добрый день )поднят туннель VPN используя IPSec и профиль DMVPN
основной во главе роутер 2821 - к неум подключены по туннелю:
2800 - 1шт.
2801 - 1шт.
871 - 3 шт.
878 - 2 шт.сети видны, все ок.. роуты прописаны..
основная задача изначально - внутр телефония, сейчас активно начинаем пользовать и сеть..
загвоздка в том, что скорость в туннеле очень низкая, при том, что интернет соединение в головном офисе где и стоит 2821 - 8Mbit синхронный канал shdsl.. скорость подклчения инета 2800 - 8Mbit оптика..тест:
захожу на 2800 - копирую иос с нее через туннель на др конце 2821 за ней TFTP скорость копирования до 7Кбит/сек !!!!! скачивал 47мб более 1,5часа и не докачал - time out )почему такая низкая скорость?? вот конфы 2х узлов 2821 и 2800 именно между ними интересует поднятие скорости до макс возможной по туннелю..
на 2821
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 40
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 50
hash md5
authentication pre-share
group 2
crypto isakmp key yyy address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 60 3
crypto isakmp xauth timeout 90
!
!
crypto ipsec transform-set mobitour esp-3des esp-md5-hmac
mode transportcrypto ipsec profile DMVPN
set transform-set mobitour
!
!
crypto dynamic-map dynmap 10
set transform-set mobitour
set isakmp-profile VPNclient
reverse-route
!
!
crypto map dynmap 1 ipsec-isakmp dynamic dynmap
!
crypto ctcp
!
crypto key pubkey-chain rsa
named-key key
key-string
quit
!
!
!
class-map match-all rt
match ip precedence 5
class-map match-any mgnt
match ip precedence 2
class-map match-all lan-mgnt
match access-group 190
class-map match-all routing
match ip precedence 6
class-map match-all signaling
match ip dscp cs3
!
!
policy-map intersite
class rt
priority percent 33
class signaling
bandwidth remaining percent 10
class routing
bandwidth remaining percent 30
class mgnt
bandwidth remaining percent 30
class class-default
bandwidth remaining percent 30
random-detect
interface Tunnel0
bandwidth 100000
ip address 192.168.168.1 255.255.255.0
no ip redirects
ip mtu 1500
no ip next-hop-self eigrp 999
ip nhrp authentication DMVPN_NW
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
ip tcp adjust-mss 1436
no ip split-horizon eigrp 999
load-interval 30
delay 1000
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key xxx
tunnel bandwidth transmit 50000
tunnel bandwidth receive 50000
tunnel protection ipsec profile DMVPN
на 2800:
interface Tunnel0
bandwidth 100000
ip address 192.168.168.3 255.255.255.0
no ip redirects
ip mtu 1500
ip nhrp authentication DMVPN_NW
ip nhrp map 192.168.168.1 xxx
ip nhrp map multicast xxx
ip nhrp network-id 100000
ip nhrp holdtime 360
ip nhrp nhs 192.168.168.1
ip tcp adjust-mss 1436
no ip split-horizon eigrp 999
delay 1000
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key xxx
tunnel protection ipsec profile DMVPN
>[оверквотинг удален]
> ip nhrp network-id 100000
> ip nhrp holdtime 360
> ip nhrp nhs 192.168.168.1
> ip tcp adjust-mss 1436
> no ip split-horizon eigrp 999
> delay 1000
> tunnel source FastEthernet0/1
> tunnel mode gre multipoint
> tunnel key xxx
> tunnel protection ipsec profile DMVPNip mtu 1500
поменьшей к примеру 1400 +- 36
>[оверквотинг удален]
>> ip tcp adjust-mss 1436
>> no ip split-horizon eigrp 999
>> delay 1000
>> tunnel source FastEthernet0/1
>> tunnel mode gre multipoint
>> tunnel key xxx
>> tunnel protection ipsec profile DMVPN
>
>ip mtu 1500
>поменьшей к примеру 1400 +- 36mtu был увеличен из за проблемы потери пакетов, была такая.. вообщем то рекомендуется чем выше тем лучше ;) например, для установления доверия между доменами виндовз.. сейчас читал мануал вот здесь http://xgu.ru/wiki/dmvpn там указан 1416 ... по настройке dmvpn вообщем то у меня все тоже, кроме выдачи сертификатов.. думал там будет указание на скорости.. а нет..
>[оверквотинг удален]
>>> tunnel protection ipsec profile DMVPN
>>
>>ip mtu 1500
>>поменьшей к примеру 1400 +- 36
>
>mtu был увеличен из за проблемы потери пакетов, была такая.. вообщем то
>рекомендуется чем выше тем лучше ;) например, для установления доверия между
>доменами виндовз.. сейчас читал мануал вот здесь http://xgu.ru/wiki/dmvpn там указан 1416
>... по настройке dmvpn вообщем то у меня все тоже, кроме
>выдачи сертификатов.. думал там будет указание на скорости.. а нет..тогда на всех тунелях поставьте одинаковый.
зы чем юольше тем лучше вопрос спорный.
Низкая скорость видна на реальных задачах, или только в этом тесте? TFTP - совершенно неадекватный тест скорости т.к. очень сильно зависит от задержки.
На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий.
То есть например при задержке по пингу 50мс вы упретесь в 20 пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора.
И вообще измерять скорость самим роутером - неправильно: трафик который он может пропустить через себя и который может принять/отправить сам - совершенно разные вещи.
>Низкая скорость видна на реальных задачах, или только в этом тесте? TFTP
>- совершенно неадекватный тест скорости т.к. очень сильно зависит от задержки.
>
>На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий.
>То есть например при задержке по пингу 50мс вы упретесь в 20
>пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора.
>И вообще измерять скорость самим роутером - неправильно: трафик который он может
>пропустить через себя и который может принять/отправить сам - совершенно разные
>вещи.как адекватно протестить скорость? потянуть с сервера данные через туннель на другой?
>[оверквотинг удален]
>>
>>На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий.
>>То есть например при задержке по пингу 50мс вы упретесь в 20
>>пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора.
>>И вообще измерять скорость самим роутером - неправильно: трафик который он может
>>пропустить через себя и который может принять/отправить сам - совершенно разные
>>вещи.
>
>как адекватно протестить скорость? потянуть с сервера данные через туннель на другой?
>jperf используйте. и на нагрузку и на качество.
только не увлекайтесь канал положить можете.
либо шейпер на интерфейс со стороны клиента. либо просто не увлекайтесь :)