cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
Ask Me Anything - Webex Bots
7232
Visitas
0
ÚTIL
7
Respuestas
FRANCISCO IBARRA
Beginner

Como mejorar la conexion de una vpn.

Acutalmente tengo configurado varias vpn. mi pregunta es sobre de que manera puedo mejorar la velocidad de las vpn, para que las aplicaciones que se utilizan a travez de la vpn puedan correr de mejor manera.

Se que esto puede basarse en los anchos de banda (Estoy utilizando una  E1), pero que otras variable hay que tomar en cuenta para mejorar la velocidad de las vpn.

Gracias

7 RESPUESTAS 7
Ricardo Prado Rueda
Cisco Employee

Hola Francisco:

   Una de las cosas que puedes revisar es la fragmentación de paquetes sobre el túnel de VPN. Si tus paquetes son muy grandes y se agrega el encabezado de IPSEC lo más seguro es que se requiera fragmentar dichos paquetes en algún punto en el camino, lo que contribuye al delay. Si, por el contrario, se mandan paquetes más chicos no se requiere fragmentación, pero ahí dependes de las condiciones de la red y los equipos para ver si el hecho de mandar más paquetes para una misma conversación no afecta también en el delay.

http://www.cisco.com/en/US/docs/interfaces_modules/services_modules/vspa/configuration/guide/ivmvpnb.html

   Al final todo va a depender siempre del ancho de banda disponible, hay que tomar en cuenta que si tienes varios flujos de tráfico todos están en competencia por el mismo ancho de banda que por default se distribuye con un método FIFO, el primer paquete que llega es el primero que sale. Si dicho paquetes es muy grande esto causará que los paquetes que le siguen tarden más tiempo en salir. Para manejar un poco más esto puedes agregar QoS a tu tráfico pero será para darle más preferencia a ciertos flujos sobre otros, cuando tenemos un ancho de banda fijo el objetivo es acomodarlo de la mejor manera para que se afecten lo menos posible nuestros flujos más importantes:

http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND/IPSecQoS.html

http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/guide/qcfvpn.html

http://www.cisco.com/en/US/products/ps6635/products_white_paper09186a0080189080.shtml

Saludos.

Hola Ricardo:

Muy interesante tu respuesta, mi pregunta es si existe algun procedimiento para encrontrar el tamaño optimo del MTU.

Otra pregunta es sobre el QoS, cual es la diferencia entre los metodos que mencionas y este otro:

https://supportforums.cisco.com/docs/DOC-16433

ya que para mis tuneles los estoy haciendo entre un ASA 5510 y entre ISR 880

Saludos y nuevamente gracias

Hola Francisco:

   Para saber el valor correcto del MTU, necesitarías conocer el MTU a lo largo de todo el Path por donde tu tráfico pasa. En este caso, no vas a concerlo puesto que eso depende de la configuración de tu proveedor de servicio, entonces lo único que se puede hacer en ese caso es ir probando y ver de qué manera se afecta tu tráfico. Podrías mandar una prueba de ping para ver el tamaño máximo de tus paquetes.

   Con respecto al link y lo que te mandé sobre QoS, son más o menos similares. Los que yo mandé son para IOS y el link que incluyes es para ASA, pero la misma estrategia puede aplicar para los dos dispositivos.

   Saludos.

Aqui esta la prueba de ping

Haciendo ping a 172.16.1.1 con 32 bytes de datos:T

iempo de espera agotado para esta solicitud.

Tiempo de espera agotado para esta solicitud.

Respuesta desde 172.16.1.1: bytes=32 tiempo=1638ms TTL=255

Tiempo de espera agotado para esta solicitud.

Respuesta desde 172.16.1.1: bytes=32 tiempo=2108ms TTL=255

Respuesta desde 172.16.1.1: bytes=32 tiempo=1838ms TTL=255

Respuesta desde 172.16.1.1: bytes=32 tiempo=1658ms TTL=255

Respuesta desde 172.16.1.1: bytes=32 tiempo=1491ms TTL=255

Tiempo de espera agotado para esta solicitud.

Estad¡sticas de ping para 172.16.1.1:    Paquetes: enviados = 9, recibidos = 5, perdidos = 4    (44% perdidos),Tiempos aproximados de ida y vuelta en milisegundos:    M¡nimo = 1491ms, M ximo = 2108ms, Media = 1746ms

Si observas en esa prueba, los paquetes del PING se mandaron de 32  bytes, por lo tanto ese enlace o túnel es capaz de manejar trafico con  paquetes de 32 bytes. La prueba que comento es intentar con diferentes  tamañosde paquetes y la opción de "don't fragment" habilitada para  observar el tamaño máximo de paquetes que se pueden mandar sobre el  túnel. Con eso podrías evitar fragmentación de paquetes y el  comportamiento del túnel debería ser un poco mejor:

ping X.X.X.X -f -l 1700

La opción -f en windows habilita la opción de "don't fragment".

La opción -l en windows permite modificar el tamaño del paquete de prueba que se manda.

Estimados,

La prueba de ping que muestra Ricardo no es para calcular las MTU para paquetes con tráfico VPN o Terminal Server pero si sirve para calcular los MTU de conexión banda ancha, por ejemplo ping con paquetes sin fragmentar a una pagina web, a tu ip fija o a tus DNS.

Con mi Tunel VPN activado (por hardware de router a router PPPTP), probé esos comandos: ping 192.168.1.2 -f -l 1492, por ejemplo. La IP es de mi servidor en otra sucursal. Resumo, despues de muchas pruebas, por cada MTU que me calculaba no terminaba de hallarme el MTU correcto, Por cada MTU nuevo hallado y actualizado en el router al volver a pinear me hallaba otro nuevo MTU y así sucesivamente hasta que me di cuenta que el MTU bajaba cada vez más. Me convencí que esta prueba no es para calcuar MTU de paquetes VPN como por ahí leí.

Para mí esta fue mi solución, configurar el MTU para conexiones VPN:

http://support.microsoft.com/kb/274805/es

EL MUTU calculado tambien deben agregarlo al router ya que en el link no lo indican y solo hacen referncia a la configacion del MTU en los host.

En realidad no india cómo calcular el MTU pero si agregarlo a tu interface NDIS WAN y desde ahí ir probando que MTU es lo correcto según tus pruebas y corriendo tu aplicación, no es de un día o de unas horas.

Tomé algo de 4 días para hallar el MTU correcto, ahora mi aplicacion por VPN corre algo mejor. Las configraciones del MTU las hice en el sevidor de la oficina principal y en 02 clientes VPN ubicados en otra oficina. Es decir, el MTU hallado lo agregué a ambos routers y a las máquinas de ambas oficinas.

Ahora he agregado el servicio de Terminal Server (TS) en el servidor - usando el tunel VPN- la conexión por TS es mucho más rápido, lo más tedioso acá es configurar las impresoras por TS.

 

 

Corrigo: no es ping a la ip fija debe ser a la ip pública.

Crear
Reconozca a un colega
Content for Community-Ad