Доброго времени суток.
Есть 2 тунеля с 2-мя офисами. Один в Даласе, другой в Харькове. Сам в Питере.
Ipsec тунели
esp-3des-md5 шифрование
5510 асы В Питере и Даласе. 7-й иос. На одной после перешёл на 8-й.
В харкове пикс.
Всё работает, но есть одно но.
Скорость всегда в любом направлении 60-70 килобайт в секунду.
Из любого офиса в любой другой.
Каналы в офисах 20 мегабит.
От нагрузки не зависит.
Кудаб капнуть...?
чем проверял скорость? и начем?
в конфиге нет ограничений? смотреть на обоих кошках!
из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.
>чем проверял скорость? и начем?Проверял на копировании мелких и больших фийлов
>в конфиге нет ограничений? смотреть на обоих кошках!Ограничений нет в принципе. Аса и не умеет этого делать (динамически распределяет нагрузку от кол-ва тунелей) ДА же когда я ставил мах возможное уол-во тунелей 2 - скорость не менялась.
>из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.
>Вот и я не понимаю где грабли 8=(
>[оверквотинг удален]
>Проверял на копировании мелких и больших фийлов
>>в конфиге нет ограничений? смотреть на обоих кошках!
>
>Ограничений нет в принципе. Аса и не умеет этого делать (динамически распределяет
>нагрузку от кол-ва тунелей) ДА же когда я ставил мах возможное
>уол-во тунелей 2 - скорость не менялась.
>>из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.
>>
>
>Вот и я не понимаю где грабли 8=(А Вы не пробывали выкладывать конфиг в студию? Глядишь у кого мысль и появится...
>А Вы не пробывали выкладывать конфиг в студию? Глядишь у кого мысль
>и появится...: Saved
:
ASA Version 8.0(4)
!
hostname qr-gatekeeper
domain-name quickoffice.com
enable password qNhILPcq20nAXhFb encrypted
passwd WD1MnVJ.J7nG4x02 encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 84.17.23.98 255.255.255.224
ospf cost 10
!
interface Ethernet0/1
nameif DMZ
security-level 50
ip address 192.168.19.1 255.255.255.0
ospf cost 10
!
interface Ethernet0/2
nameif inside
security-level 100
ip address 192.168.9.1 255.255.255.0
ospf cost 10
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
nameif management
security-level 100
no ip address
ospf cost 10
management-only
!
boot system disk0:/asa804-k8.bin
ftp mode passive
clock timezone CET 3
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
name-server 10.110.1.5
name-server 10.200.1.5
domain-name quickoffice.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service isakmp udp
port-object eq isakmp
object-group icmp-type ICMP
icmp-object alternate-address
icmp-object conversion-error
icmp-object echo
icmp-object echo-reply
icmp-object information-reply
icmp-object information-request
icmp-object mask-reply
icmp-object mask-request
icmp-object mobile-redirect
icmp-object parameter-problem
icmp-object redirect
icmp-object router-advertisement
icmp-object router-solicitation
icmp-object source-quench
icmp-object time-exceeded
icmp-object timestamp-reply
icmp-object timestamp-request
icmp-object traceroute
icmp-object unreachable
access-list outside_nat0_outbound extended permit ip any host 84.17.23.98
access-list outbound_traffic_on_inside extended permit icmp any any
access-list outbound_traffic_on_inside extended deny ip any 192.168.19.0 255.255.255.0
access-list outbound_traffic_on_inside extended permit tcp any 10.200.1.0 255.255.255.0 eq smtp
access-list outbound_traffic_on_inside extended permit tcp 10.200.1.0 255.255.255.0 any eq smtp
access-list outbound_traffic_on_inside extended permit tcp 10.110.1.0 255.255.255.0 any eq smtp
access-list outbound_traffic_on_inside extended permit ip any any
access-list inbound_traffic_on_outside extended permit udp host 75.37.217.2 host 84.17.23.98 eq isakmp
access-list inbound_traffic_on_outside extended permit udp host 193.178.251.163 host 84.17.23.98 eq isakmp
access-list inbound_traffic_on_outside extended permit udp host 66.111.106.178 interface outside eq isakmp
access-list inbound_traffic_on_outside extended permit ip host 84.17.23.102 host 10.110.1.203
access-list inbound_traffic_on_outside extended permit icmp any host 84.17.23.98 object-group ICMP
access-list inbound_traffic_on_outside extended permit icmp host 84.17.23.98 host 193.178.251.163 object-group ICMP
access-list inbound_traffic_on_outside extended permit icmp any any object-group ICMP
access-list inbound_traffic_on_outside extended permit icmp any any
access-list outbound_traffic_on_dmz extended permit icmp 192.168.20.0 255.255.255.0 any
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 10.200.0.0 255.255.0.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 10.204.0.0 255.255.0.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.20.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.100.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.11.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.114.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.115.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.123.0 255.255.255.0
access-list nonat extended permit ip 192.168.19.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list nonat extended permit ip 192.168.9.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list nonat extended permit ip 10.110.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 10.204.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.10.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.20.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.100.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.19.0 255.255.255.0 172.29.0.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 192.168.9.0 255.255.255.0 172.29.0.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 172.29.0.0 255.255.255.0
access-list encrypt-dall-acl extended permit ip 10.110.0.0 255.255.0.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 10.204.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.100.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 10.200.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 10.204.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.20.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.100.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.11.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.114.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.115.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.123.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.19.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.9.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 10.2.8.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip interface inside 10.2.8.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.110.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip any 10.110.6.192 255.255.255.192
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.11.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.11.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.114.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.114.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.115.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.115.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 10.110.0.0 255.255.0.0 192.168.123.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.19.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list encrypt-nyc-acl extended permit ip 192.168.9.0 255.255.255.0 192.168.123.0 255.255.255.0
access-list outside_cryptomap_20 extended permit ip 10.110.0.0 255.255.0.0 10.2.8.0 255.255.255.0
access-list outside_cryptomap_20 extended permit ip interface inside 10.2.8.0 255.255.255.0
access-list outside_nat0_inbound remark production asterisk to internal test asterisk rule
access-list outside_nat0_inbound extended permit ip host 84.17.23.102 host 10.110.1.203
access-list outside_cryptomap_32 extended permit ip 10.110.0.0 255.255.0.0 192.168.1.0 255.255.255.0
access-list test extended permit udp any host 84.17.23.98 eq isakmp
access-list Local_LAN_Access standard permit host 0.0.0.0
access-list spb-vpn_splitTunnelAcl standard permit any
access-list icmp_debug extended permit icmp host 193.178.251.163 host 84.17.23.98 object-group ICMP
access-list icmp_debug extended permit icmp host 84.17.23.98 host 193.178.251.163 object-group ICMP
pager lines 24
logging enable
logging buffered debugging
logging recipient-address vladislav.varnavsky@quickoffice.com level errors
mtu outside 1500
mtu DMZ 1500
mtu inside 1500
mtu management 1500
ip local pool vpnpool 10.110.6.200-10.110.6.240 mask 255.255.255.0
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any outside
icmp permit host 193.178.251.163 echo outside
icmp permit host 193.178.251.163 echo-reply outside
icmp permit any DMZ
icmp permit any inside
asdm image disk0:/asdm-613.bin
no asdm history enable
arp timeout 14400
global (outside) 99 84.17.23.99
global (outside) 100 84.17.23.100
global (outside) 101 84.17.23.101
nat (outside) 0 access-list outside_nat0_outbound
nat (outside) 0 access-list outside_nat0_inbound outside
nat (DMZ) 0 access-list nonat
nat (DMZ) 100 192.168.19.0 255.255.255.0
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 99 10.110.1.203 255.255.255.255
nat (inside) 99 10.110.1.0 255.255.255.0
nat (inside) 100 10.110.0.0 255.255.0.0
static (DMZ,outside) 192.168.19.0 192.168.19.0 netmask 255.255.255.0
static (inside,outside) interface 84.17.23.98 netmask 255.255.255.255
access-group inbound_traffic_on_outside in interface outside per-user-override
access-group outbound_traffic_on_dmz in interface DMZ
access-group outbound_traffic_on_inside in interface inside
route outside 0.0.0.0 0.0.0.0 84.17.23.97 1
route inside 10.110.0.0 255.255.0.0 192.168.9.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
ldap attribute-map VPN-map
map-name memberOf IETF-Radius-Class
dynamic-access-policy-record DfltAccessPolicy
dynamic-access-policy-record Qr-vpn
priority 1
webvpn
file-browsing enable
file-entry enable
http-proxy enable
url-entry enable
svc ask enable default svc
aaa-server group1 protocol radius
aaa-server group1 (outside) host 84.17.23.98
timeout 30
aaa-server Spb-vpn protocol ldap
aaa-server Spb-vpn (inside) host 10.110.1.5
timeout 5
server-type auto-detect
aaa authentication ssh console LOCAL
aaa local authentication attempts max-fail 16
http server enable
http 192.168.9.0 255.255.255.0 inside
http 192.168.10.0 255.255.255.0 inside
http 10.200.0.0 255.255.0.0 inside
http 192.168.100.0 255.255.255.0 inside
http 10.110.0.0 255.255.0.0 inside
http 192.168.1.0 255.255.255.0 management
http redirect outside 80
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
virtual http 84.17.23.98 warning
sysopt connection tcpmss 0
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES esp-3des esp-none
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 40 set security-association lifetime seconds 28800
crypto dynamic-map outside_dyn_map 40 set security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 40 set reverse-route
crypto map ipsec 20 match address outside_cryptomap_20
crypto map ipsec 20 set peer 66.111.106.178
crypto map ipsec 20 set transform-set ESP-3DES-MD5 ESP-DES-MD5 ESP-3DES-SHA
crypto map ipsec 20 set security-association lifetime seconds 28800
crypto map ipsec 20 set security-association lifetime kilobytes 4608000
crypto map ipsec 20 set reverse-route
crypto map ipsec 31 match address encrypt-dall-acl
crypto map ipsec 31 set peer 75.37.217.2
crypto map ipsec 31 set transform-set ESP-3DES-MD5
crypto map ipsec 31 set security-association lifetime seconds 28800
crypto map ipsec 31 set security-association lifetime kilobytes 46080000
crypto map ipsec 31 set phase1-mode aggressive
crypto map ipsec 31 set reverse-route
crypto map ipsec 32 match address outside_cryptomap_32
crypto map ipsec 32 set peer 193.178.251.163
crypto map ipsec 32 set transform-set ESP-3DES
crypto map ipsec 32 set security-association lifetime seconds 28800
crypto map ipsec 32 set security-association lifetime kilobytes 4608000
crypto map ipsec 32 set reverse-route
crypto map ipsec 40 match address encrypt-nyc-acl
crypto map ipsec 40 set peer 66.114.243.108
crypto map ipsec 40 set transform-set ESP-3DES-MD5
crypto map ipsec 40 set security-association lifetime seconds 28800
crypto map ipsec 40 set security-association lifetime kilobytes 4608000
crypto map ipsec 40 set nat-t-disable
crypto map ipsec 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map ipsec interface outside
crypto isakmp identity hostname
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime none
crypto isakmp policy 30
authentication pre-share
encryption 3des
hash sha
group 2
lifetime none
crypto isakmp disconnect-notify
client-update enable
vpn-sessiondb max-session-limit 3
telnet timeout 5
ssh 10.200.0.0 255.255.0.0 inside
ssh 192.168.9.0 255.255.255.0 inside
ssh 192.168.10.0 255.255.255.0 inside
ssh 10.110.0.0 255.255.0.0 inside
ssh 192.168.100.0 255.255.255.0 inside
ssh timeout 30
ssh version 2
console timeout 0
management-access inside
dhcpd dns 10.110.1.5 10.200.1.5
dhcpd wins 10.110.1.5
dhcpd domain quickoffice.com
dhcpd auto_config outside vpnclient-wins-override
!
vpn load-balancing
priority 1
no threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 10.110.1.5 prefer
ssl encryption 3des-sha1
webvpn
enable outside
svc image disk0:/anyconnect-win-2.2.0136-k9.pkg 1
svc image disk0:/anyconnect-linux-2.2.0136-k9.pkg 2
svc image disk0:/anyconnect-macosx-i386-2.2.0136-k9.pkg 3
svc enable
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol IPSec webvpn
split-tunnel-network-list value Local_LAN_Access
group-policy spb-vpn internal
group-policy spb-vpn attributes
vpn-tunnel-protocol IPSec l2tp-ipsec svc
username admin password yVnR6lV1pXRXqeyk encrypted privilege 15
username user1 password ViQRdVMrQ/S6ohr. encrypted
username user1 attributes
service-type remote-access
tunnel-group 75.37.217.2 type ipsec-l2l
tunnel-group 75.37.217.2 ipsec-attributes
pre-shared-key *
isakmp keepalive threshold infinite
tunnel-group 66.114.243.108 type ipsec-l2l
tunnel-group 66.114.243.108 ipsec-attributes
pre-shared-key *
tunnel-group 66.111.106.178 type ipsec-l2l
tunnel-group 66.111.106.178 ipsec-attributes
pre-shared-key *
tunnel-group 193.178.251.163 type ipsec-l2l
tunnel-group 193.178.251.163 ipsec-attributes
pre-shared-key *
peer-id-validate nocheck
tunnel-group spb-vpn type remote-access
tunnel-group spb-vpn general-attributes
address-pool vpnpool
authentication-server-group Spb-vpn
default-group-policy spb-vpn
tunnel-group-map enable rules
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d4d898f8dd88ec6938ca9a3cc71a92c4
: end
asdm image disk0:/asdm-613.bin
asdm location 84.17.23.98 255.255.255.255 outside
asdm location 10.110.0.0 255.255.0.0 inside
asdm location 10.2.8.0 255.255.255.0 outside
asdm location 10.110.1.0 255.255.255.0 inside
asdm location 10.200.1.0 255.255.255.0 outside
asdm location 10.110.1.203 255.255.255.255 inside
asdm location 192.168.1.0 255.255.255.0 outside
asdm location 193.178.251.163 255.255.255.255 outside
no asdm history enable
НА этом мысли заканчиваются? =(
малая скорость на всех тунелях?
vpn load-balancing - это балансировка по тунелям? .... с этим раньше я не сталкивался.
скорость смотрел при скачивании по ftp? просто я сталкивался стем что при копирование файлов через расшареные папки виндов скорость была меньше.
оборудование с двух концов перезагружал?
>малая скорость на всех тунелях?Опсалютно одинаковая на любом тунеле и в любом направлении!
>vpn load-balancing - это балансировка по тунелям? .... с этим раньше я
>не сталкивался.Ну да...с этим я игрался - без толку.
>скорость смотрел при скачивании по ftp? просто я сталкивался стем что при
>копирование файлов через расшареные папки виндов скорость была меньше.НЕ на столько меньше, что бы не давать хотя бы 1-2 мегабита (при скорости канала в 20)
>оборудование с двух концов перезагружал?Неоднократно
с отключонной балансировкой пробовал?
на сколько я знаю, asa не поддерживает балансоровку по тунелям, только резервирование канала. если основной падает, через 3сек трафик начинает идти по другому.
балансировка это привелегия роутеров. если я не прав! поправте!
если есть возможнось облегчить конфиг я бы оставил быcrypto map ipsec 31 match address encrypt-dall-acl
crypto map ipsec 31 set peer 75.37.217.2
crypto map ipsec 31 set transform-set ESP-3DES-MD5для всех крипто мап. этого достаточно для работы тунеля... а обции безопасности пока отключилбы. (имеется ввиду crypto map set security-association lifetime)
отключил бы все static ....
отключил бы балансировку ...
и рекомндую сменить пароли ... так как щас почти любой может увести у тебя железкукстати в какой момент выяснилось что скорость мала? пробуй плесать от этого..
а то мы так всесь конфиг у тебя по вытераем :)
>
>кстати в какой момент выяснилось что скорость мала? пробуй плесать от этого..По сути с момента создания тунеля =)
>
>а то мы так всесь конфиг у тебя по вытераем :)ДА вы то трите ... бэкап есть +)
Балансировка не пашет...ибо нужен кластер для этого
Статики имхо нет смысла борубать - не влияют на скорость =0
>и рекомндую сменить пароли ... так как щас почти любой может увести
>у тебя железкуНУ доступа извне то нет
Только снутри.
По запарке выложил всё
если железяка тестовая... можно вообще конфиг грохнуть (предварительно сохранив его)
и просто поднять туннел. посмотреть скорось. а потом при необходимости вбить все остальное.
займет гдето 1-3 часа.. но возможно потом придется тоже самое проделать со второй железкой..если рабочая... попробуйте всетаки удалить то чо я писал... порой самые не очивидные вещи приводят к нужному результату.
>если рабочая... попробуйте всетаки удалить то чо я писал... порой самые не
>очивидные вещи приводят к нужному результату.Согласен с тобой, но железка рабочая и постоянно юзается тунель 8=(
Поднимался отдельный тунель в Харьков...с нуля и всяко ковырялся...может просто я совсем лох - вот и прошу помощи, мож чего очевидного не увидил.Просто когда начинаешь копировать файл фаром тем же...скорость начинается от 65536 байт\с
Если б не эта цифра - я бы может быть меньше напрягался.
НА лицо какое то резанье =0
Кстати потом разгоняется почти до 100000
>>А Вы не пробывали выкладывать конфиг в студию? Глядишь у кого мысль
>>и появится...
>
>: Saved
>:
>ASA Version 8.0(4)
>!Как вариант
mtu outside 1469
>Как вариант
>
>mtu outside 1469Пардон...а что это даст?
>>Как вариант
>>
>>mtu outside 1469
>
>Пардон...а что это даст?Если пакет слишком большой (а так возможно, вы ведь не знаете, как эти пакеты передаются между кисками), то они просто не помещаются и начинают фрагментироваться .
ping уешь пакетами от 1500 опускаясь вниз при этом еще указываешь параметр дефрагментации и смотришь чтобы не было фрагментации пакета. например так
ping Другой_Конец -l -f
где
-l размер Размер буфера отправки.
-f Установка флага, запрещающего фрагментацию пакета.
>чем проверял скорость? и начем?
>в конфиге нет ограничений? смотреть на обоих кошках!
>из практики такого быть не должно, 80Мб в среднем полезного трафика нормально.
>А что говорит
sh int et 0/0
>А что говорит
>
>sh int et 0/0Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
MAC address 001f.9ebc.ae9e, MTU 1500
IP address 84.17.23.98, subnet mask 255.255.255.224
479068795 packets input, 378924857592 bytes, 0 no buffer
Received 526225 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 L2 decode drops
467370799 packets output, 286703559645 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max packets): hardware (1/30) software (0/0)
output queue (curr/max packets): hardware (0/28) software (0/0)
Traffic Statistics for "outside":
478948379 packets input, 369609569292 bytes
467370799 packets output, 277452634656 bytes
2068719 packets dropped
1 minute input rate 127 pkts/sec, 117170 bytes/sec
1 minute output rate 105 pkts/sec, 19972 bytes/sec
1 minute drop rate, 2 pkts/sec
5 minute input rate 198 pkts/sec, 210911 bytes/sec
5 minute output rate 153 pkts/sec, 20525 bytes/sec
5 minute drop rate, 2 pkts/sec
del
Мысли кончились? =(
У меня была такая же проблема случайно заменил свич за асой все выровнялось. Как вариант.