Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 10:28



Ответить на тему  [ Сообщений: 8 ] 
Cisco DMVPN 
Автор Сообщение

Зарегистрирован: 07 май 2020, 08:38
Сообщения: 44
Всем доброго, коллеги!
Накопали интересную проблему - низкая скорость в туннелях между филиалами.
Имеем:

Spoke config:
Код:
crypto isakmp policy 10
 encryption aes
 group 2
!
!
crypto ipsec transform-set AES esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile PI
 set transform-set AES

interface Tunnel10
 description --FOR-VPN-XXX--
 bandwidth 200000000
 ip address y.y.y.f 255.255.255.0
 no ip redirects
 no ip proxy-arp
 ip nbar protocol-discovery ipv4
 ip nhrp authentication xxxxxx
 ip nhrp map multicast x.x.x.x
 ip nhrp map y.y.y.y x.x.x.x
 ip nhrp map multicast x.x.x.z
 ip nhrp map y.y.y.z x.x.x.z
 ip nhrp network-id 390
 ip nhrp nhs y.y.y.y
 ip nhrp nhs y.y.y.z
 ip policy route-map xxx
 history BPS
 qos pre-classify
 tunnel source GigabitEthernet0/0/0
 tunnel mode gre multipoint
 tunnel key 390
 tunnel path-mtu-discovery
 tunnel protection ipsec profile PI shared


HUB config:
Код:
crypto isakmp policy 10
 encr aes
 group 2
crypto ipsec transform-set AES esp-aes esp-sha-hmac
 mode transport
crypto ipsec profile PI
 set transform-set AES
interface Tunnel10
 description --FOR-VPN-Spokes--
 bandwidth 10000000
 ip address x.x.x.x
 no ip redirects
 no ip proxy-arp
 ip mtu 1416
 ip nhrp authentication 503190
 ip nhrp map multicast dynamic
 ip nhrp network-id 390
 ip nhrp redirect
 ip access-group ACL-FROM-zzz in
 ip tcp adjust-mss 1360
 ip policy route-map xxx
 history BPS
 qos pre-classify
 tunnel source Loopback1
 tunnel mode gre multipoint
 tunnel key 390
 tunnel path-mtu-discovery
 tunnel protection ipsec profile PI


В качестве Spoke ISR4431/K9 перешитые с прошивки 15.4 на 17.1 (если это важно, то сейчас написано no license feature hseck9, как ранее было не помню), в качестве HUB ASR-1001 на прошивке 15.4.
Реальная скорость обмена, измеренная iperf через данные туннели 50-60мбит/с. При этом на обоих площадках пропускная способность провайдера 1Гбит/с. В какую сторону копать не подскажете?


01 мар 2023, 11:12
Профиль

Зарегистрирован: 05 фев 2014, 07:50
Сообщения: 19
По умолчанию для ipsec трафика ограничение скорости 85мб/с, при достижении у вас должно быть в логах сообщение.
license feature hseck9 - как раз снимает это ограничение


02 мар 2023, 20:41
Профиль

Зарегистрирован: 07 май 2020, 08:38
Сообщения: 44
cantiaga писал(а):
По умолчанию для ipsec трафика ограничение скорости 85мб/с, при достижении у вас должно быть в логах сообщение.
license feature hseck9 - как раз снимает это ограничение

Активировать откатом прошивки на старую версию?


03 мар 2023, 06:02
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
cantiaga писал(а):
По умолчанию для ipsec трафика ограничение скорости 85мб/с, при достижении у вас должно быть в логах сообщение.
license feature hseck9 - как раз снимает это ограничение

с версии 16.8 на всех железка ISR1000/4000 ограничение без hsec 250мбит


05 мар 2023, 10:13
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
aspotkin писал(а):
cantiaga писал(а):
По умолчанию для ipsec трафика ограничение скорости 85мб/с, при достижении у вас должно быть в логах сообщение.
license feature hseck9 - как раз снимает это ограничение

Активировать откатом прошивки на старую версию?

