cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
1614
Visitas
0
ÚTIL
31
Respuestas

Cisco 891F con ZBF y túnel IKEv2 con velocidades de descarga lentas

Translator
Community Manager
Community Manager

Hola a todos: 

en una de nuestras sucursales hemos pasado de una línea dedicada entre ubicaciones a un enlace de Internet (50 Mbps) con túnel IKEv2 a la oficina principal de nuestro router 891F. Como el router está ahora conectado a Internet, también implementamos ZBF en él para ofrecer una seguridad básica.

Todo el tráfico de la sucursal se envía a través del túnel VPN a la oficina principal y, a continuación, a donde sea necesario.

Desde el cambio los usuarios están teniendo problemas con las bajas velocidades de descarga desde la oficina principal desde cualquier fuente (es decir, descargas desde Internet, desde servidores de oficina, ...).
Por extraño que parezca, la cantidad de tráfico que se carga en los servidores de la oficina principal o en Internet o la navegación por la Web se realiza rápidamente a través de la misma ruta y del mismo equipo.

Este problema me está rascando la cabeza, ya que realmente no puedo identificar el problema ya que el enlace de Internet en sí es estable, el túnel VPN es estable, la configuración ZBF es bastante simple, no hay caídas en las interfaces, el router en sí tiene un uso de CPU de 20 - 30%, no hay NAT.

Intenté quitar ZBF entre las zonas INTERIOR y EXTERIOR sin ningún efecto, simplifiqué el ZBF, agregé el mapa del parámetro ooo como leí que podía ayudar pero nada produjo ningún resultado.

Mi sospecha es que algo en el router 891F es el problema, pero simplemente no puedo resolverlo.
Estoy adjuntando la configuración relevante y espero que alguien pueda señalar dónde buscar y cómo resolver este problema.

2 SOLUCIONES ACEPTADAS

Soluciones aceptadas

Translator
Community Manager
Community Manager

Si hay otros sitios' mover el router a otros sitios y verificar la misma configuración' 

Veo una vez el mismo problema y finalmente el problema fue isp.

No pierda su tiempo 

Gracias 

MHM

Ver la solución en mensaje original publicado

Translator
Community Manager
Community Manager

BTW @igor.hamzic81, para ser claro, estoy dispuesto a ayudarte más, ya que, de nuevo, he tenido experiencia (exitosamente) haciendo lo que estás haciendo.  Una vez más, sin embargo, hacer esto a través de una infraestructura de tránsito multipunto, donde no se tiene control sobre dicha infraestructura, crea muchos problemas potenciales, y para mitigar algunos de ellos, no es "bonito", o como escribí anteriormente, trivial.

Usar Internet, además, como WAN dedicada de clase empresarial requiere un gran compromiso, en el tiempo y, a veces, en el capital.  Sin embargo, hacer esto también suele ofrecer una gran rentabilidad de la inversión.

Una vez más, como hacer esto no es trivial, es por eso que recomiendo tratar de encontrar un consultor que pueda ayudarle a lograr esto.  Como, la asistencia que necesita, creo que no se puede prestar fácilmente a través de este sitio.

Por cierto, si desea crear un "prototipo" utilizando Internet como medio de transporte WAN, agregue una conexión a Internet barata en la sede central y cree un enlace p2p entre la sede central y su sucursal. p2p es fácil de optimizar y se puede hacer con poco coste en tiempo o capital.

Si te gusta cómo funciona un prototipo así, entonces puedes considerar ir a un enfoque similar a DMVPN (como lo mencionó @Elliot Dierksen), pero aunque son bastante simples de configurar, para que funcionen bien (es decir, evitar problemas de rendimiento), es la parte no trivial.

Ver la solución en mensaje original publicado

31 RESPUESTAS 31

Translator
Community Manager
Community Manager

Usted no utiliza DIA' por lo que el problema puede no estar en su router puede en los routers HQ que la velocidad de descarga lenta.

El tráfico debe ir a la sede central y, a continuación, a través del túnel hasta el router.

Compruebe HQ 

Hola. ¿Puede explicar qué es DIA y puede dar más detalles sobre su respuesta? Todo el tráfico, tanto de carga como de descarga, pasa por el túnel VPN, pero solo la descarga a la sucursal experimenta los problemas.

