https://m.opennet.dev/openforum/vsluhforumID6/982.html Есть две 2951, между ними L2 гигабит, который нужно пошифровать, туннель крайне желателен.<br> <br>Поднимаю GRE без шифрации, тестирую пропускную способность между тестовыми раб. станциями (iperf), получаю не менее 800 mbit/s.<br><br>Вешаю криптомапу, получаю для UDP 288 mbit/s (есть лицензии HSEC, все честно).<br><br>Для TCP в 4 потока - до 260 mbit/s, 1 поток - в среднем всего 34 mbit/s :( В случае тупого копирования файла визуально это выглядит как быстрая передача в течение пары секунд и разкое падение скорости.<br><br>Конфигурация:<br><br>На физических интерфесах MTU 1500. Туннель в транспорте (пробовал и так, и так).<br><br>interface Tunnel2<br> ip address xxx<br> ip mtu 1400<br> ip tcp adjust-mss 1360<br> tunnel source yyy<br> tunnel destination zzz<br> tunnel path-mtu-discovery<br><br>Фрагментации не вижу (show ip traffic &#124; i frag). Со всеми параметрами (ip mtu, ip tcp adjust-mss, tunnel path-mtu-discovery) игрался как угодно в любых количествах и комбинациях.<br><br>Пробовал вместо криптомапы - tunnel protection, пробовал снимать DF бит https://m.opennet.dev/openforum/vsluhforumID6/982.html#14 Wed, 02 Oct 2013 10:30:43 GMT &gt; Всего захватил 6584 пакета, из них 240 - Window is full, дуп <br>&gt; в таком тесте сейчас всего один, 4-й пакет (повторяемость).<br>&gt; Если в 4 потока - на ~9000 пакетов добавляется ~20 Retransmissions, и <br>&gt; с винды на винду скорость не поднялась при увеличении кол-ва потоков, <br>&gt; всего 36 мегабит.<br>&gt; UDP же осталось 2xx мегабит.<br><br>Добрый день.<br><br>("Window is full" обозначает, что вовремя не пришел ACK. 20 Retransmissions могут быть Early detection retransmits.)<br><br>Полагаю, что проблема либо с ОС (с какой-то стороны), либо в приложении, которое тестирует пропускную способность TCP.<br><br>Предлагаю заменить и то и то.<br> https://m.opennet.dev/openforum/vsluhforumID6/982.html#13 Thu, 26 Sep 2013 08:39:38 GMT &gt; Меня смущает почти 100% загрузга cpu при нескольких TCP потоках.<br><br>На первых секундах - 79%, потом 96%. RTT под такой нагрузкой 6-40 ms.<br><br>При одном tcp потоке cpu скачет от 8 до 16%, RTT 2-30 ms.<br><br>&gt; VPN на ISR G2 работает аппаратно на VPN ISM модуле (который по идее <br>&gt; идет в комплекте sec bundle) и cpu загружаться так не должно. <br>&gt; Покажите sh inv и sh ver.<br><br>c2951-1#show inventory <br>NAME: "CISCO2951/K9", DESCR: "CISCO2951/K9 chassis, Hw Serial#: FCZxxxxxxxx, Hw Revision: 1.1"<br>PID: CISCO2951/K9 , VID: V05 , SN: FCZxxxxxxxx<br><br>NAME: "C2921/C2951 AC Power Supply", DESCR: "C2921/C2951 AC Power Supply"<br>PID: PWR-2921-51-AC , VID: V03 , SN: DCAxxxxxxxx<br><br><br>c2951-1#show crypto engine configuration <br><br> crypto engine name: Virtual Private Network (VPN) Module<br> crypto engine type: hardware<br> State: Enabled<br> Location: onboard 0<br> Product Name: Onboard-VPN<br> FW Version: 1<br> Time running: 490593 second https://m.opennet.dev/openforum/vsluhforumID6/982.html#12 Thu, 26 Sep 2013 08:09:59 GMT &gt; Всего захватил 6584 пакета, из них 240 - Window is full, дуп <br>&gt; в таком тесте сейчас всего один, 4-й пакет (повторяемость).<br>&gt; Если в 4 потока - на ~9000 пакетов добавляется ~20 Retransmissions, и <br>&gt; с винды на винду скорость не поднялась при увеличении кол-ва потоков, <br>&gt; всего 36 мегабит.<br>&gt; UDP же осталось 2xx мегабит.<br><br>Меня смущает почти 100% загрузга cpu при нескольких TCP потоках. VPN на ISR G2 работает аппаратно на VPN ISM модуле (который по идее идет в комплекте sec bundle) и cpu загружаться так не должно. Покажите sh inv и sh ver. Если cisco при высокой загрузке на cpu будет ухудшать RTT, то и скорость TCP будет реагировать соответственно. Если модуль есть, но нагрузка на процессор высокая, посмотрите внимательно конфиг еще раз, может где то трафиг гонится через cpu?<br> https://m.opennet.dev/openforum/vsluhforumID6/982.html#11 Thu, 26 Sep 2013 07:21:14 GMT Всего захватил 6584 пакета, из них 240 - Window is full, дуп в таком тесте сейчас всего один, 4-й пакет (повторяемость).<br><br>Если в 4 потока - на ~9000 пакетов добавляется ~20 Retransmissions, и с винды на винду скорость не поднялась при увеличении кол-ва потоков, всего 36 мегабит.<br><br>UDP же осталось 2xx мегабит.<br> https://m.opennet.dev/openforum/vsluhforumID6/982.html#10 Thu, 26 Sep 2013 07:06:03 GMT &gt; Количество encrypt/decrypt пакетов\байт c двух сторон туннеля совпадает?<br><br>Да.<br><br>&gt; А можно данные со сниффера? Он и прояснит ситуацию...<br>&gt; Если есть дубли, то это может значить, что имела место потеря пакетов, <br>&gt; т.