The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 7206-NPE-G2 VPN-туннели"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco 7206-NPE-G2 VPN-туннели"  +/
Сообщение от evb email(??) on 13-Янв-07, 15:53 
Поставили на агрегацию VPN Cisco 7206-NPE-G2.

Залит такой софт:
Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version
12.4(4)XD4, RELEASE SOFTWARE (fc1)

Ситуация следующая:
1) sh users sum
      2823 total session(s) (только PPTP)
2) интерфейс смотрящий в локальную сеть:
     5 minute input rate 170417000 bits/sec, 46491 packets/sec
     5 minute output rate 158891000 bits/sec, 43286 packets/sec
    интерфейс смотрящий в интернет:
     5 minute input rate 121334000 bits/sec, 27130 packets/sec
     5 minute output rate 115281000 bits/sec, 28053 packets/sec
3)  sh proc cpu sor
CPU utilization for five seconds: 78%/62%; one minute: 80%; five minutes:
80%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
217     3693212   2966292       1245  5.24%  4.06%  4.05%   0 TCP Driver
215     1904668   5351411        355  2.21%  2.23%  2.22%   0 PPTP Mgmt
  73     2254752  16863181        133  1.72%  1.89%  1.90%   0 IP Input
216     2174596  32017265         67  1.63%  1.60%  1.59%   0 PPTP Data
221      275148   5823764         47  1.31%  1.37%  1.38%   0 PPP Events

Компрессия и шифрация сессий отключены.
Настройки vitrual-template такие:

interface Virtual-Template1
mtu 1460
ip unnumbered Loopback0
no ip proxy-arp
ip flow ingress
ip flow egress
ip virtual-reassembly
no logging event link-status
no peer default ip address
ppp authentication ms-chap-v2

Из радиуса на каждую сессию передаётся параметры "rate-limit" на входящий и
исходящий трафик. Раньше из радиуса передавались параметры access-list
(in/out) для каждого пользователя - это убрали для повышения
производительности. Помогло не сильно :(

В даташитах обещают 16к VPN сессий. Зная циску, расчитывали на 6-7к сессий.
Но такой расклад ни в какие ворота не лезет - получается что при трафике
~150mbit in/150mbit out
cisco 7206-npe-g2 может терминировать только 3,5к - 4к VPN сессий?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 7206-NPE-G2 VPN-туннели"  +/
Сообщение от Nailer (??) on 13-Янв-07, 16:21 
>Поставили на агрегацию VPN Cisco 7206-NPE-G2.
>
>Залит такой софт:
>Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version
>12.4(4)XD4, RELEASE SOFTWARE (fc1)
>
>Ситуация следующая:
>1) sh users sum
>      2823 total session(s) (только PPTP)
>2) интерфейс смотрящий в локальную сеть:
>     5 minute input rate 170417000 bits/sec, 46491
>packets/sec
>     5 minute output rate 158891000 bits/sec, 43286
>packets/sec
>    интерфейс смотрящий в интернет:
>     5 minute input rate 121334000 bits/sec, 27130
>packets/sec
>     5 minute output rate 115281000 bits/sec, 28053
>packets/sec
>3)  sh proc cpu sor
>CPU utilization for five seconds: 78%/62%; one minute: 80%; five minutes:
>80%
> PID Runtime(ms)   Invoked      uSecs
>  5Sec   1Min   5Min TTY Process
>
> 217     3693212   2966292  
>    1245  5.24%  4.06%  4.05%
>  0 TCP Driver
> 215     1904668   5351411  
>     355  2.21%  2.23%  
>2.22%   0 PPTP Mgmt
>  73     2254752  16863181  
>     133  1.72%  1.89%  
>1.90%   0 IP Input
> 216     2174596  32017265    
>     67  1.63%  1.60%  
>1.59%   0 PPTP Data
> 221      275148   5823764  
>       47  1.31%  
>1.37%  1.38%   0 PPP Events
>
>Компрессия и шифрация сессий отключены.
>Настройки vitrual-template такие:
>
>interface Virtual-Template1
> mtu 1460
> ip unnumbered Loopback0
> no ip proxy-arp
> ip flow ingress
> ip flow egress
> ip virtual-reassembly
> no logging event link-status
> no peer default ip address
> ppp authentication ms-chap-v2
>
>Из радиуса на каждую сессию передаётся параметры "rate-limit" на входящий и
>исходящий трафик. Раньше из радиуса передавались параметры access-list
>(in/out) для каждого пользователя - это убрали для повышения
>производительности. Помогло не сильно :(
>
>В даташитах обещают 16к VPN сессий. Зная циску, расчитывали на 6-7к сессий.
>
>Но такой расклад ни в какие ворота не лезет - получается что
>при трафике
>~150mbit in/150mbit out
>cisco 7206-npe-g2 может терминировать только 3,5к - 4к VPN сессий?

Конфигу целиком покажите..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 7206-NPE-G2 VPN-туннели"  +/
Сообщение от evb email(??) on 13-Янв-07, 16:31 
upgrade fpd auto
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
hostname xxxxx
!
boot-start-marker
boot system flash bootflash:c7200p-advipservicesk9-mz.124-4.XD4.bin
boot-end-marker
!
logging buffered 51200 warnings
enable password 7 xxxxx
!
aaa new-model
!
aaa authentication login default local
aaa authentication ppp default group radius local
aaa authorization config-commands
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
!
aaa pod server auth-type any server-key xxxxxxx
aaa session-id common
!
resource policy
!
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip cef
!
ip domain name xxxxxxx.ru
ip name-server xxx.xx.xx.xx
ip name-server xxx.xx.xx.xx
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
local name xxxxxx
!
interface Loopback0
ip address 172.16.0.1 255.255.255.255
!
interface GigabitEthernet0/1
ip address xxx.xx.xx.xx 255.255.255.0
duplex auto
speed auto
media-type rj45
negotiation auto
!
interface GigabitEthernet0/2.14
description vpn-vlan
encapsulation dot1Q 14
ip address xxx.xxx.xx.xxx xxx.xxx.xxx.xxx
ip ospf message-digest-key 1 md5 7 xxxxxxxx
no snmp trap link-status
!
interface Virtual-Template1
mtu 1460
ip unnumbered Loopback0
no ip proxy-arp
ip flow ingress
ip flow egress
ip virtual-reassembly
no logging event link-status
no peer default ip address
ppp authentication ms-chap-v2
!
router ospf 1
router-id xxx.xxx.xxx.xxx
log-adjacency-changes
area 0 authentication message-digest
redistribute connected subnets
redistribute static
network xxx.xxx.xxx.xxx x.x.xxx.xxx area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
no ip http server
no ip http secure-server
!
ip bgp-community new-format
ip flow-export source GigabitEthernet0/1
ip flow-export version 5
ip flow-export destination xxx.xxx.xxx.xxx 3010
!
logging alarm informational
!
access-list 140 deny   tcp any any eq 135
access-list 140 deny   tcp any any eq 139
access-list 140 deny   tcp any any eq 445
access-list 140 deny   udp any any eq 135
access-list 140 deny   udp any any eq 136
access-list 140 deny   udp any any eq netbios-ns
access-list 140 deny   udp any any eq netbios-dgm
access-list 140 deny   udp any any eq netbios-ss
access-list 140 permit ip any any
!
access-list 153 deny   tcp any any eq 135
access-list 153 deny   tcp any any eq 137
access-list 153 deny   tcp any any eq 139
access-list 153 deny   tcp any any eq 445
access-list 153 deny   udp any any eq netbios-ns
access-list 153 deny   udp any any eq netbios-dgm
access-list 153 permit ip any any
!
radius-server attribute 8 include-in-access-req
radius-server configure-nas
radius-server host xxx.xxx.xxx.xxx auth-port 1812 acct-port 1813
radius-server timeout 30
radius-server key 7 xxxxxxxxx
radius-server authorization default Framed-Protocol ppp
radius-server vsa send accounting
radius-server vsa send authentication

Из радиуса передаётся
ip access-list 140 in
ip access-list 153 out
и
rate limit input
rate limit output

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 7206-NPE-G2 VPN-туннели"  +/
Сообщение от 123 (??) on 15-Янв-07, 00:38 
>upgrade fpd auto
>version 12.4
>service timestamps debug datetime msec
>service timestamps log datetime msec
>service password-encryption
>hostname xxxxx
>!
>boot-start-marker
>boot system flash bootflash:c7200p-advipservicesk9-mz.124-4.XD4.bin
>boot-end-marker
>!
>logging buffered 51200 warnings
>enable password 7 xxxxx
>!
>aaa new-model
>!
>aaa authentication login default local
>aaa authentication ppp default group radius local
>aaa authorization config-commands
>aaa authorization network default group radius
>aaa accounting network default start-stop group radius
>aaa accounting system default start-stop group radius
>!
>aaa pod server auth-type any server-key xxxxxxx
>aaa session-id common
>!
>resource policy
>!
>clock timezone MSK 3
>clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00
>
>ip subnet-zero
>ip cef
>!
>ip domain name xxxxxxx.ru
>ip name-server xxx.xx.xx.xx
>ip name-server xxx.xx.xx.xx
>vpdn enable
>!
>vpdn-group 1
>! Default PPTP VPDN group
> accept-dialin
>  protocol pptp
>  virtual-template 1
> local name xxxxxx
>!
>interface Loopback0
> ip address 172.16.0.1 255.255.255.255
>!
>interface GigabitEthernet0/1
> ip address xxx.xx.xx.xx 255.255.255.0
> duplex auto
> speed auto
> media-type rj45
> negotiation auto
>!
>interface GigabitEthernet0/2.14
> description vpn-vlan
> encapsulation dot1Q 14
> ip address xxx.xxx.xx.xxx xxx.xxx.xxx.xxx
> ip ospf message-digest-key 1 md5 7 xxxxxxxx
> no snmp trap link-status
>!
>interface Virtual-Template1
> mtu 1460
> ip unnumbered Loopback0
> no ip proxy-arp
> ip flow ingress
> ip flow egress
> ip virtual-reassembly
> no logging event link-status
> no peer default ip address
> ppp authentication ms-chap-v2
>!
>router ospf 1
> router-id xxx.xxx.xxx.xxx
> log-adjacency-changes
> area 0 authentication message-digest
> redistribute connected subnets
> redistribute static
> network xxx.xxx.xxx.xxx x.x.xxx.xxx area 0
>!
>ip classless
>ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
>no ip http server
>no ip http secure-server
>!
>ip bgp-community new-format
>ip flow-export source GigabitEthernet0/1
>ip flow-export version 5
>ip flow-export destination xxx.xxx.xxx.xxx 3010
>!
>logging alarm informational
>!
>access-list 140 deny   tcp any any eq 135
>access-list 140 deny   tcp any any eq 139
>access-list 140 deny   tcp any any eq 445
>access-list 140 deny   udp any any eq 135
>access-list 140 deny   udp any any eq 136
>access-list 140 deny   udp any any eq netbios-ns
>access-list 140 deny   udp any any eq netbios-dgm
>access-list 140 deny   udp any any eq netbios-ss
>access-list 140 permit ip any any
>!
>access-list 153 deny   tcp any any eq 135
>access-list 153 deny   tcp any any eq 137
>access-list 153 deny   tcp any any eq 139
>access-list 153 deny   tcp any any eq 445
>access-list 153 deny   udp any any eq netbios-ns
>access-list 153 deny   udp any any eq netbios-dgm
>access-list 153 permit ip any any
>!
>radius-server attribute 8 include-in-access-req
>radius-server configure-nas
>radius-server host xxx.xxx.xxx.xxx auth-port 1812 acct-port 1813
>radius-server timeout 30
>radius-server key 7 xxxxxxxxx
>radius-server authorization default Framed-Protocol ppp
>radius-server vsa send accounting
>radius-server vsa send authentication
>
>Из радиуса передаётся
>ip access-list 140 in
>ip access-list 153 out

>rate limit input
>rate limit output

попробуйте сделать шейпинг  через полиси
типа так

задать статично  на самой циске типа

policy-map Vpn56
class class-default
  police rate 56000 bps burst 7000 bytes peak-rate 64000 bps peak-burst 8000 byt                    es
policy-map Vpn56in
class class-default
  police rate 56000 bps burst 7000 bytes

и передавать на циску уже

service-policy output Vpn56
service-policy input Vpn56in

получше ratelimit будет

и аксес листы можно статично на темплейт прописать, нахрен их выдавать если они не меняются?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 7206-NPE-G2 VPN-туннели"  +/
Сообщение от 123 (??) on 15-Янв-07, 00:53 
зачем кстати mtu 1460 если шифрации нет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 7206-NPE-G2 VPN-туннели"  +/
Сообщение от mick email(??) on 29-Ноя-09, 06:53 
>зачем кстати mtu 1460 если шифрации нет?

любая энкапсуляция кушает MTU (pptp - это тоже энкапсуляция, даже если не шифруется). Конечно, может и 1460 нужно, а побольше, но все же не 1500.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 7206-NPE-G2 VPN-туннели"  +/
Сообщение от Димыч (??) on 25-Май-08, 18:46 
>получше ratelimit будет

а можно вопрос неопытному, а почему получше ?
чем ?
загрузка меньше.. ??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру