URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20057
[ Назад ]

Исходное сообщение
"Туннель с использованием DMVPN"
Отправлено Vladsky , 19-Ноя-09 13:32

добрый день )
поднят туннель VPN используя IPSec и профиль DMVPN
основной во главе роутер 2821 - к неум подключены по туннелю:
2800 - 1шт.
2801 - 1шт.
871 - 3 шт.
878 -  2 шт.
сети видны, все ок.. роуты прописаны..
основная задача изначально - внутр телефония, сейчас активно начинаем пользовать и сеть..
загвоздка в том, что скорость в туннеле очень низкая, при том, что интернет соединение в головном офисе где и стоит 2821 - 8Mbit синхронный канал shdsl.. скорость подклчения инета 2800 - 8Mbit оптика..
тест:
захожу на 2800 - копирую иос с нее через туннель на др конце 2821 за ней TFTP скорость копирования  до 7Кбит/сек !!!!! скачивал 47мб более 1,5часа и не докачал - time out )
почему такая низкая скорость?? вот конфы 2х узлов 2821 и 2800 именно между ними интересует поднятие скорости до макс возможной по туннелю..
на 2821
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 40
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 50
hash md5
authentication pre-share
group 2
crypto isakmp key yyy address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 60 3
crypto isakmp xauth timeout 90
!
!
crypto ipsec transform-set mobitour esp-3des esp-md5-hmac
mode transport
crypto ipsec profile DMVPN
set transform-set mobitour
!
!
crypto dynamic-map dynmap 10
set transform-set mobitour
set isakmp-profile VPNclient
reverse-route
!
!
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
crypto ctcp
!
crypto key pubkey-chain rsa
named-key key
  key-string
  quit
!
!
!
class-map match-all rt
match ip precedence 5
class-map match-any mgnt
match ip precedence 2
class-map match-all lan-mgnt
match access-group 190
class-map match-all routing
match ip precedence 6
class-map match-all signaling
match ip dscp cs3
!
!
policy-map intersite
class rt
    priority percent 33
class signaling
    bandwidth remaining percent 10
class routing
    bandwidth remaining percent 30
class mgnt
    bandwidth remaining percent 30
class class-default
    bandwidth remaining percent 30
     random-detect

interface Tunnel0
bandwidth 100000
ip address 192.168.168.1 255.255.255.0
no ip redirects
ip mtu 1500
no ip next-hop-self eigrp 999
ip nhrp authentication DMVPN_NW
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
ip tcp adjust-mss 1436
no ip split-horizon eigrp 999
load-interval 30
delay 1000
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key xxx
tunnel bandwidth transmit 50000
tunnel bandwidth receive 50000
tunnel protection ipsec profile DMVPN

на 2800:

interface Tunnel0
bandwidth 100000
ip address 192.168.168.3 255.255.255.0
no ip redirects
ip mtu 1500
ip nhrp authentication DMVPN_NW
ip nhrp map 192.168.168.1 xxx
ip nhrp map multicast xxx
ip nhrp network-id 100000
ip nhrp holdtime 360
ip nhrp nhs 192.168.168.1
ip tcp adjust-mss 1436
no ip split-horizon eigrp 999
delay 1000
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key xxx
tunnel protection ipsec profile DMVPN

Содержание

Туннель с использованием DMVPN,mario, 14:29 , 19-Ноя-09
- Туннель с использованием DMVPN,Vladsky, 14:55 , 19-Ноя-09
  - Туннель с использованием DMVPN,mario, 16:53 , 19-Ноя-09
Туннель с использованием DMVPN,Stell, 15:53 , 19-Ноя-09
- Туннель с использованием DMVPN,Vladsky, 16:12 , 19-Ноя-09
  - Туннель с использованием DMVPN,mario, 16:57 , 19-Ноя-09

Сообщения в этом обсуждении

"Туннель с использованием DMVPN"
Отправлено mario , 19-Ноя-09 14:29

>[оверквотинг удален]
> ip nhrp network-id 100000
> ip nhrp holdtime 360
> ip nhrp nhs 192.168.168.1
> ip tcp adjust-mss 1436
> no ip split-horizon eigrp 999
> delay 1000
> tunnel source FastEthernet0/1
> tunnel mode gre multipoint
> tunnel key xxx
> tunnel protection ipsec profile DMVPN
ip mtu 1500
поменьшей к примеру 1400 +- 36

"Туннель с использованием DMVPN"
Отправлено Vladsky , 19-Ноя-09 14:55

>[оверквотинг удален]
>> ip tcp adjust-mss 1436
>> no ip split-horizon eigrp 999
>> delay 1000
>> tunnel source FastEthernet0/1
>> tunnel mode gre multipoint
>> tunnel key xxx
>> tunnel protection ipsec profile DMVPN
>
>ip mtu 1500
>поменьшей к примеру 1400 +- 36
mtu был увеличен из за проблемы потери пакетов, была такая.. вообщем то рекомендуется чем выше тем лучше ;) например, для установления доверия между доменами виндовз.. сейчас читал мануал вот здесь http://xgu.ru/wiki/dmvpn там указан 1416 ... по настройке dmvpn вообщем то у меня все тоже, кроме выдачи сертификатов.. думал там будет указание на скорости.. а нет..

"Туннель с использованием DMVPN"
Отправлено mario , 19-Ноя-09 16:53

>[оверквотинг удален]
>>> tunnel protection ipsec profile DMVPN
>>
>>ip mtu 1500
>>поменьшей к примеру 1400 +- 36
>
>mtu был увеличен из за проблемы потери пакетов, была такая.. вообщем то
>рекомендуется чем выше тем лучше ;) например, для установления доверия между
>доменами виндовз.. сейчас читал мануал вот здесь http://xgu.ru/wiki/dmvpn там указан 1416
>... по настройке dmvpn вообщем то у меня все тоже, кроме
>выдачи сертификатов.. думал там будет указание на скорости.. а нет..
тогда на всех тунелях поставьте одинаковый.
зы чем юольше тем лучше вопрос спорный.

"Туннель с использованием DMVPN"
Отправлено Stell , 19-Ноя-09 15:53

Низкая скорость видна на реальных задачах, или только в этом тесте? TFTP - совершенно неадекватный тест скорости т.к. очень сильно зависит от задержки.
На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий.
То есть например при задержке по пингу 50мс вы упретесь в 20 пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора.
И вообще измерять скорость самим роутером - неправильно: трафик который он может пропустить через себя и который может принять/отправить сам - совершенно разные вещи.

"Туннель с использованием DMVPN"
Отправлено Vladsky , 19-Ноя-09 16:12

>Низкая скорость видна на реальных задачах, или только в этом тесте? TFTP
>- совершенно неадекватный тест скорости т.к. очень сильно зависит от задержки.
>
>На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий.
>То есть например при задержке по пингу 50мс вы упретесь в 20
>пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора.
>И вообще измерять скорость самим роутером - неправильно: трафик который он может
>пропустить через себя и который может принять/отправить сам - совершенно разные
>вещи.
как адекватно протестить скорость? потянуть с сервера данные через туннель на другой?

"Туннель с использованием DMVPN"
Отправлено mario , 19-Ноя-09 16:57

>[оверквотинг удален]
>>
>>На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий.
>>То есть например при задержке по пингу 50мс вы упретесь в 20
>>пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора.
>>И вообще измерять скорость самим роутером - неправильно: трафик который он может
>>пропустить через себя и который может принять/отправить сам - совершенно разные
>>вещи.
>
>как адекватно протестить скорость? потянуть с сервера данные через туннель на другой?
>
jperf используйте. и на нагрузку и на качество.
только не увлекайтесь канал положить можете.
либо шейпер на интерфейс со стороны клиента. либо просто не увлекайтесь :)