forum.opennet.ru - "Медленное VPN соединение" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Медленное VPN соединение"

Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Медленное VPN соединение"		+/–
Сообщение от AlexanderSV (ok) on 18-Мрт-10, 15:02
Имеются две циски, между которыми поднят L2L VPN. Обе подключены по оптике 100Mbps. Конфигурация следующая: RouterA Cisco 2821 (12.3(8r)T7) ! crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp key VPNaccess address 212.112.103.131 no-xauth ! crypto ipsec transform-set MySet esp-des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 212.112.103.131 set ip access-group RouterB_ACL out set transform-set MySet match address RouterB ! ... ! interface FastEthernet0/1/1 switchport access vlan 12 no ip address no cdp enable ! interface Vlan12 description INTERNET ip address 212.112.102.146 255.255.255.252 ip access-group 106 in ip nat outside ip tcp adjust-mss 1300 crypto map mymap ! ---------------- RouterB Cisco 1760 (12.2(7r)XM2) ! crypto isakmp policy 1 hash md5 authentication pre-share group 2 crypto isakmp key VPNaccess address 212.112.102.146 no-xauth ! ! crypto ipsec transform-set MySet esp-des esp-md5-hmac ! crypto map mymap 10 ipsec-isakmp set peer 212.112.102.146 set ip access-group RouterA_ACL out set transform-set MySet match address RouterA ! interface FastEthernet0/4 switchport access vlan 2 no ip address no cdp enable ! interface Vlan2 ip address 212.112.103.131 255.255.255.248 ip access-group 106 in ip tcp adjust-mss 1300 crypto map mymap ! В итоге, канал поднимается, все ок, но при этом скорость никакая. файл 4Мб качает 1-2 минуты. При этом на тех же каналах без VPN все летает. Пробовал менять mtu, не помогает. На RouterB много ошибок отсылки: interface: Vlan2 Crypto map tag: mymap, local addr 212.112.103.131 protected vrf: (none) local ident (addr/mask/prot/port): (192.168.31.0/255.255.255.0/0/0) remote ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0) current_peer 212.112.102.146 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 946829, #pkts encrypt: 946829, #pkts digest: 946829 #pkts decaps: 118316, #pkts decrypt: 118316, #pkts verify: 118316 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1268, #recv errors 0 local crypto endpt.: 212.112.103.131, remote crypto endpt.: 212.112.102.146 path mtu 1500, ip mtu 1500 current outbound spi: 0xCF7C6C28(3481037864) inbound esp sas: spi: 0x662AA67B(1714071163) transform: esp-des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2005, flow_id: C1700_EM:5, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4587963/1392) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xCF7C6C28(3481037864) transform: esp-des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2006, flow_id: C1700_EM:6, crypto map: mymap sa timing: remaining key lifetime (k/sec): (4580869/1392) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: Куда копать???
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Медленное VPN соединение, Ava, 16:02 , 18-Мрт-10, (1)

Медленное VPN соединение, AlexanderSV, 16:05 , 19-Мрт-10, (2)

Медленное VPN соединение, AlexanderSV, 16:15 , 19-Мрт-10, (3)

Медленное VPN соединение, Ava, 09:05 , 21-Мрт-10, (4)

Медленное VPN соединение, AlexanderSV, 15:35 , 23-Мрт-10, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Медленное VPN соединение" +/–

Сообщение от Ava (??) on 18-Мрт-10, 16:02

>
>Куда копать???
1760 - без криптопроцессора, боюсь что 1-2 мбита/с для нее потолок (хотя может и меньше) т.к. криптование идет через ЦПУ, посмотрите загрузку проца (sh proc cpu hist) во время копирования.
Но вообще 100 мбит криптовать даже 2821 с AIM не потянет.
см.: http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Медленное VPN соединение" +/–

Сообщение от AlexanderSV (ok) on 19-Мрт-10, 16:05

>>
>>Куда копать???
>
>1760 - без криптопроцессора, боюсь что 1-2 мбита/с для нее потолок (хотя
>может и меньше) т.к. криптование идет через ЦПУ, посмотрите загрузку проца
>(sh proc cpu hist) во время копирования.
>
>Но вообще 100 мбит криптовать даже 2821 с AIM не потянет.
>
>см.: http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and...
Судя по статье, да. Спасибо за ссылку!
Смотрел на проц первым делом, загруз был около 20% при копировании.
Тормоза видимо были из-за кривых маршрутов, которые не учли на др. цисках.
Поправили, проверили, скорость примерно 25Мб файл за 40сек. При этом проц грузится на 100% ;), циска тупит.
Отсюда вопрос, как теперь зашейпить трафик именно для VPN тунеля не трогая весь остальной?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Медленное VPN соединение" +/–

Сообщение от AlexanderSV (ok) on 19-Мрт-10, 16:15

Еще один момент.
До VPN стояло правило для доступа к прокси извне:
ip nat inside source static tcp 192.168.0.1 3128 212.112.102.146 3128 extendable
Когда подняли VPN, пользователи из локальных сетей по ту сторону тунеля потеряли доступ к проксю.
Убираем правило, VPN-пользователи могут работать, внешние соответственно нет.
Как правильно исправить?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Медленное VPN соединение" +/–

Сообщение от Ava (??) on 21-Мрт-10, 09:05

>Еще один момент.
>До VPN стояло правило для доступа к прокси извне:
>ip nat inside source static tcp 192.168.0.1 3128 212.112.102.146 3128 extendable
>
>Когда подняли VPN, пользователи из локальных сетей по ту сторону тунеля потеряли
>доступ к проксю.
>Убираем правило, VPN-пользователи могут работать, внешние соответственно нет.
>
>Как правильно исправить?
Вместо простого ната использовать нат с роут-мэпом, в котором будет исключена трансляция локальных подсетей которые идут в впн.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Медленное VPN соединение" +/–

Сообщение от AlexanderSV (ok) on 23-Мрт-10, 15:35

>Вместо простого ната использовать нат с роут-мэпом, в котором будет исключена трансляция
>локальных подсетей которые идут в впн.
Спасибо! Сделал с route-map, все заработало.
Как все же правильно зажать канал для VPN-трафика, чтобы не грузило проц?
Loopback + policy routing?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Медленное VPN соединение"		+/–
Сообщение от Ava (??) on 18-Мрт-10, 16:02
> >Куда копать??? 1760 - без криптопроцессора, боюсь что 1-2 мбита/с для нее потолок (хотя может и меньше) т.к. криптование идет через ЦПУ, посмотрите загрузку проца (sh proc cpu hist) во время копирования. Но вообще 100 мбит криптовать даже 2821 с AIM не потянет. см.: http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and...
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Медленное VPN соединение"		+/–
	Сообщение от AlexanderSV (ok) on 19-Мрт-10, 16:05
	>> >>Куда копать??? > >1760 - без криптопроцессора, боюсь что 1-2 мбита/с для нее потолок (хотя >может и меньше) т.к. криптование идет через ЦПУ, посмотрите загрузку проца >(sh proc cpu hist) во время копирования. > >Но вообще 100 мбит криптовать даже 2821 с AIM не потянет. > >см.: http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and... Судя по статье, да. Спасибо за ссылку! Смотрел на проц первым делом, загруз был около 20% при копировании. Тормоза видимо были из-за кривых маршрутов, которые не учли на др. цисках. Поправили, проверили, скорость примерно 25Мб файл за 40сек. При этом проц грузится на 100% ;), циска тупит. Отсюда вопрос, как теперь зашейпить трафик именно для VPN тунеля не трогая весь остальной?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Медленное VPN соединение"		+/–
	Сообщение от AlexanderSV (ok) on 19-Мрт-10, 16:15
	Еще один момент. До VPN стояло правило для доступа к прокси извне: ip nat inside source static tcp 192.168.0.1 3128 212.112.102.146 3128 extendable Когда подняли VPN, пользователи из локальных сетей по ту сторону тунеля потеряли доступ к проксю. Убираем правило, VPN-пользователи могут работать, внешние соответственно нет. Как правильно исправить?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Медленное VPN соединение"		+/–
	Сообщение от Ava (??) on 21-Мрт-10, 09:05
	>Еще один момент. >До VPN стояло правило для доступа к прокси извне: >ip nat inside source static tcp 192.168.0.1 3128 212.112.102.146 3128 extendable > >Когда подняли VPN, пользователи из локальных сетей по ту сторону тунеля потеряли >доступ к проксю. >Убираем правило, VPN-пользователи могут работать, внешние соответственно нет. > >Как правильно исправить? Вместо простого ната использовать нат с роут-мэпом, в котором будет исключена трансляция локальных подсетей которые идут в впн.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Медленное VPN соединение"		+/–
	Сообщение от AlexanderSV (ok) on 23-Мрт-10, 15:35
	>Вместо простого ната использовать нат с роут-мэпом, в котором будет исключена трансляция >локальных подсетей которые идут в впн. Спасибо! Сделал с route-map, все заработало. Как все же правильно зажать канал для VPN-трафика, чтобы не грузило проц? Loopback + policy routing?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору