URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10760
[ Назад ]

Исходное сообщение
"Cisco VPDN"
Отправлено romus , 15-Июн-06 11:53

Есть проблема. Ее долго описывать, пэтому дам просто ссылку на схему.
http://www.rtelekom.ru/romus/pic/pptp.gif
В двух словах. Есть два ВПН сервера (PPTP), один на MPD второй собран на 3662. Есть офис, подключеный по радио. В офисе есть ноут. С ноута подключаюсь к удаленному ВПН серверу на фряхе, все нормально, скорость 300К. Подключаюсь к ВПН, поднятому на 3662, скорость прыгает от 5К до до 200К, средняя 50К. Беру ноут, еду к циске, включаюсь в тот же коммутатор, что и радио включено, там все нормально, циска отдает на полной скорости. Смотрите схему.
Вот комментарии из схемы
1. Работаем просто по роутингу, с ФТП качаем файло на ноут.  Скорость 300 К в секунду
2. Подсоединяемся ВПН клиентом (PPTP) к MPD серверу под фряхой. Скорость 300 К в секунду.
3. Подсоединяемся ВПН клиентом (PPTP) к VPDN серверу на циске. Начинается непонятное… Скорость прыгает от 5 К до 200 К.
4. Берем ноут, едем непосредственно к циске, включаем в свитч 2. Подключаемся к VPDN, скорость > 1000К в секунду, что и понятно, локалка…  Такая же скорость и при терминации на фряхе.
Вывод: При работе через радиоканал, при соединии с циской по PPTP скорость от 5 до 200 к, средняя 50 К.
ЗЫ. На Canopy выключены все функции приоритезации и вланы.
ВОПРОС: почему через радиоканал, при терминации на циске такая хреновая скорость? ЧТо крутить в циске? С MTU и мультилинком на Virtual-template игрался. С CEF'ом тоже.

прошивка c3660-ik8s-mz.122-8.T8
Настройки циски.

aaa new-model
!
!
aaa authentication ppp default local group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting send stop-record authentication failure
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
aaa session-id common
!
ip subnet-zero
ip cef
!
!
vpdn-group pptp
! Default L2TP VPDN group
! Default PPTP VPDN group
accept-dialin
  protocol any
  virtual-template 1
local name pptp_for_clients
!
!
virtual-template 1 pre-clone 10
!
!
!
interface FastEthernet0/0
ip address 10.1.0.2 255.255.255.0
no ip mroute-cache
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.2.0.1 255.255.255.0
no ip mroute-cache
speed auto
full-duplex
!
interface Virtual-Template1
mtu 1492
ip unnumbered FastEthernet0/0
ip accounting output-packets
autodetect encapsulation ppp
ppp encrypt mppe 40 stateful
ppp authentication ms-chap callin
!
ip route 0.0.0.0 0.0.0.0 10.1.0.1
!
radius-server host 10.0.0.2 auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server timeout 30
radius-server key 7 pass
!
end

Содержание

Cisco VPDN,Lacunacoil, 00:32 , 17-Июн-06
- Cisco VPDN,romus, 15:51 , 17-Июн-06
  - Cisco VPDN,Lacunacoil, 14:19 , 18-Июн-06
Cisco VPDN,romus, 12:02 , 23-Июн-06
- Cisco VPDN,dmitrytim, 10:52 , 26-Июн-06
  - Cisco VPDN,romus, 12:58 , 26-Июн-06
    - Cisco VPDN,dmitrytim, 10:12 , 28-Июн-06

Сообщения в этом обсуждении

"Cisco VPDN"
Отправлено Lacunacoil , 17-Июн-06 00:32

>Есть проблема. Ее долго описывать, пэтому дам просто ссылку на схему.
>
>http://www.rtelekom.ru/romus/pic/pptp.gif
>
>В двух словах. Есть два ВПН сервера (PPTP), один на MPD второй
>собран на 3662. Есть офис, подключеный по радио. В офисе есть
>ноут. С ноута подключаюсь к удаленному ВПН серверу на фряхе, все
>нормально, скорость 300К. Подключаюсь к ВПН, поднятому на 3662, скорость прыгает
>от 5К до до 200К, средняя 50К. Беру ноут, еду к
>циске, включаюсь в тот же коммутатор, что и радио включено, там
>все нормально, циска отдает на полной скорости. Смотрите схему.
>
>Вот комментарии из схемы
>1. Работаем просто по роутингу, с ФТП качаем файло на ноут.
>Скорость 300 К в секунду
>2. Подсоединяемся ВПН клиентом (PPTP) к MPD серверу под фряхой. Скорость 300
>К в секунду.
>3. Подсоединяемся ВПН клиентом (PPTP) к VPDN серверу на циске. Начинается непонятное…
>Скорость прыгает от 5 К до 200 К.
>4. Берем ноут, едем непосредственно к циске, включаем в свитч 2. Подключаемся к VPDN, скорость > 1000К в секунду, что и понятно, локалка…  Такая же скорость и при терминации на фряхе.
>
>Вывод: При работе через радиоканал, при соединии с циской по PPTP скорость
>от 5 до 200 к, средняя 50 К.
>
>ЗЫ. На Canopy выключены все функции приоритезации и вланы.
>
>ВОПРОС: почему через радиоканал, при терминации на циске такая хреновая скорость? ЧТо
>крутить в циске? С MTU и мультилинком на Virtual-template игрался. С
>CEF'ом тоже.
>
>
>прошивка c3660-ik8s-mz.122-8.T8
>
>Настройки циски.
>
>
>aaa new-model
>!
>!
>aaa authentication ppp default local group radius
>aaa authorization exec default local
>aaa authorization network default group radius
>aaa accounting send stop-record authentication failure
>aaa accounting update periodic 1
>aaa accounting network default start-stop group radius
>aaa accounting system default start-stop group radius
>aaa session-id common
>!
>ip subnet-zero
>ip cef
>!
>!
>vpdn-group pptp
>! Default L2TP VPDN group
>! Default PPTP VPDN group
> accept-dialin
>  protocol any
>  virtual-template 1
> local name pptp_for_clients
>!
>!
>virtual-template 1 pre-clone 10
>!
>!
>!
>interface FastEthernet0/0
> ip address 10.1.0.2 255.255.255.0
> no ip mroute-cache
> duplex auto
> speed auto
> no cdp enable
>!
>interface FastEthernet0/1
> ip address 10.2.0.1 255.255.255.0
> no ip mroute-cache
> speed auto
> full-duplex
>!
>interface Virtual-Template1
> mtu 1492
> ip unnumbered FastEthernet0/0
> ip accounting output-packets
> autodetect encapsulation ppp
> ppp encrypt mppe 40 stateful
> ppp authentication ms-chap callin
>!
>ip route 0.0.0.0 0.0.0.0 10.1.0.1
>!
>radius-server host 10.0.0.2 auth-port 1812 acct-port 1813
>radius-server retransmit 3
>radius-server timeout 30
>radius-server key 7 pass
>!
>end

Посмотри нет ли ошибок на интерфейсе и посмотри цыска пакеты нормально фрагментирует(хотя врятли конечно проблема в этом). Пингани нет ли потерь.

"Cisco VPDN"
Отправлено romus , 17-Июн-06 15:51

>Посмотри нет ли ошибок на интерфейсе и посмотри цыска пакеты нормально фрагментирует(хотя
>врятли конечно проблема в этом). Пингани нет ли потерь.
Ошибок на интерфейсе нет конечно, и пингуется без потерь. Я и флудом пингал, и большими пакетами ( больше 2К )
Блин, грабли на пустом месте...

"Cisco VPDN"
Отправлено Lacunacoil , 18-Июн-06 14:19

>>Посмотри нет ли ошибок на интерфейсе и посмотри цыска пакеты нормально фрагментирует(хотя
>>врятли конечно проблема в этом). Пингани нет ли потерь.
>
>Ошибок на интерфейсе нет конечно, и пингуется без потерь. Я и флудом
>пингал, и большими пакетами ( больше 2К )
>Блин, грабли на пустом месте...

Пингать мало большими пакетами, надо посмотреть как идеть фрагментация пакетов. НТТП нормально работает ?

"Cisco VPDN"
Отправлено romus , 23-Июн-06 12:02

>Есть проблема. Ее долго описывать, пэтому дам просто ссылку на схему.
Проблема локализована, но не решена.
Как только отключаю шифрование MPPE на virtual-template, скорость нормализуется.
Буду пробовать на более свежей прошивке.

"Cisco VPDN"
Отправлено dmitrytim , 26-Июн-06 10:52

>>Есть проблема. Ее долго описывать, пэтому дам просто ссылку на схему.
>
>Проблема локализована, но не решена.
>
>Как только отключаю шифрование MPPE на virtual-template, скорость нормализуется.
>
>Буду пробовать на более свежей прошивке.

очень похоже что IOS. потому как механизм шифрации им реализуется. :(
Сообщите чем закончится замена IOS

"Cisco VPDN"
Отправлено romus , 26-Июн-06 12:58

>>>Есть проблема. Ее долго описывать, пэтому дам просто ссылку на схему.
>>
>>Проблема локализована, но не решена.
>>
>>Как только отключаю шифрование MPPE на virtual-template, скорость нормализуется.
>>
>>Буду пробовать на более свежей прошивке.
>
>
>очень похоже что IOS. потому как механизм шифрации им реализуется. :(
>Сообщите чем закончится замена IOS
Все заработало. Поставил прошивку c3660-ik9s-mz.123-14.T7.bin
Два клиента качают на скорости 300К каждый, каждый по своему радиоканалу. тянут файло с ФТП, ни одной ошибки шифрования MPPE. Загрузка проца 57% (((((
Так что дело было прошивке.
Теперь еще вопрос. Есть ли для платформы 3662 платы апаратного шифрования (как ISA для 7200). Ожидается до 500 одновременных коннектов PPTP с MPPE. Или не лечится?

"Cisco VPDN"
Отправлено dmitrytim , 28-Июн-06 10:12

>>>>Есть проблема. Ее долго описывать, пэтому дам просто ссылку на схему.
>>>
>>>Проблема локализована, но не решена.
>>>
>>>Как только отключаю шифрование MPPE на virtual-template, скорость нормализуется.
>>>
>>>Буду пробовать на более свежей прошивке.
>>
>>
>>очень похоже что IOS. потому как механизм шифрации им реализуется. :(
>>Сообщите чем закончится замена IOS
>
>Все заработало. Поставил прошивку c3660-ik9s-mz.123-14.T7.bin
>
>Два клиента качают на скорости 300К каждый, каждый по своему радиоканалу. тянут
>файло с ФТП, ни одной ошибки шифрования MPPE. Загрузка проца 57%
>(((((
>
>Так что дело было прошивке.
>
>Теперь еще вопрос. Есть ли для платформы 3662 платы апаратного шифрования (как
>ISA для 7200). Ожидается до 500 одновременных коннектов PPTP с MPPE.
>Или не лечится?
ну это по сайту циско поискать модуль аппаратной шифрации- есть несколько видов AIM модулей.