смысла нет, если hsec есть, то будет качать максимум что может железка, на новых прошивках с версии 17.3 можно включать boost допом, снимает все ограничения на forwarding кроме шифрования, если hsec нет, то будет шифровать 250мбит, сам канал тестили? может проблема с ним


05 мар 2023, 10:15
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
aspotkin писал(а):
Всем доброго, коллеги!
Накопали интересную проблему - низкая скорость в туннелях между филиалами.
Имеем:

Spoke config:
Код:
crypto isakmp policy 10
 encryption aes
 group 2
!
!
crypto ipsec transform-set AES esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile PI
 set transform-set AES

interface Tunnel10
 description --FOR-VPN-XXX--
 bandwidth 200000000
 ip address y.y.y.f 255.255.255.0
 no ip redirects
 no ip proxy-arp
 ip nbar protocol-discovery ipv4
 ip nhrp authentication xxxxxx
 ip nhrp map multicast x.x.x.x
 ip nhrp map y.y.y.y x.x.x.x
 ip nhrp map multicast x.x.x.z
 ip nhrp map y.y.y.z x.x.x.z
 ip nhrp network-id 390
 ip nhrp nhs y.y.y.y
 ip nhrp nhs y.y.y.z
 ip policy route-map xxx
 history BPS
 qos pre-classify
 tunnel source GigabitEthernet0/0/0
 tunnel mode gre multipoint
 tunnel key 390
 tunnel path-mtu-discovery
 tunnel protection ipsec profile PI shared


HUB config:
Код:
crypto isakmp policy 10
 encr aes
 group 2
crypto ipsec transform-set AES esp-aes esp-sha-hmac
 mode transport
crypto ipsec profile PI
 set transform-set AES
interface Tunnel10
 description --FOR-VPN-Spokes--
 bandwidth 10000000
 ip address x.x.x.x
 no ip redirects
 no ip proxy-arp
 ip mtu 1416
 ip nhrp authentication 503190
 ip nhrp map multicast dynamic
 ip nhrp network-id 390
 ip nhrp redirect
 ip access-group ACL-FROM-zzz in
 ip tcp adjust-mss 1360
 ip policy route-map xxx
 history BPS
 qos pre-classify
 tunnel source Loopback1
 tunnel mode gre multipoint
 tunnel key 390
 tunnel path-mtu-discovery
 tunnel protection ipsec profile PI


В качестве Spoke ISR4431/K9 перешитые с прошивки 15.4 на 17.1 (если это важно, то сейчас написано no license feature hseck9, как ранее было не помню), в качестве HUB ASR-1001 на прошивке 15.4.
Реальная скорость обмена, измеренная iperf через данные туннели 50-60мбит/с. При этом на обоих площадках пропускная способность провайдера 1Гбит/с. В какую сторону копать не подскажете?


да и прошивки обновите, особенно asr1001 (если это не X версия) на последнюю, asr1001 шифрует где то около 1,5Gb, isr4431 шифрует 900мбит, но нужен hsec + boost для разлока всех CPU, чтобы не укладывать QFP в полку


05 мар 2023, 10:18
Профиль

Зарегистрирован: 07 май 2020, 08:38
Сообщения: 44
Всем спасибо!
Да, канал тестили - упираемся в ограничение на другом железе.
Откат прошивок на 4431 снял ограничение Cisco-туннеля.


06 мар 2023, 07:18
Профиль

Зарегистрирован: 02 ноя 2013, 08:12
Сообщения: 791
aspotkin писал(а):
Всем спасибо!
Да, канал тестили - упираемся в ограничение на другом железе.
Откат прошивок на 4431 снял ограничение Cisco-туннеля.

откат?
до 16.8 - 85мбит
после 16.8 250мбит


06 мар 2023, 17:26
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB