The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Медленная скорость side-to-side VPN на Cisco 5510"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 12-Мрт-09, 15:53 
Доброго времени суток.
Есть 2 тунеля с 2-мя офисами. Один в Даласе, другой в Харькове. Сам в Питере.
Ipsec тунели
esp-3des-md5 шифрование
5510 асы В Питере и Даласе. 7-й иос. На одной после перешёл на 8-й.
В харкове пикс.
Всё работает, но есть одно но.
Скорость всегда в любом направлении 60-70 килобайт в секунду.
Из любого офиса в любой другой.
Каналы в офисах 20 мегабит.
От нагрузки не зависит.
Кудаб капнуть...?
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от djek (??) on 13-Мрт-09, 09:36 
чем проверял скорость? и начем?
в конфиге нет ограничений? смотреть на обоих кошках!
из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 13-Мрт-09, 12:16 
>чем проверял скорость? и начем?

Проверял на копировании мелких и больших фийлов
>в конфиге нет ограничений? смотреть на обоих кошках!

Ограничений нет в принципе. Аса и не умеет этого делать (динамически распределяет нагрузку от кол-ва тунелей) ДА же когда я ставил мах возможное уол-во тунелей 2 - скорость не менялась.
>из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.
>

Вот и я не понимаю где грабли 8=(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от L (??) on 13-Мрт-09, 12:27 
>[оверквотинг удален]
>Проверял на копировании мелких и больших фийлов
>>в конфиге нет ограничений? смотреть на обоих кошках!
>
>Ограничений нет в принципе. Аса и не умеет этого делать (динамически распределяет
>нагрузку от кол-ва тунелей) ДА же когда я ставил мах возможное
>уол-во тунелей 2 - скорость не менялась.
>>из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.
>>
>
>Вот и я не понимаю где грабли 8=(

А Вы не пробывали выкладывать конфиг в студию? Глядишь у кого мысль и появится...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 16-Мрт-09, 13:32 
>А Вы не пробывали выкладывать конфиг в студию? Глядишь у кого мысль
>и появится...

: Saved
:
ASA Version 8.0(4)
!
hostname qr-gatekeeper
domain-name quickoffice.com
enable password qNhILPcq20nAXhFb encrypted
passwd WD1MnVJ.J7nG4x02 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 84.17.23.98 255.255.255.224
ospf cost 10
!
interface Ethernet0/1
nameif DMZ
security-level 50
ip address 192.168.19.1 255.255.255.0
ospf cost 10
!
interface Ethernet0/2
nameif inside
security-level 100
ip address 192.168.9.1 255.255.255.0
ospf cost 10
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
nameif management
security-level 100
no ip address
ospf cost 10
management-only
!
boot system disk0:/asa804-k8.bin
ftp mode passive
clock timezone CET 3
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
name-server 10.110.1.5
name-server 10.200.1.5
domain-name quickoffice.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service isakmp udp
port-object eq isakmp
object-group icmp-type ICMP
icmp-object alternate-address
icmp-object conversion-error
icmp-object echo
icmp-object echo-reply
icmp-object information-reply
icmp-object information-request
icmp-object mask-reply
icmp-object mask-request
icmp-object mobile-redirect
icmp-object parameter-problem
icmp-object redirect
icmp-object router-advertisement
icmp-object router-solicitation
icmp-object source-quench
icmp-object time-exceeded
icmp-object timestamp-reply
icmp-object timestamp-request
icmp-object traceroute
icmp-object unreachable
access-list outside_nat0_outbound extended permit ip any host 84.17.23.98
access-list outbound_traffic_on_inside extended permit icmp any any
access-list outbound_traffic_on_inside extended deny ip any 192.168.19.0 255.255.255.0
access-list outbound_traffic_on_inside extended permit tcp any 10.200.1.0 255.255.255.0 eq smtp
access-list outbound_traffic_on_inside extended permit tcp 10.200.1.0 255.255.255.0 any eq smtp
access-list outbound_traffic_on_inside extended permit tcp 10.110.1.0 255.255.255.0 any eq smtp
access-list outbound_traffic_on_inside extended permit ip any any
access-list inbound_traffic_on_outside extended permit udp host 75.37.217.2 host 84.17.23.98 eq isakmp
access-list inbound_traffic_on_outside extended permit udp host 193.178.251.163 host 84.17.23.98 eq isakmp
access-list inbound_traffic_on_outside extended permit udp host 66.111.106.178 interface outside eq isakmp
access-list inbound_traffic_on_outside extended permit ip host 84.17.23.102 host 10.110.1.203
access-list inbound_traffic_on_outside extended permit icmp any host 84.17.23.98 object-group ICMP
access-list inbound_traffic_on_outside extended permit icmp host 84.17.23.98 host 193.178.251.163 object-group ICMP
access-list inbound_traffic_on_outside extended permit icmp any any object-group ICMP
access-list inbound_traffic_on_outside extended permit icmp any any
access-list outbound_traffic_on_dmz extended permit icmp 192.168.20.0 255.255.255.0 any
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 10.200.0.0 255.255.0.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 10.204.0.0 255.255.0.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.20.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.100.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.11.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.114.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.115.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.123.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 10.204.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.10.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.20.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.100.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 172.29.0.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 172.29.0.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 172.29.0.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 10.204.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.100.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.11.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.114.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.115.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.123.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 10.2.8.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip interface inside 10.2.8.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 10.110.6.192 255.255.255.192
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.11.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.114.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.115.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.123.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list outside_cryptomap_20 extended permit ip 10.110.0.0 255.255.0.0 10.2.8.0 255.255.255.0
access-list outside_cryptomap_20 extended permit ip interface inside 10.2.8.0 255.255.255.0
access-list outside_nat0_inbound remark production asterisk to internal test asterisk rule
access-list outside_nat0_inbound extended permit ip host 84.17.23.102 host 10.110.1.203
access-list outside_cryptomap_32 extended permit ip 10.110.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list test extended permit udp any host 84.17.23.98 eq isakmp
access-list Local_LAN_Access standard permit host 0.0.0.0
access-list spb-vpn_splitTunnelAcl standard permit any
access-list icmp_debug extended permit icmp host 193.178.251.163 host 84.17.23.98 object-group ICMP
access-list icmp_debug extended permit icmp host 84.17.23.98 host 193.178.251.163 object-group ICMP
pager lines 24
logging enable
logging buffered debugging
logging recipient-address vladislav.varnavsky@quickoffice.com level errors
mtu outside 1500
mtu DMZ 1500
mtu inside 1500
mtu management 1500
ip local pool vpnpool 10.110.6.200-10.110.6.240 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit host 193.178.251.163 echo outside
icmp permit host 193.178.251.163 echo-reply outside
icmp permit any DMZ
icmp permit any inside
asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (outside) 99 84.17.23.99
global (outside) 100 84.17.23.100
global (outside) 101 84.17.23.101
nat (outside) 0 access-list outside_nat0_outbound
nat (outside) 0 access-list outside_nat0_inbound outside
nat (DMZ) 0 access-list nonat
nat (DMZ) 100 192.168.19.0 255.255.255.0
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 99 10.110.1.203 255.255.255.255
nat (inside) 99 10.110.1.0 255.255.255.0
nat (inside) 100 10.110.0.0 255.255.0.0
static (DMZ,outside) 192.168.19.0 192.168.19.0 netmask 255.255.255.0
static (inside,outside) interface 84.17.23.98 netmask 255.255.255.255
access-group inbound_traffic_on_outside in interface outside per-user-override
access-group outbound_traffic_on_dmz in interface DMZ
access-group outbound_traffic_on_inside in interface inside
route outside 0.0.0.0 0.0.0.0 84.17.23.97 1
route inside 10.110.0.0 255.255.0.0 192.168.9.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
ldap attribute-map VPN-map
  map-name  memberOf IETF-Radius-Class
dynamic-access-policy-record DfltAccessPolicy
dynamic-access-policy-record Qr-vpn
priority 1
webvpn
  file-browsing enable
  file-entry enable
  http-proxy enable
  url-entry enable
  svc ask enable default svc
aaa-server group1 protocol radius
aaa-server group1 (outside) host 84.17.23.98
timeout 30
aaa-server Spb-vpn protocol ldap
aaa-server Spb-vpn (inside) host 10.110.1.5
timeout 5
server-type auto-detect
aaa authentication ssh console LOCAL
aaa local authentication attempts max-fail 16
http server enable
http 192.168.9.0 255.255.255.0 inside
http 192.168.10.0 255.255.255.0 inside
http 10.200.0.0 255.255.0.0 inside
http 192.168.100.0 255.255.255.0 inside
http 10.110.0.0 255.255.0.0 inside
http 192.168.1.0 255.255.255.0 management
http redirect outside 80
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
virtual http 84.17.23.98 warning
sysopt connection tcpmss 0
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES esp-3des esp-none
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 40 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 40 set security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 40 set reverse-route
crypto map ipsec 20 match address outside_cryptomap_20
crypto map ipsec 20 set peer 66.111.106.178
crypto map ipsec 20 set transform-set ESP-3DES-MD5 ESP-DES-MD5 ESP-3DES-SHA
crypto map ipsec 20 set security-association lifetime seconds 28800
crypto map ipsec 20 set security-association lifetime kilobytes 4608000
crypto map ipsec 20 set reverse-route
crypto map ipsec 31 match address encrypt-dall-acl
crypto map ipsec 31 set peer 75.37.217.2
crypto map ipsec 31 set transform-set ESP-3DES-MD5
crypto map ipsec 31 set security-association lifetime seconds 28800
crypto map ipsec 31 set security-association lifetime kilobytes 46080000
crypto map ipsec 31 set phase1-mode aggressive
crypto map ipsec 31 set reverse-route
crypto map ipsec 32 match address outside_cryptomap_32
crypto map ipsec 32 set peer 193.178.251.163
crypto map ipsec 32 set transform-set ESP-3DES
crypto map ipsec 32 set security-association lifetime seconds 28800
crypto map ipsec 32 set security-association lifetime kilobytes 4608000
crypto map ipsec 32 set reverse-route
crypto map ipsec 40 match address encrypt-nyc-acl
crypto map ipsec 40 set peer 66.114.243.108
crypto map ipsec 40 set transform-set ESP-3DES-MD5
crypto map ipsec 40 set security-association lifetime seconds 28800
crypto map ipsec 40 set security-association lifetime kilobytes 4608000
crypto map ipsec 40 set nat-t-disable
crypto map ipsec 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map ipsec interface outside
crypto isakmp identity hostname
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime none
crypto isakmp policy 30
authentication pre-share
encryption 3des
hash sha
group 2
lifetime none
crypto isakmp disconnect-notify
client-update enable
vpn-sessiondb max-session-limit 3
telnet timeout 5
ssh 10.200.0.0 255.255.0.0 inside
ssh 192.168.9.0 255.255.255.0 inside
ssh 192.168.10.0 255.255.255.0 inside
ssh 10.110.0.0 255.255.0.0 inside
ssh 192.168.100.0 255.255.255.0 inside
ssh timeout 30
ssh version 2
console timeout 0
management-access inside
dhcpd dns 10.110.1.5 10.200.1.5
dhcpd wins 10.110.1.5
dhcpd domain quickoffice.com
dhcpd auto_config outside vpnclient-wins-override
!
vpn load-balancing
priority 1
no threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 10.110.1.5 prefer
ssl encryption 3des-sha1
webvpn
enable outside
svc image disk0:/anyconnect-win-2.2.0136-k9.pkg 1
svc image disk0:/anyconnect-linux-2.2.0136-k9.pkg 2
svc image disk0:/anyconnect-macosx-i386-2.2.0136-k9.pkg 3
svc enable
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol IPSec webvpn
split-tunnel-network-list value Local_LAN_Access
group-policy spb-vpn internal
group-policy spb-vpn attributes
vpn-tunnel-protocol IPSec l2tp-ipsec svc
username admin password yVnR6lV1pXRXqeyk encrypted privilege 15
username user1 password ViQRdVMrQ/S6ohr. encrypted
username user1 attributes
service-type remote-access
tunnel-group 75.37.217.2 type ipsec-l2l
tunnel-group 75.37.217.2 ipsec-attributes
pre-shared-key *
isakmp keepalive threshold infinite
tunnel-group 66.114.243.108 type ipsec-l2l
tunnel-group 66.114.243.108 ipsec-attributes
pre-shared-key *
tunnel-group 66.111.106.178 type ipsec-l2l
tunnel-group 66.111.106.178 ipsec-attributes
pre-shared-key *
tunnel-group 193.178.251.163 type ipsec-l2l
tunnel-group 193.178.251.163 ipsec-attributes
pre-shared-key *
peer-id-validate nocheck
tunnel-group spb-vpn type remote-access
tunnel-group spb-vpn general-attributes
address-pool vpnpool
authentication-server-group Spb-vpn
default-group-policy spb-vpn
tunnel-group-map enable rules
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns migrated_dns_map_1
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny  
  inspect sunrpc
  inspect xdmcp
  inspect sip  
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d4d898f8dd88ec6938ca9a3cc71a92c4
: end
asdm image disk0:/asdm-613.bin
asdm location 84.17.23.98 255.255.255.255 outside
asdm location 10.110.0.0 255.255.0.0 inside
asdm location 10.2.8.0 255.255.255.0 outside
asdm location 10.110.1.0 255.255.255.0 inside
asdm location 10.200.1.0 255.255.255.0 outside
asdm location 10.110.1.203 255.255.255.255 inside
asdm location 192.168.1.0 255.255.255.0 outside
asdm location 193.178.251.163 255.255.255.255 outside
no asdm history enable

