Новые ответы

Медленное VPN соединение,

AlexanderSV, 18-Мрт-10, 15:02 [смотреть все]

Имеются две циски, между которыми поднят L2L VPN. Обе подключены по оптике 100Mbps.
Конфигурация следующая:
RouterA
Cisco 2821 (12.3(8r)T7)
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key VPNaccess address 212.112.103.131 no-xauth
!
crypto ipsec transform-set MySet esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 212.112.103.131
set ip access-group RouterB_ACL out
set transform-set MySet
match address RouterB
!
...
!
interface FastEthernet0/1/1
switchport access vlan 12
no ip address
no cdp enable
!
interface Vlan12
description INTERNET
ip address 212.112.102.146 255.255.255.252
ip access-group 106 in
ip nat outside
ip tcp adjust-mss 1300
crypto map mymap
!
----------------
RouterB
Cisco 1760 (12.2(7r)XM2)
!
crypto isakmp policy 1
hash md5
authentication pre-share
group 2
crypto isakmp key VPNaccess address 212.112.102.146 no-xauth
!
!
crypto ipsec transform-set MySet esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
set peer 212.112.102.146
set ip access-group RouterA_ACL out
set transform-set MySet
match address RouterA
!
interface FastEthernet0/4
switchport access vlan 2
no ip address
no cdp enable
!
interface Vlan2
ip address 212.112.103.131 255.255.255.248
ip access-group 106 in
ip tcp adjust-mss 1300
crypto map mymap
!
В итоге, канал поднимается, все ок, но при этом скорость никакая. файл 4Мб качает 1-2 минуты. При этом на тех же каналах без VPN все летает. Пробовал менять mtu, не помогает.
На RouterB много ошибок отсылки:
interface: Vlan2
    Crypto map tag: mymap, local addr 212.112.103.131
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.31.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.11.0/255.255.255.0/0/0)
   current_peer 212.112.102.146 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 946829, #pkts encrypt: 946829, #pkts digest: 946829
    #pkts decaps: 118316, #pkts decrypt: 118316, #pkts verify: 118316
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1268, #recv errors 0
     local crypto endpt.: 212.112.103.131, remote crypto endpt.: 212.112.102.146
     path mtu 1500, ip mtu 1500
     current outbound spi: 0xCF7C6C28(3481037864)
     inbound esp sas:
      spi: 0x662AA67B(1714071163)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2005, flow_id: C1700_EM:5, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4587963/1392)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0xCF7C6C28(3481037864)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2006, flow_id: C1700_EM:6, crypto map: mymap
        sa timing: remaining key lifetime (k/sec): (4580869/1392)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
Куда копать???

Ответить | Сообщить модератору

Медленное VPN соединение, Ava, 16:02 , 18-Мрт-10 (1)
>
>Куда копать???
1760 - без криптопроцессора, боюсь что 1-2 мбита/с для нее потолок (хотя может и меньше) т.к. криптование идет через ЦПУ, посмотрите загрузку проца (sh proc cpu hist) во время копирования.
Но вообще 100 мбит криптовать даже 2821 с AIM не потянет.
см.: http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and...
Ответить | Сообщить модератору

Медленное VPN соединение, AlexanderSV, 16:05 , 19-Мрт-10 (2)
>>
>>Куда копать???
>
>1760 - без криптопроцессора, боюсь что 1-2 мбита/с для нее потолок (хотя
>может и меньше) т.к. криптование идет через ЦПУ, посмотрите загрузку проца
>(sh proc cpu hist) во время копирования.
>
>Но вообще 100 мбит криптовать даже 2821 с AIM не потянет.
>
>см.: http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and...
Судя по статье, да. Спасибо за ссылку!
Смотрел на проц первым делом, загруз был около 20% при копировании.
Тормоза видимо были из-за кривых маршрутов, которые не учли на др. цисках.
Поправили, проверили, скорость примерно 25Мб файл за 40сек. При этом проц грузится на 100% ;), циска тупит.
Отсюда вопрос, как теперь зашейпить трафик именно для VPN тунеля не трогая весь остальной?
Ответить | Сообщить модератору

Медленное VPN соединение, AlexanderSV, 16:15 , 19-Мрт-10 (3)
Еще один момент.
До VPN стояло правило для доступа к прокси извне:
ip nat inside source static tcp 192.168.0.1 3128 212.112.102.146 3128 extendable
Когда подняли VPN, пользователи из локальных сетей по ту сторону тунеля потеряли доступ к проксю.
Убираем правило, VPN-пользователи могут работать, внешние соответственно нет.
Как правильно исправить?
Ответить | Сообщить модератору

Медленное VPN соединение, Ava, 09:05 , 21-Мрт-10 (4)
>Еще один момент.
>До VPN стояло правило для доступа к прокси извне:
>ip nat inside source static tcp 192.168.0.1 3128 212.112.102.146 3128 extendable
>
>Когда подняли VPN, пользователи из локальных сетей по ту сторону тунеля потеряли
>доступ к проксю.
>Убираем правило, VPN-пользователи могут работать, внешние соответственно нет.
>
>Как правильно исправить?
Вместо простого ната использовать нат с роут-мэпом, в котором будет исключена трансляция локальных подсетей которые идут в впн.
Ответить | Сообщить модератору

Медленное VPN соединение, AlexanderSV, 15:35 , 23-Мрт-10 (5)
>Вместо простого ната использовать нат с роут-мэпом, в котором будет исключена трансляция
>локальных подсетей которые идут в впн.
Спасибо! Сделал с route-map, все заработало.
Как все же правильно зажать канал для VPN-трафика, чтобы не грузило проц?
Loopback + policy routing?
Ответить | Сообщить модератору