by pps * 64bytes * 8bits/byte; except
for 12000 (Engines 0, 1, 2, 3 & 5) where these numbers represent the maximum mbps forwarding rates when packets are
greater than 64 bytes. Please see inserted comments in this field.

>[оверквотинг удален]
> В планах – соединить туннелями все наши региональные отделения.
> Это порядка 15-20 туннелей.
> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
> процессор задействует.
> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
> подсетями, отдельно под туннели.
> Но это все весьма накладно.
> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
> нет?
> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

Производительность маршрутизатора меряется в пакетах,
От количества сетей де-факто не зависит, зависит от правил обработки трафика.
Например, допустим маршрутизатор способен обрабатывать 200 000 пакетов/секунда.
Хотите НАТ? - это двойная нагрузка, более 100 000 вы не увидите.
Хотите PBR? - делим еще на 2.
Хотите ZBF? - делим еще на 2.
Хотите "плюшкофишки"? - смело вычитаете 15-30%...
Хотите IPSec? - он в зависимости от характера трафика может дать прирост от 2 до 10 раз.... хотя тут можно криптомодули + лицензия соответствующая.

Кстати, у вас лицензия на IPSec установлена? а криптомодуль? а скорости по ipsec какие?

В ipsec важно не столько количество тунелей, сколько количество трафика по ним "бегающего" и используемые алгоритмы.

Вот эту бумажку посмотрите насчет того, что сама Cisco думает по поводу своих железок:

https://supportforums.cisco.com/legacyfs/online/legacy/7/1/5...

Там в конце есть красивая табличка с примерной скоростью подключения.

По моей практике эта бумажка соответсвует действительности.

Для случаев когда много inspect, crypto, nat и кто-нибудь от большого ума еще включил nbar (match protocol) - бумажка даже слишком оптимистична.

2911 если включить все что нужно, кое-как тянет 30 мегабит. Причем 30 мегабит - это не 30 туда и обратно, это 30 мегабит в одном направлении.

Что касается утверждения о том, что производительность меряется в пакетах. Это утверждение совершенно верное, только для тех случаев когда маршрутизатор ничего кроме маршрутизации не делает. И к вашему случаю когда "все в одном" никакого отношения не имеет.

Если нужны варианты решения проблемы - пишите в личку.

>[оверквотинг удален]
> В планах – соединить туннелями все наши региональные отделения.
> Это порядка 15-20 туннелей.
> Мне кажется, один маршрутизатор все это не вытянет. Там все таки шифрование
> процессор задействует.
> Может надо разносить роли – отдельно доступ в интернет, отдельно маршрутизация между
> подсетями, отдельно под туннели.
> Но это все весьма накладно.
> Хочется вообще понять, в описанной конфигурации - нагрузка большая на железку? Или
> нет?
> Сколько она может держать туннелей, nat-трансляций, и маршрутизируемых подсетей одновременно?

убрать логирование на ACL если есть  

> #sho proc cpu sort
> CPU utilization for five seconds: 95%/92%; one minute: 94%; five minutes: 90%

Еще бы показать при этом

show int | inc thernet.* is .*, line | rate

Для роутинга между виланами всяко надо L3 свитч. Для ваших скоростей за глаза хватит б/у 3750 нужной комплектации интерфейсов. Нормальные продавцы могут за % от цены дать гарантию.

Что я хочу сказать.
Во-первых я наврал (не специально) про лицензию 2960X. По факту была нужная лицензия, позволяющая работать на L3 уровне. Именно lan-base.
Перенастроил сеть, маршрутизацией vlan начал занимается 2690x.
Загрузка 2960x поднялась со средней в 30% до средних 50%. При этом около 15% стабильно занимает процесс Hulc LED Process. Почитал про него, говорят - баг. По советам пробовал гасить все неиспользуемые порты - не помогло. Ладно, с этим потом разберусь.
Нагрузка на 2911 стала меньше. Сколько - сказать точно не могу, в данной конфигурации сеть была настроена в конце января.
Вроде бы все стало хорошо, но..
Через некоторое время - примерно неделю как, в рабочие часы, стал нестабильно работать интернет. Если смотреть пинги до того же яндекса, частенько пропадают пакеты, время отклика тоже 50-110 мс. В принципе, 50-110 - не то, чтобы очень плохо. Но хотелось бы до 50 )
До этого было в пределах 15-30 мс.
Начал разбираться дальше.
Понял, что недонастроил связку 2911 и 2960х. На 2911 остались сабинтерфесы, смотрящие в транк на 2960х. В связи с этим часть локального трафика ходила все равно через 2911.
Убрал все это.
По итогам нагрузка на 2960 стала в среднем 60% в рабочие часы.
Нагрузка на 2911 стабильно составляет примерно 50%, выше обычно не поднимается.
Но на доступ в интернет и на потери пингов это никак не повлияло ))
Если смотреть нагрузку на интерфейсы, в среднем:
g 0/0 (внутренний) входящий порядка 10 мбит, исходящий порядка 20-30 мбит.
g 0/1 (внешний) входящий порядка 20-30 мбит, исходящий порядка 10 мбит.
Все совпадает ))
Вроде бы немного.
Клиенты в локальной сети ограничены 300 nat-трансляциями. Кроме серверов.
Количество nat-трансляций на 2911
#sho ip nat sta
Total active translations: 12699 (214 static, 12485 dynamic; 12699 extended)
Peak translations: 13813, occurred 00:13:20 ago
Довольно много.
Если их почистить, то временно становится лучше.
Но уже при количестве трансляций около 4000 проблемы начинаются снова, пакеты теряются.

