Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:00



Ответить на тему  [ Сообщений: 15 ] 
Cisco 2911 + WebVPN = HighLoad CPU (encrypt proc) 
Автор Сообщение

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Хотелось бы получить совет от экспертов в вопросе шифрования при WebVPN подключениях.

Имеется Cisco 2911, на котором настроен WebVPN (AnyConnect) и на который же подключаются удаленные пользователи. Иногда наблюдается высокая загрузка CPU в процессе encrypt proc, что логично отвечает за шифрование WebVPN соединений, такое происходит если кто то на удаленном ПК (по RDP соединению), начинает смотреть Youtube и т.д.. либо что то скачивать..

Хотелось бы узнать как адекватно бороться с этим можно ? Может как то можно шифрования выставить вообще простенькое, чтоб меньше нагружало CPU !? Поделитесь опытом.


17 сен 2019, 12:37
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты.


25 сен 2019, 07:14
Профиль ICQ

Зарегистрирован: 10 июл 2019, 18:21
Сообщения: 103
а сколько пользователей, какое шифрование? 2911 более-менее нормально способна пережевать до 30-35 мб.


25 сен 2019, 12:06
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
_2e_ писал(а):
А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты.

Для клиентов и так tunnel только в локальные подсети указанно:
Код:
policy group VPN_USERS
   functions svc-enabled
   timeout idle 1800
   svc address-pool "VPN_POOL" netmask 255.255.255.0
   svc default-domain "xxx.local"
   svc split dns "xxx.local"
   svc split include 10.10.10.0 255.255.255.0
   svc split include 10.10.16.26 255.255.255.255
   svc dns-server primary 10.10.16.2


Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается


02 окт 2019, 14:38
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Praporwik писал(а):
а сколько пользователей, какое шифрование? 2911 более-менее нормально способна пережевать до 30-35 мб.

Пользователей не много, 15 где то, шифрование хз, по дефолту что стоит, вот тут я и плаваю и прошу совета, какое выбрать и как его выставить самое главное...


02 окт 2019, 14:39
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
it911sm писал(а):
_2e_ писал(а):
А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты.

Для клиентов и так tunnel только в локальные подсети указанно:
...
Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается


Тут ССЗБ и изменение параметров шифрования не помогут.


02 окт 2019, 14:49
Профиль ICQ

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
_2e_ писал(а):
it911sm писал(а):
_2e_ писал(а):
А зачем делать all tunnel для клиентов? Пусть через своё подключение качают торренты, а им нужно инжектировать только доступные за эниконнектом сабнеты.

Для клиентов и так tunnel только в локальные подсети указанно:
...
Просто когда пользователи по RDP подключаются к своему ПК и открывают там ютуб, то вот тогда начинается красота, CPU на роутере запирается


Тут ССЗБ и изменение параметров шифрования не помогут.


жаль что выхода нет :(


02 окт 2019, 14:55
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например....


02 окт 2019, 15:01
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
root99 писал(а):
на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например....

Насчет виртуального маршрутизатора это идея, не могли бы вы на словах схему обрисовать как это будет выглядеть

По поводу замены, к сожалению на новый не выделят..


02 окт 2019, 15:16
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
it911sm писал(а):
root99 писал(а):
на самом деле выходов полно - можно установить виртуальную ASAv или CSR1000v, тем самым разгрузив старичка 2911.... а так уже стоит задуматься о замене на 4331 например....

Насчет виртуального маршрутизатора это идея, не могли бы вы на словах схему обрисовать как это будет выглядеть

По поводу замены, к сожалению на новый не выделят..


Ставишь под варю ASAv 9.3.1 (например) на vCPUx3 RAM 4G без HA и старым добрым кейгеном делаешь 250 ssl юзеров.

Цитата:
username admin password admin privilege 15
hostname asa931
domain-name asa931
aaa authentication ssh console LOCAL
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address dhcp
ssh 0.0.0.0 0.0.0.0 inside
crypto key generate rsa


Вложение:
Screenshot_1.jpg
Screenshot_1.jpg [ 206.54 КБ | Просмотров: 7531 ]

Вложение:
Screenshot_20.jpg
Screenshot_20.jpg [ 85.93 КБ | Просмотров: 7531 ]


03 окт 2019, 07:40
Профиль ICQ

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
А как это все дело заворачивать с физического роутера на этот виртуальный?

К примеру на R1 приходит интернет -
88.88.88.2
255.255.255.252
88.88.88.1

Как дальше сделать правильно чтоб именно для VPN трафик шел на виртуальную ASAv ?


09 окт 2019, 21:36
Профиль

Зарегистрирован: 10 май 2018, 16:38
Сообщения: 83
Понял как, туплю..


09 окт 2019, 22:19
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
Ключик на более чем 250 сессий так и не появился?


15 окт 2019, 13:57
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
xeonz

всё никак понять не можете - уже давно вопрос с ASAv9.9.2 - 9.12 решён

_2e_

9.2.4-33 это последний для кейгена старого, 9.3.1 - не имеет смысла дырявый имидж 2014 года выпуска во всём, там присутствуют все уязвимости которые появились за промежуток 2014-2018 год...


16 окт 2019, 01:33
Профиль

Зарегистрирован: 11 окт 2013, 16:25
Сообщения: 148
root99 писал(а):
всё никак понять не можете - уже давно вопрос с ASAv9.9.2 - 9.12 решён

Как решен? Где решен? Дайте ссылку? :)


17 окт 2019, 11:07
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 15 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB