Всем доброго, коллеги!
Накопали интересную проблему - низкая скорость в туннелях между филиалами.
Имеем:
Spoke config:
Код:
crypto isakmp policy 10
encryption aes
group 2
!
!
crypto ipsec transform-set AES esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile PI
set transform-set AES
interface Tunnel10
description --FOR-VPN-XXX--
bandwidth 200000000
ip address y.y.y.f 255.255.255.0
no ip redirects
no ip proxy-arp
ip nbar protocol-discovery ipv4
ip nhrp authentication xxxxxx
ip nhrp map multicast x.x.x.x
ip nhrp map y.y.y.y x.x.x.x
ip nhrp map multicast x.x.x.z
ip nhrp map y.y.y.z x.x.x.z
ip nhrp network-id 390
ip nhrp nhs y.y.y.y
ip nhrp nhs y.y.y.z
ip policy route-map xxx
history BPS
qos pre-classify
tunnel source GigabitEthernet0/0/0
tunnel mode gre multipoint
tunnel key 390
tunnel path-mtu-discovery
tunnel protection ipsec profile PI shared
HUB config:
Код:
crypto isakmp policy 10
encr aes
group 2
crypto ipsec transform-set AES esp-aes esp-sha-hmac
mode transport
crypto ipsec profile PI
set transform-set AES
interface Tunnel10
description --FOR-VPN-Spokes--
bandwidth 10000000
ip address x.x.x.x
no ip redirects
no ip proxy-arp
ip mtu 1416
ip nhrp authentication 503190
ip nhrp map multicast dynamic
ip nhrp network-id 390
ip nhrp redirect
ip access-group ACL-FROM-zzz in
ip tcp adjust-mss 1360
ip policy route-map xxx
history BPS
qos pre-classify
tunnel source Loopback1
tunnel mode gre multipoint
tunnel key 390
tunnel path-mtu-discovery
tunnel protection ipsec profile PI
В качестве Spoke ISR4431/K9 перешитые с прошивки 15.4 на 17.1 (если это важно, то сейчас написано no license feature hseck9, как ранее было не помню), в качестве HUB ASR-1001 на прошивке 15.4.
Реальная скорость обмена, измеренная iperf через данные туннели 50-60мбит/с. При этом на обоих площадках пропускная способность провайдера 1Гбит/с. В какую сторону копать не подскажете?