OpenForum RSS: 2821+ASA5510, IPSec, аномально низкая скорость https://slinkov.ru/openforum/vsluhforumID6/19271.html Доброго времени суток, уважаемые спецы! <br><br>Бьюсь уже длительное время над проблемой, мозги кипят а сообразить не могу... <br><br>Дано: <br>2821( AIM-VPN) <br>ASA 5510 <br>"Внешние" интерфейсы смотрят друг в дружку через 100мегабитный свич. <br>Настроен Ipsec тунель между ними. <br><br>Проблема: <br>Скорость обмена между сетками нереально низкая: <br>Копирование файла (SMB, FTP) из сетки из-за ASA в сетку за роутером - ~ 4 мегабайт (загрузка проца ASA ~5-6%, роутера - ~ 40-50%). В принципе это более-менее устраивает. <br>Копирование наоборот - ~ 1.1-1.3 мегабайта(!) Загрузки процов особой нет. Проверял в работчее врямя когда есть некоторая нагрузка на сеть и вне рабочего времени. Менял алгоритмы шифрования - абсолютно без изменений. <br>IOS стоял c2800nm-advipservicesk9-mz.124-20.T <br>Сменил на c2800nm-advipservicesk9-mz.124-24.T - скорость копирования с роутера упала вообще до 300-400кб(!)... <br>Посоветуйте где туплю. <br>Ниже конфиги (некоторые второстепенные моменты пропущу): <br>Роутер: <br>тунель на Gi0/1.На Fa0/0/0 интернет + еще один 2821+ASA5510, IPSec, аномально низкая скорость (Escalibur) https://slinkov.ru/openforum/vsluhforumID6/19271.html#2 Wed, 15 Jul 2009 10:13:22 GMT &gt;Зачем так? <br>&gt;&gt;access-list 102 permit ip any 192.168.2.0 0.0.0.255 <br>&gt;&gt;ASA: <br>&gt;&gt;<br>&gt;&gt;access-list ipsec extended permit ip 192.168.2.0 255.255.255.0 any <br>&gt;<br>&gt;Вообще то рекомендуется вот так <br>&gt;<br>&gt;access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 <br>&gt;access-list ipsec extended permit ip 192.168.2.0 255.255.255.0 192.168.0.0 255.255.255.0 <br><br>ну в принципе да... <br>но у меня во-первых на роутере еще 4 интерфейса и они смотрять в другие подсетки (1.0 3.0 4.0 10.0 13.0) + там где аса инета нет поэтому народ из этой сети в инет выпускается тоже с роутера... <br> 2821+ASA5510, IPSec, аномально низкая скорость (ural_sm) https://slinkov.ru/openforum/vsluhforumID6/19271.html#1 Wed, 15 Jul 2009 08:40:47 GMT Зачем так?<br>&gt;access-list 102 permit ip any 192.168.2.0 0.0.0.255 <br>&gt;ASA: <br>&gt;<br>&gt;access-list ipsec extended permit ip 192.168.2.0 255.255.255.0 any <br><br>Вообще то рекомендуется вот так<br><br>access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 <br>access-list ipsec extended permit ip 192.168.2.0 255.255.255.0 192.168.0.0 255.255.255.0 <br>