En el lado de HQ tenemos ASA5525X como VPN GW y después tenemos un FTD 2130 que mueve el tráfico al destino requerido.
Los enlaces del lado de HQ entre firewalls son de 1 Gbps, los enlaces de Internet son de 10 Gbps. No hay caídas en las interfaces y los dispositivos del lado de HQ no muestran ningún problema.

Acceso directo a Internet (DIA), lo que significa que el tráfico que va a Internet no tiene que ir a la sede central; solo el tráfico que necesita acceder al servidor en la sede central tiene que pasar a través del túnel.

Pero creo que no se usa DIA debido a la seguridad. El ASA es un dato seguro para el router de la sucursal.

Comprobaré si hay algún comando para comprobar el rendimiento de la descarga en ASA.

Correcto. No utilizamos acceso directo a Internet por razones de seguridad y tunelizamos todo el tráfico al ASA que luego lo reenvía al FTD que maneja todo el tráfico que mueve el tráfico y luego a Internet, servidores HQ o cualquier otra cosa que se necesite.

Translator
Community Manager
Community Manager

En mi teléfono, no puedo ver su configuración, pero dos problemas comunes son: 1) el impacto de la fragmentación a través de un túnel y 2) la transferencia de datos más rápido de lo que admite la ruta.

Por lo que describe, sospecho que #2 podría ser el problema principal, ya que observa que la sucursal tiene 50 Mbps (el puerto funciona a 100?) y la sede central tiene 10g.

¿Ambos lados forman para los 50 Mbps?  Si da forma a 50 Mbps, ¿con qué parámetros específicos?

También se pueden realizar otros cambios para mejorar el rendimiento, pero a menos que esté modelando, es probable que haya una alta tasa de caída a través de Internet que no sea visible directamente para usted.

No estoy haciendo ningún modelado en el momento en ninguno de los lados. Voy a probar un poco de modelado de tráfico para ver si ayuda.

Translator
Community Manager
Community Manager

Me las arreglé para agregar un poco de modelado de tráfico en ambos lados del link, pero con los mismos resultados. La carga a la sede central es súper rápida, pero la descarga a la sucursal sigue siendo lenta y entrecortada (comienza bien, se ralentiza, se detiene, vuelve a ir lento, va rápido).

En el router 891F del lado de la sucursal simplemente agregué un mapa de políticas para dar forma a 50 Mbps en el link externo del router con esta configuración.

policy-map Traffic-shape-pmap
class class-default
shape average 50000000

sh policy-map Traffic-shape-pmap
Policy Map Traffic-shape-pmap
Class class-default
Average Rate Traffic Shaping
cir 50000000 (bps)

show policy-map interface gi8
GigabitEthernet8

Service-policy output: Traffic-shape-pmap

Class-map: class-default (match-any)
463676 packets, 201109055 bytes
5 minute offered rate 773000 bps, drop rate 0000 bps
Match: any
Queueing
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/510/0
(pkts output/bytes output) 463166/200452531
shape (average) cir 50000000, bc 200000, be 200000
target shape rate 50000000

En la sede central, implementé el modelado de tráfico en el firewall FTD (detrás del gateway VPN y realizo todas las tareas "inteligentes" para el tráfico de la sucursal) mediante el uso de una política de QoS que limita el tráfico tanto en la carga como en la descarga a 50 Mbps.

Resultados no sorprendentes.  Lo siento si mi mención de la necesidad de formador implicado tan solo resolvería el problema.  Proporcionaré más información cuando llegue a mi PC.

Translator
Community Manager
Community Manager

se inicia OK, se ralentiza, se detiene, se ralentiza de nuevo, se acelera <<- esto puede provenir de la MTU y MSS que utiliza, reduce ambos en 40 bytes y comprueba el rendimiento 

¿Hago esto en las interfaces internas y externas del router o sólo en la interfaz externa?

Sólo exterior

Translator
Community Manager
Community Manager

He descartado la MTU y el MSS en la interfaz externa tanto a 1460 como a 1400, pero los resultados son los mismos.

Ip mtu 1400
Ip tcp mss 1360

<- tcp mss debe ser menor que mtu

Además, estos parámetros se colocan en la interfaz de túnel.

Técnicamente, desea IP MTU en ambas interfaces de túnel pero el

TCP

sólo se debe aplicar una vez, en cualquier lugar de la trayectoria de tránsito para el tráfico no encapsulado, generalmente, aunque se empareja con la MTU IP.