Anticisco http://anticisco.ru/forum/ |
|
Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) http://anticisco.ru/forum/viewtopic.php?f=2&t=11104 |
Страница 1 из 1 |
Автор: | it911sm [ 17 сен 2019, 12:37 ] |
Заголовок сообщения: | Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
Хотелось бы получить совет от экспертов в вопросе шифрования при WebVPN подключениях. Имеется Cisco 2911, на котором настроен WebVPN (AnyConnect) и на который же подключаются удаленные пользователи. Иногда наблюдается высокая загрузка CPU в процессе encrypt proc, что логично отвечает за шифрование WebVPN соединений, такое происходит если кто то на удаленном ПК (по RDP соединению), начинает смотреть Youtube и т.д.. либо что то скачивать.. Хотелось бы узнать как адекватно бороться с этим можно ? Может как то можно шифрования выставить вообще простенькое, чтоб меньше нагружало CPU !? Поделитесь опытом. |
Автор: | _2e_ [ 25 сен 2019, 07:14 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты. |
Автор: | Praporwik [ 25 сен 2019, 12:06 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
а сколько пользователей, какое шифрование? 2911 более-менее нормально способна пережевать до 30-35 мб. |
Автор: | it911sm [ 02 окт 2019, 14:38 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
_2e_ писал(а): А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты. Для клиентов и так tunnel только в локальные подсети указанно: Код: policy group VPN_USERS functions svc-enabled timeout idle 1800 svc address-pool "VPN_POOL" netmask 255.255.255.0 svc default-domain "xxx.local" svc split dns "xxx.local" svc split include 10.10.10.0 255.255.255.0 svc split include 10.10.16.26 255.255.255.255 svc dns-server primary 10.10.16.2 Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается |
Автор: | it911sm [ 02 окт 2019, 14:39 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
Praporwik писал(а): а сколько пользователей, какое шифрование? 2911 более-менее нормально способна пережевать до 30-35 мб. Пользователей не много, 15 где то, шифрование хз, по дефолту что стоит, вот тут я и плаваю и прошу совета, какое выбрать и как его выставить самое главное... |
Автор: | _2e_ [ 02 окт 2019, 14:49 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
it911sm писал(а): _2e_ писал(а): А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты. Для клиентов и так tunnel только в локальные подсети указанно: ... Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается Тут ССЗБ и изменение параметров шифрования не помогут. |
Автор: | it911sm [ 02 окт 2019, 14:55 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
_2e_ писал(а): it911sm писал(а): _2e_ писал(а): А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты. Для клиентов и так tunnel только в локальные подсети указанно: ... Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается Тут ССЗБ и изменение параметров шифрования не помогут. жаль что выхода нет |
Автор: | root99 [ 02 окт 2019, 15:01 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например.... |
Автор: | it911sm [ 02 окт 2019, 15:16 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
root99 писал(а): на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например.... Насчет виртуального маршрутизатора это идея, не могли бы вы на словах схему обрисовать как это будет выглядеть По поводу замены, к сожалению на новый не выделят.. |
Автор: | _2e_ [ 03 окт 2019, 07:40 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
it911sm писал(а): root99 писал(а): на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например.... Насчет виртуального маршрутизатора это идея, не могли бы вы на словах схему обрисовать как это будет выглядеть По поводу замены, к сожалению на новый не выделят.. Ставишь под варю ASAv 9.3.1 (например) на vCPUx3 RAM 4G без HA и старым добрым кейгеном делаешь 250 ssl юзеров. Цитата: username admin password admin privilege 15 hostname asa931 domain-name asa931 aaa authentication ssh console LOCAL interface GigabitEthernet0/0 nameif inside security-level 100 ip address dhcp ssh 0.0.0.0 0.0.0.0 inside crypto key generate rsa Вложение: Screenshot_1.jpg [ 206.54 КБ | Просмотров: 7607 ] Вложение: Screenshot_20.jpg [ 85.93 КБ | Просмотров: 7607 ] |
Автор: | it911sm [ 09 окт 2019, 21:36 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
А как это все дело заворачивать с физического роутера на этот виртуальный? К примеру на R1 приходит интернет - 88.88.88.2 255.255.255.252 88.88.88.1 Как дальше сделать правильно чтоб именно для VPN трафик шел на виртуальную ASAv ? |
Автор: | it911sm [ 09 окт 2019, 22:19 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
Понял как, туплю.. |
Автор: | xeonz [ 15 окт 2019, 13:57 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
Ключик на более чем 250 сессий так и не появился? |
Автор: | root99 [ 16 окт 2019, 01:33 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
xeonz всё никак понять не можете - уже давно вопрос с ASAv9.9.2 - 9.12 решён _2e_ 9.2.4-33 это последний для кейгена старого, 9.3.1 - не имеет смысла дырявый имидж 2014 года выпуска во всём, там присутствуют все уязвимости которые появились за промежуток 2014-2018 год... |
Автор: | xeonz [ 17 окт 2019, 11:07 ] |
Заголовок сообщения: | Re: Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) |
root99 писал(а): всё никак понять не можете - уже давно вопрос с ASAv9.9.2 - 9.12 решён Как решен? Где решен? Дайте ссылку? |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |