Последние сообщения

Страницы: [1] 2 3 ... 10

Сетевая Безопасность - Security / Re: GRE:низкая скорость

« Последний ответ от Al Сентября 29, 2019, 01:52:22 pm »

Понятно, тогда следющим шагом, что я бы сделал, это проверил утилизацию ресурсов (CPU, Memory) в момент передачи большого файла. Может кто то и зашивается под нагрузкой, например Cisco 881.

sh proc cpu
sh proc cpu history

sh proc memory sorted

Также полезно проанализировать логи на цисках, может они что то сами подскажут.

Сетевая Безопасность - Security / Re: GRE:низкая скорость

« Последний ответ от Kyct Сентября 28, 2019, 09:05:46 am »

speedtest.net
со стороны 881 - 33Mbps

со стороны 3750 - 93Mbps

Сетевая Безопасность - Security / Re: GRE:низкая скорость

« Последний ответ от Al Сентября 27, 2019, 10:18:47 pm »

Коллега, а что показывает тест скорости каналов с обоих сторон, например:
https://www.speedtest.net/ru

Может проблема не в GRE, а с самим каналом с какой либо из сторон?

Коммутация и Маршрутизация - Routing & Switching / Cisco ISR 4331 доступ в интернет + ACL

« Последний ответ от testoffsurf Сентября 27, 2019, 04:39:48 pm »

Добрый день,

Помогите разобраться как правильно применить ACL-лист на интерфейсах. Ниже приведен небольшой фрагмент конфигурации маршрутизатора:

ip name-server 212.3.133.6 77.88.8.8 8.8.8.8

ip domain timeout 2
ip domain name XXX.ru

interface GigabitEthernet0/0/0
ip address 192.168.0.10 255.255.255.252
ip nat inside
ip tcp adjust-mss 1412
negotiation auto
ip virtual-reassembly

interface GigabitEthernet0/0/1
description ===[ ROSTELEKOM ]===
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
negotiation auto
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable

interface GigabitEthernet0/0/2
ip address 192.168.0.6 255.255.255.252
ip nat inside
ip tcp adjust-mss 1412
negotiation auto
ip virtual-reassembly

interface Dialer0
description ===[ Dialer for ISP ROSTELEKOM ]===
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname [username]
ppp chap password [password]
ppp pap sent-username [username] password [password]
no cdp enable
ip virtual-reassembly

router eigrp 67
variance 2
network 192.168.0.4 0.0.0.3
network 192.168.0.8 0.0.0.3
redistribute static
passive-interface default
no passive-interface GigabitEthernet0/0/2
no passive-interface GigabitEthernet0/0/0

ip nat inside source static tcp 10.0.9.110 3389 [PUBLIC_IP] 5006 extendable
ip nat inside source static tcp 10.0.9.107 3389 [PUBLIC_IP] 5020 extendable
ip nat inside source static tcp 10.0.9.107 80 [PUBLIC_IP] 25080 extendable
ip nat inside source list INTERNET_RULE_NAT interface Dialer0 overload
ip dns server
ip route 0.0.0.0 0.0.0.0 Dialer0

ip access-list extended INTERNET_RULE_NAT
permit ip 10.0.9.0 0.0.0.255 any
permit ip 10.67.0.0 0.0.7.255 any
deny ip any any

ACL-лист на вход выглядит следующим образом:

ip access-list extended ACL_RT_IN
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 169.254.0.0 0.0.255.255 any
deny ip 192.0.2.0 0.0.0.255 any
deny ip 224.0.0.0 15.255.255.255 any
deny ip 240.0.0.0 15.255.255.255 any
deny ip host 0.0.0.0 any
deny ip host 255.255.255.255 any
deny tcp any any fragments
deny udp any any fragments
deny icmp any any fragments
deny ip any any fragments
deny ip any any option any-options
deny ip any any ttl lt 6
deny icmp any any redirect
permit icmp any any
permit tcp host 212.3.133.6 eq 53 host 10.67.1.10 eq 53
permit udp host 212.3.133.6 eq 53 host 10.67.1.10 eq 53
permit tcp any eq 25080 host 10.0.9.107 eq 80
permit tcp any eq 5020 host 10.0.9.107 eq 3389
permit tcp any eq 5006 host 10.0.9.110 eq 3389
deny ip any any

ACL-лист на выход выглядит следующим образом:

ip access-list extended ACL_RT_OUT
permit tcp any any eq 80
permit tcp any any eq 443
permit tcp any any eq 53
permit udp any any eq 53
permit udp any any eq 123
permit tcp any any range 20 21
permit tcp any eq ftp-data any gt 1024
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any traceroute
deny ip any any

Если применить список доступа [ip access-group ACL_RT_IN in на interface Dialer0] в локальной сети интернета нет, до тех пор пока в список доступа не добавить [permit tcp any any established]. Если применить список доступа [ip access-group ACL_RT_IN in и ip access-group ACL_RT_OUT out на interface Dialer0] в локальной сети интернета нет совсем.

Помогите разобраться, я чувствую что где-то запутался.

Сетевая Безопасность - Security / GRE:низкая скорость

« Последний ответ от Kyct Сентября 27, 2019, 04:34:37 pm »

Добрый день

Есть чистый GRE туннель между 881 и 3750х. 881 подключается к внешнему миру через PPPoE, канал 30МБит\с. По факту 10Мбит\с.
Пинги через туннель в среднем 20мс, скорость:

[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 1.25 MBytes 10.5 Mbits/sec
[ 4] 1.00-2.00 sec 1.25 MBytes 10.5 Mbits/sec
[ 4] 2.00-3.00 sec 1.12 MBytes 9.44 Mbits/sec
[ 4] 3.00-4.00 sec 1.12 MBytes 9.44 Mbits/sec
[ 4] 4.00-5.00 sec 1.12 MBytes 9.43 Mbits/sec
[ 4] 5.00-6.00 sec 1.25 MBytes 10.5 Mbits/sec
[ 4] 6.00-7.00 sec 1.12 MBytes 9.45 Mbits/sec
[ 4] 7.00-8.00 sec 640 KBytes 5.24 Mbits/sec
[ 4] 8.00-9.00 sec 768 KBytes 6.29 Mbits/sec
[ 4] 9.00-10.00 sec 1.00 MBytes 8.39 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 10.6 MBytes 8.91 Mbits/sec sender
[ 4] 0.00-10.00 sec 10.5 MBytes 8.78 Mbits/sec receiver

на стороне 881:

interface Tunnel1
description Tunnel
ip address 10.5.5.2 255.255.255.252
no ip redirects
ip mtu 1400
ip tcp adjust-mss 1360
keepalive 5 5
tunnel source XXXXXXXXXXX
tunnel destination XXXXXXXXXXXXXX

interface Dialer0
description Internet
ip address negotiated
ip access-group FROM_OUTSIDE in
ip mtu 1492
ip nat outside
ip inspect INSPECT out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname
ppp chap password
no cdp enable

Сетевая Безопасность - Security / Re: ASA RA VPN

« Последний ответ от Kyct Сентября 17, 2019, 11:05:25 am »

Спасибо

Сетевая Безопасность - Security / Re: ASA RA VPN

« Последний ответ от Al Сентября 17, 2019, 10:33:20 am »

Коллега, здравствуйте,

Самый простой способ проверить задействованные лицензии, это команда sh vpn-sessiondb license-summary

Например:

ASA# sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary
---------------------------------------------------------------------------
Status : Capacity : Installed : Limit
-----------------------------------------
AnyConnect Premium : ENABLED : 250 : 100 : NONE
AnyConnect Essentials : DISABLED : 250 : 250 : NONE
Other VPN (Available by Default) : ENABLED : 250 : 250 : NONE
Shared License Server : DISABLED
Shared License Participant : ENABLED
AnyConnect for Mobile : ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment : ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone : ENABLED
VPN-3DES-AES : ENABLED
VPN-DES : ENABLED
---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary
---------------------------------------------------------------------------
Local : Shared : All : Peak : Eff. :
In Use : In Use : In Use : In Use : Limit : Usage
----------------------------------------------------
AnyConnect Premium : 0 : 0 : 0 : 2 : 100 : 0%
AnyConnect Client : : 0 : 2 : 0%
AnyConnect Mobile : : 3 : 3 : 3%
Clientless VPN : : 0 : 0 : 0%
Other VPN : : 1 : 1 : 250 : 0%
Cisco VPN Client/ : : 0 : 0 : 0%
L2TP Clients
Site-to-Site VPN : : 1 : 1 : 0%

В конце дается расшифровка, что включает Other VPN. Это может быть старый Cisco VPN клиент (ipsec), L2TP (например Windows), или Site-to-Site VPN.
AnyConnect ASA распознает в любом виде и проверяет его лицензирование. Так что не получиться его использовать даже с ipsec, увы....
---------------------------------------------------------------------------

Сетевая Безопасность - Security / ASA RA VPN

« Последний ответ от Kyct Сентября 17, 2019, 07:58:29 am »

Добрый день

Прошу оказать консультативную помощь:
имеется ASA 5515-X с лицензиями позволяющими (речь конкретно про VPN) вот это:
AnyConnect Premium Peers: 4 perpetual
AnyConnect Essentials: Disabled perpetual
Other VPN Peers: 250 perpetual
Total VPN Peers: 250 perpetual
Я правильно понимаю то что, 250 туннелей это и remote access ipsec и site-to-site?

Возможно такое - AnyConnect только по протоколу IPsec из числа доступных 250?

Спасибо

Коммутация и Маршрутизация - Routing & Switching / Re: Cisco ASA 5505 доступ в инет

« Последний ответ от Al Августа 06, 2019, 09:44:57 pm »

Супер! Рад, что помогло!

Коммутация и Маршрутизация - Routing & Switching / Re: Cisco ASA 5505 доступ в инет

« Последний ответ от leliksev Августа 06, 2019, 09:42:03 pm »

Алексей, благодарю!

После ручного указания DNS серверов провайдера всё заработало!

Страницы: [1] 2 3 ... 10

Форум сайта LearnCisco.Ru

Новости: