Новые ответы

ASA + IPSec VPN + проблемы в тоннеле,

V.Len, 25-Апр-13, 13:28 [смотреть все]

Добрый день,
Есть IPSec VPN (ipsec-l2l) тоннель между двумя офисами, построенный на ASA 5505. Канал 30/50 Мбит. Пользователи (25 клиентов) с офиса А ходят по RDP в офис Б через этот самый тоннель. Случилось, что скорость - или же пока непонятно, снизилась, т.е. работать удаленно на ТС сервере стало проблематично (виснет курсор!)) происходит задержка на реакцию.
Тесты iperf проходят, свои 25-30 мбит канал отдает. Ситуация с обеих сторон.
Подскажите, с чего начать разбор полетов? Какие инструменты применить, посмотреть что за трафик ходит по тоннелю, отследить вообщем данную проблему.

Ответить | Сообщить модератору

ASA + IPSec VPN + проблемы в тоннеле, V.Len, 13:40 , 25-Апр-13 (1)
#sh crypto ipsec sa
interface: outside
    Crypto map tag: MAP_3DES, seq num: 50, local addr: xxx.xxx.xxx.xxx
      access-list 135 permit ip 192.168.1.0 255.255.255.0 10.10.10.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
      current_peer: yyy.yy.yy.yyy
      #pkts encaps: 723210, #pkts encrypt: 847288, #pkts digest: 847288
      #pkts decaps: 684085, #pkts decrypt: 684085, #pkts verify: 684085
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 723210, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 124078, #pre-frag failures: 0, #fragments created: 248156
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 20551
      #send errors: 0, #recv errors: 0
      local crypto endpt.: xxx.xxx.xxx.xxx, remote crypto endpt.: yyy.yy.yy.yyy
      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 9FC6612F
    inbound esp sas:
      spi: 0x88D29273 (2295501427)
         transform: esp-3des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 5, crypto-map: MAP_3DES
         sa timing: remaining key lifetime (kB/sec): (3989409/12085)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x9FC6612F (2680578351)
         transform: esp-3des esp-md5-hmac none
         in use settings ={L2L, Tunnel, }
         slot: 0, conn_id: 5, crypto-map: MAP_3DES
         sa timing: remaining key lifetime (kB/sec): (4019970/12076)
         IV size: 8 bytes
         replay detection support: Y
Ответить | Сообщить модератору

ASA + IPSec VPN + проблемы в тоннеле, V.Len, 15:35 , 25-Апр-13 (2)
ну вообщем все ок!
crypto ipsec df-bit clear-df
Ответить | Сообщить модератору

ASA + IPSec VPN + проблемы в тоннеле, Dno, 15:37 , 25-Апр-13 (3)
Если это не выделенный под VPN канал, то его могут забить другим трафиком (см. торрент). Может вы канал меряли отключив эту "нагрузку", вот вам и показало 25-30 мбит.
Ответить | Сообщить модератору