https://www.opennet.ru/openforum/vsluhforumID6/20057.html добрый день )<br><br>поднят туннель VPN используя IPSec и профиль DMVPN<br>основной во главе роутер 2821 - к неум подключены по туннелю:<br>2800 - 1шт.<br>2801 - 1шт.<br>871 - 3 шт.<br>878 - 2 шт.<br><br>сети видны, все ок.. роуты прописаны.. <br>основная задача изначально - внутр телефония, сейчас активно начинаем пользовать и сеть..<br>загвоздка в том, что скорость в туннеле очень низкая, при том, что интернет соединение в головном офисе где и стоит 2821 - 8Mbit синхронный канал shdsl.. скорость подклчения инета 2800 - 8Mbit оптика..<br><br>тест:<br>захожу на 2800 - копирую иос с нее через туннель на др конце 2821 за ней TFTP скорость копирования до 7Кбит/сек !!!!! скачивал 47мб более 1,5часа и не докачал - time out )<br><br>почему такая низкая скорость?? вот конфы 2х узлов 2821 и 2800 именно между ними интересует поднятие скорости до макс возможной по туннелю..<br><br>на 2821<br><br>crypto isakmp policy 20<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp policy 40<br> hash md5<br> authentication pre-share<br> group 2<br>! https://www.opennet.ru/openforum/vsluhforumID6/20057.html#6 Thu, 19 Nov 2009 13:57:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий. <br>&gt;&gt;То есть например при задержке по пингу 50мс вы упретесь в 20 <br>&gt;&gt;пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора. <br>&gt;&gt;И вообще измерять скорость самим роутером - неправильно: трафик который он может <br>&gt;&gt;пропустить через себя и который может принять/отправить сам - совершенно разные <br>&gt;&gt;вещи. <br>&gt;<br>&gt;как адекватно протестить скорость? потянуть с сервера данные через туннель на другой? <br>&gt;<br><br>jperf используйте. и на нагрузку и на качество.<br>только не увлекайтесь канал положить можете.<br>либо шейпер на интерфейс со стороны клиента. либо просто не увлекайтесь :) <br> https://www.opennet.ru/openforum/vsluhforumID6/20057.html#5 Thu, 19 Nov 2009 13:53:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; tunnel protection ipsec profile DMVPN <br>&gt;&gt;<br>&gt;&gt;ip mtu 1500 <br>&gt;&gt;поменьшей к примеру 1400 +- 36 <br>&gt;<br>&gt;mtu был увеличен из за проблемы потери пакетов, была такая.. вообщем то <br>&gt;рекомендуется чем выше тем лучше ;) например, для установления доверия между <br>&gt;доменами виндовз.. сейчас читал мануал вот здесь http://xgu.ru/wiki/dmvpn там указан 1416 <br>&gt;... по настройке dmvpn вообщем то у меня все тоже, кроме <br>&gt;выдачи сертификатов.. думал там будет указание на скорости.. а нет.. <br><br>тогда на всех тунелях поставьте одинаковый. <br>зы чем юольше тем лучше вопрос спорный.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20057.html#4 Thu, 19 Nov 2009 13:12:56 GMT &gt;Низкая скорость видна на реальных задачах, или только в этом тесте? TFTP <br>&gt;- совершенно неадекватный тест скорости т.к. очень сильно зависит от задержки. <br>&gt;<br>&gt;На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий. <br>&gt;То есть например при задержке по пингу 50мс вы упретесь в 20 <br>&gt;пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора. <br>&gt;И вообще измерять скорость самим роутером - неправильно: трафик который он может <br>&gt;пропустить через себя и который может принять/отправить сам - совершенно разные <br>&gt;вещи. <br><br>как адекватно протестить скорость? потянуть с сервера данные через туннель на другой?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20057.html#3 Thu, 19 Nov 2009 12:53:42 GMT Низкая скорость видна на реальных задачах, или только в этом тесте? TFTP - совершенно неадекватный тест скорости т.к. очень сильно зависит от задержки.<br>На каждый отправленный пакет ожидается подтверждение, и только потом отправляется следующий.<br>То есть например при задержке по пингу 50мс вы упретесь в 20 пакетов/сек, плюс возможна дополнительная задержка по загрузке процессора.<br>И вообще измерять скорость самим роутером - неправильно: трафик который он может пропустить через себя и который может принять/отправить сам - совершенно разные вещи.<br> https://www.opennet.ru/openforum/vsluhforumID6/20057.html#2 Thu, 19 Nov 2009 11:55:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip tcp adjust-mss 1436 <br>&gt;&gt; no ip split-horizon eigrp 999 <br>&gt;&gt; delay 1000 <br>&gt;&gt; tunnel source FastEthernet0/1 <br>&gt;&gt; tunnel mode gre multipoint <br>&gt;&gt; tunnel key xxx <br>&gt;&gt; tunnel protection ipsec profile DMVPN <br>&gt;<br>&gt;ip mtu 1500 <br>&gt;поменьшей к примеру 1400 +- 36 <br><br>mtu был увеличен из за проблемы потери пакетов, была такая.. вообщем то рекомендуется чем выше тем лучше ;) например, для установления доверия между доменами виндовз.. сейчас читал мануал вот здесь http://xgu.ru/wiki/dmvpn там указан 1416 ... по настройке dmvpn вообщем то у меня все тоже, кроме выдачи сертификатов.. думал там будет указание на скорости.. а нет.. <br> https://www.opennet.ru/openforum/vsluhforumID6/20057.html#1 Thu, 19 Nov 2009 11:29:16 GMT &gt;[оверквотинг удален]<br>&gt; ip nhrp network-id 100000 <br>&gt; ip nhrp holdtime 360 <br>&gt; ip nhrp nhs 192.168.168.1 <br>&gt; ip tcp adjust-mss 1436 <br>&gt; no ip split-horizon eigrp 999 <br>&gt; delay 1000 <br>&gt; tunnel source FastEthernet0/1 <br>&gt; tunnel mode gre multipoint <br>&gt; tunnel key xxx <br>&gt; tunnel protection ipsec profile DMVPN <br><br>ip mtu 1500<br>поменьшей к примеру 1400 +- 36<br><br><br>