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 17-Мрт-09, 13:26 
НА этом мысли заканчиваются? =(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от djek (??) on 18-Мрт-09, 12:05 
малая скорость на всех тунелях?
vpn load-balancing - это балансировка по тунелям? .... с этим раньше я не сталкивался.
скорость смотрел при скачивании по ftp? просто я сталкивался стем что при копирование файлов через расшареные папки виндов скорость была меньше.
оборудование с двух концов перезагружал?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 18-Мрт-09, 12:14 
>малая скорость на всех тунелях?

Опсалютно одинаковая на любом тунеле и в любом направлении!
>vpn load-balancing - это балансировка по тунелям? .... с этим раньше я
>не сталкивался.

Ну да...с этим я игрался - без толку.
>скорость смотрел при скачивании по ftp? просто я сталкивался стем что при
>копирование файлов через расшареные папки виндов скорость была меньше.

НЕ на столько меньше, что бы не давать хотя бы 1-2 мегабита (при скорости канала в 20)
>оборудование с двух концов перезагружал?

Неоднократно

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от djek (??) on 18-Мрт-09, 12:24 
с отключонной балансировкой пробовал?
на сколько я знаю, asa не поддерживает балансоровку по тунелям, только резервирование канала. если основной падает, через 3сек трафик начинает идти по другому.
балансировка это привелегия роутеров. если я не прав! поправте!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от djek (??) on 18-Мрт-09, 13:30 
если есть возможнось облегчить конфиг я бы оставил бы

crypto map ipsec 31 match address encrypt-dall-acl
crypto map ipsec 31 set peer 75.37.217.2
crypto map ipsec 31 set transform-set ESP-3DES-MD5

для всех крипто мап. этого достаточно для работы тунеля... а обции безопасности пока отключилбы. (имеется ввиду crypto map set security-association lifetime)

отключил бы все static ....
отключил бы балансировку ...
и рекомндую сменить пароли ... так как щас почти любой может увести у тебя железку

кстати в какой момент выяснилось что скорость мала? пробуй плесать от этого..
а то мы так всесь конфиг у тебя по вытераем :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 18-Мрт-09, 14:14 
>
>кстати в какой момент выяснилось что скорость мала? пробуй плесать от этого..