Если запустить ping с 2911 - пакеты не пропадают.
ping 8.8.8.8 repeat 100
Success rate is 100 percent (1000/1000), round-trip min/avg/max = 12/16/64 ms
Если запустить ping с 2960 - пакеты пропадают.
ping 8.8.8.8 repeat 100
Success rate is 88 percent (880/1000), round-trip min/avg/max = 21/69/147 ms
Т.е проблемы не с маршрутизатором.
Проверяем пинг с 2960 на 2911.
ping 192.168.9.2 repeat 100
Success rate is 84 percent (84/100), round-trip min/avg/max = 35/61/94 ms
Смотрим загрузку интерфейсов, которыми соединены устройства.
2911
sho int g 0/0 history 60min

SPB-LIG-GW1   03:19:11 PM Thursday Feb 15 2018 RTZ

                11111111111111111111111111111111111111
      999999999900000000011100000110000000000000000000999988888888
   10           ##*###################################
    9 ###################################################*
    8 ######################################################*#####
    7 ############################################################
    6 ############################################################
    5 ############################################################
    4 ############################################################
    3 ############################################################
    2 ############################################################
    1 ############################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet0/0 input rate(mbits/sec)  (last 60 minutes)
              * = maximum   # = average

SPB-LIG-GW1   03:19:11 PM Thursday Feb 15 2018 RTZ

      222222222222222211111111111111111111111111112222222222222222
      113322211100000099887889999777778877778898890000223445555333
   20 ###############*                            *###############
   19 ################*#     ****             *  #################
   18 #################### *#####     #*    *#####################
   17 ############################*###############################
   16 ############################################################
   15 ############################################################
   14 ############################################################
   13 ############################################################
   12 ############################################################
   11 ############################################################
   10 ############################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet0/0 output rate(mbits/sec)  (last 60 minutes)
              * = maximum   # = average

2960
sho interfaces g 1/0/24 history 60min
      222222222222222111111111111111111111111111112222222222222222
      124322221100000999988889999778788777778988990001223445554332
      921669204237856932033364021291604243678294164450344584527939
      881764821022263687942280806305805917612045220256834276505633
      621950976912465880743342367080975160329828374289151017472915
25620                                                      *#*
24760                                                    *####*
23900   **                                               #######
23040   ##*#                                            ########
22180 **#####*                                        ##########
21320 #########*                                     *##########
20460 ###############                             *#############
19600 ################**     * *             *   ###############
18740 ###################***####*     *     *###################
17880 ########################### *#*##   ######################
17020 ##########################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet1/0/24 input rate(kbits/sec)  (last 60 minutes)
              * = maximum   # = average

       1       111111111111111111111111111111111111111
      909999999000000000011100000110100000000000000000999988888889
      908665579133022566922087449119077899999469965331964050135681
      303772834755826156422219707888591829185654969329470659875574
      508883462379717937000478453777768997437683563867338824030956
11280                    **      **
10950                   *###**  *##*#* #####*  ##
10620                *########* #############*####*
10290          *## ##################################*
9960 ##*     ########################################*
9630 #####*############################################
9300 ###################################################
8970 ####################################################
8640 ####################################################*   ##
8310 ##################################################### *###
7980 ##########################################################
     0....5....1....1....2....2....3....3....4....4....5....5....6
               0    5    0    5    0    5    0    5    0    5    0
      GigabitEthernet1/0/24 output rate(kbits/sec)  (last 60 minutes)
              * = maximum   # = average

20mbit - не такая большая цифра, чтобы портить жизнь.
Не понимаю, продолжу дальше копать. Но буду признателен идеям и подсказкам )

При этом, если запустить
ping 192.168.9.2 с компьютера в локальной сети, то
Статистика Ping для 192.168.9.2:
    Пакетов: отправлено = 1358, получено = 1358, потеряно = 0
    (0% потерь)
Т.е. тот же адрес маршрутизатора пингуется без проблем, при этом пакет идет через коммутатор
tracert 192.168.9.2
Трассировка маршрута к 192.168.9.2 с максимальным числом прыжков 30

  1     2 ms     2 ms     1 ms  192.168.101.1 - это адрес коммутатора в данном сегменте сети
  2    <1 мс    <1 мс    <1 мс  192.168.9.2