к. в tcp early retransmit не должен срабатывать на latency 1ms. <br>&gt; Какая ОС используется в тестах? Другую пробовали?<br><br>Пробовал win2003 и freebsd. Сейчас на той стороне доступна лишь win2003, поэтому показываю iperf в 1 tcp поток между виндоузами, tcp window size 64k.<br>10.44.0.2 - iperf client, снифер на нем.<br>10.45.1.1 - iperf server.<br><br>No. Time Source Destination Protocol Length Info<br> 1 0.000000000 10.44.0.2 10.45.1.1 TCP 62 wago-io-system &gt; commplex-link [SYN] Seq=0 Win=65535 Len=0 MSS=1436 SACK_PERM=1<br> 2 0.000888000 10.45.1.1 10.44.0.2 TCP 62 commplex-link &gt; wago-io-system [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1360 SACK_PERM=1<br> 3 0.000893000 10.44.0.2 https://m.opennet.dev/openforum/vsluhforumID6/982.html#9 Wed, 25 Sep 2013 18:21:31 GMT Добрый день.<br><br>Количество encrypt/decrypt пакетов\байт c двух сторон туннеля совпадает?<br><br>А можно данные со сниффера? Он и прояснит ситуацию...<br>Если есть дубли, то это может значить, что имела место потеря пакетов, т.к. в tcp early retransmit не должен срабатывать на latency 1ms.<br><br>Какая ОС используется в тестах? Другую пробовали?<br> https://m.opennet.dev/openforum/vsluhforumID6/982.html#8 Wed, 25 Sep 2013 16:08:09 GMT &gt; Странная конфигурация. Обычно так не шифруют GRE.<br><br>Через криптомапу на внешнем интерфейсе? Встречал массу именно таких примеров.<br><br>&gt; Либо поднимают сразу Tunnel type <br>&gt; ipsec, либо на GRE туннель вешают crypto profile (так обычно делают <br>&gt; в DMVPN). Я бы порекомендовал вот так: <br><br>[skipped]<br><br>Я пробовал в туннеле Tunnel type ipsec & tunnel protection ipsec profile. Результат никак не менялся.<br><br>&gt; Конфиг примерный, писал с головы.<br><br>Завтра попробую настроить еще раз точно по вашему примеру и посмотреть.<br><br>Еще раз хочу напомнить суть проблемы: UDP - рассчетная производительность, TCP начиная с 4-х потоков - тоже, TCP в один поток - 30 с чем-то мегабит. Причем падает лишь после 1-2 сек и далее стабильно 30. Фрагментации не вижу, что крутил - есть в исходном сообщении. Мозги уже сломал :( В снифере изредка проскакивают дупы и согласование размера окна.<br> https://m.opennet.dev/openforum/vsluhforumID6/982.html#7 Wed, 25 Sep 2013 15:18:44 GMT &gt;[оверквотинг удален]<br>&gt; !<br>&gt; router eigrp - присутствует, для тестов прописывал и статику <br>&gt; !<br>&gt; ip access-list extended to_branch2 <br>&gt; permit gre host 10.253.45.37 host 10.253.45.38 <br>&gt; Тестовую станцию включал в core switch (3750) в тот же vlan, куда <br>&gt; воткнут gi0/0, с адресом 10.44.18.26.<br>&gt; На другой стороне все аналогично.<br>&gt;&gt; И посмотрите какой размер TCP окна при передачи.<br>&gt; iperf - ставлю на обоих сторонах 64k.<br><br>Странная конфигурация. Обычно так не шифруют GRE. Либо поднимают сразу Tunnel type ipsec, либо на GRE туннель вешают crypto profile (так обычно делают в DMVPN). Я бы порекомендовал вот так:<br><br>crypto keyring mykeyring<br> pre-shared-key address 10.253.45.38 key mykey<br><br>crypto isakmp policy 10<br> encr aes 256<br> authentication pre-share<br> group 2<br><br>crypto isakmp profile ISAKMP-PROFILE<br> keyring mykeyring<br> match identity address 10.253.45.38 255.255.255.255<br><br><br>crypto ipsec transform-set AES256-SHA-TRANSPORT esp-aes 256 esp-sha-hmac<br> mode transport<br><br>crypto ipsec pr https://m.opennet.dev/openforum/vsluhforumID6/982.html#6 Wed, 25 Sep 2013 14:53:35 GMT &gt; Показывайте конфиги.<br><br>crypto isakmp policy 2<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br> lifetime 7200<br>crypto isakmp key mykey address 10.253.45.38 <br>!<br>crypto ipsec transform-set to_branch esp-aes esp-sha-hmac <br> mode transport<br>здесь пробовал разные типы шифрации и mode<br>!<br>crypto map branch_map 10 ipsec-isakmp <br> set peer 10.253.45.38<br> set transform-set to_branch <br> match address to_branch2<br>!<br>interface Tunnel2<br> ip address 10.253.45.41 255.255.255.252<br> ip mtu 1400<br> ip flow ingress - для чистоты эксперимента убирал<br> ip flow egress<br> ip tcp adjust-mss 1360<br> load-interval 30<br> keepalive 5 3<br> tunnel source 10.253.45.37<br> tunnel destination 10.253.45.38<br> tunnel path-mtu-discovery<br>!<br>interface GigabitEthernet0/0<br> description *** To CORE ***<br> ip address 10.44.18.25 255.255.255.248<br> duplex auto<br> speed auto<br>!<br>interface GigabitEthernet0/2<br> description *** To office2 ***<br> ip address 10.253.45.37 255.255.255.252<br> load-interval 30<br> duplex auto<br> speed auto<br> crypto map map_b