По сути с момента создания тунеля =)
>
>а то мы так всесь конфиг у тебя по вытераем :)

ДА вы то трите ... бэкап есть +)
Балансировка не пашет...ибо нужен кластер для этого
Статики имхо нет смысла борубать - не влияют на скорость =0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 18-Мрт-09, 14:17 
>и рекомндую сменить пароли ... так как щас почти любой может увести
>у тебя железку

НУ доступа извне то нет
Только снутри.
По запарке выложил всё

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от djek (??) on 18-Мрт-09, 16:49 
если железяка тестовая... можно вообще конфиг грохнуть (предварительно сохранив его)
и просто поднять туннел. посмотреть скорось. а потом при необходимости вбить все остальное.
займет гдето 1-3 часа.. но возможно потом придется тоже самое проделать со второй железкой..

если рабочая... попробуйте всетаки удалить то чо я писал... порой самые не очивидные вещи приводят к нужному результату.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 19-Мрт-09, 16:24 
>если рабочая... попробуйте всетаки удалить то чо я писал... порой самые не
>очивидные вещи приводят к нужному результату.

Согласен с тобой, но железка рабочая и постоянно юзается тунель 8=(
Поднимался отдельный тунель в Харьков...с нуля и всяко ковырялся...может просто я совсем лох - вот и прошу помощи, мож чего очевидного не увидил.

Просто когда начинаешь копировать файл фаром тем же...скорость начинается от 65536 байт\с
Если б не эта цифра - я бы может быть меньше напрягался.
НА лицо какое то резанье =0
Кстати потом разгоняется почти до 100000

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от silvercaptain (ok) on 20-Мрт-09, 15:55 
>>А Вы не пробывали выкладывать конфиг в студию? Глядишь у кого мысль
>>и появится...
>
>: Saved
>:
>ASA Version 8.0(4)
>!

Как вариант

mtu outside 1469

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 23-Мрт-09, 13:32 
>Как вариант
>
>mtu outside 1469

Пардон...а что это даст?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от silvercaptain (ok) on 23-Мрт-09, 17:09 
>>Как вариант
>>
>>mtu outside 1469
>
>Пардон...а что это даст?

Если пакет слишком большой (а так возможно, вы ведь не знаете, как эти пакеты передаются между кисками), то они просто не помещаются и начинают фрагментироваться .

ping уешь пакетами от 1500 опускаясь вниз при этом еще указываешь параметр дефрагментации и смотришь чтобы не было фрагментации пакета. например так
ping Другой_Конец -l -f
где
-l размер Размер буфера отправки.
-f Установка флага, запрещающего фрагментацию пакета.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от silvercaptain (ok) on 20-Мрт-09, 16:01 
>чем проверял скорость? и начем?
>в конфиге нет ограничений? смотреть на обоих кошках!
>из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.
>

А что говорит

sh int et 0/0

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 23-Мрт-09, 13:31 
>А что говорит
>
>sh int et 0/0

        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        MAC address 001f.9ebc.ae9e, MTU 1500
        IP address 84.17.23.98, subnet mask 255.255.255.224
        479068795 packets input, 378924857592 bytes, 0 no buffer
        Received 526225 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 L2 decode drops
        467370799 packets output, 286703559645 bytes, 0 underruns
        0 output errors, 0 collisions, 0 interface resets
        0 babbles, 0 late collisions, 0 deferred
        0 lost carrier, 0 no carrier
        input queue (curr/max packets): hardware (1/30) software (0/0)
        output queue (curr/max packets): hardware (0/28) software (0/0)
  Traffic Statistics for "outside":
        478948379 packets input, 369609569292 bytes
        467370799 packets output, 277452634656 bytes
        2068719 packets dropped
      1 minute input rate 127 pkts/sec,  117170 bytes/sec
      1 minute output rate 105 pkts/sec,  19972 bytes/sec
      1 minute drop rate, 2 pkts/sec
      5 minute input rate 198 pkts/sec,  210911 bytes/sec
      5 minute output rate 153 pkts/sec,  20525 bytes/sec
      5 minute drop rate, 2 pkts/sec

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от silvercaptain (ok) on 23-Мрт-09, 17:17 
del
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от TaiL (ok) on 25-Мрт-09, 12:09 
Мысли кончились? =(
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Медленная скорость side-to-side VPN на Cisco 5510"  +/
Сообщение от Alex (??) on 03-Апр-10, 14:56 
У меня была такая же проблема случайно заменил свич за асой все выровнялось. Как вариант.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру