Последние сообщения

Страницы: [1] 2 3 ... 10
1
Сетевая Безопасность - Security / Re: GRE:низкая скорость
« Последний ответ от Al Сентября 29, 2019, 01:52:22 pm »
Понятно, тогда следющим шагом, что я бы сделал, это проверил утилизацию ресурсов (CPU, Memory) в момент передачи большого файла. Может кто то и зашивается под нагрузкой, например Cisco 881.

sh proc cpu
sh proc cpu history

sh proc memory sorted

Также полезно проанализировать логи на цисках, может они что то сами подскажут.
2
Сетевая Безопасность - Security / Re: GRE:низкая скорость
« Последний ответ от Kyct Сентября 28, 2019, 09:05:46 am »
speedtest.net
со стороны 881 - 33Mbps

со стороны 3750 - 93Mbps
3
Сетевая Безопасность - Security / Re: GRE:низкая скорость
« Последний ответ от Al Сентября 27, 2019, 10:18:47 pm »
Коллега, а что показывает тест скорости каналов с обоих сторон, например:
https://www.speedtest.net/ru

Может проблема не в GRE, а с самим каналом с какой либо из сторон?

4
Добрый день,

   Помогите разобраться как правильно применить ACL-лист на интерфейсах. Ниже приведен небольшой фрагмент конфигурации маршрутизатора:

ip name-server 212.3.133.6 77.88.8.8 8.8.8.8

ip domain timeout 2
ip domain name XXX.ru

interface GigabitEthernet0/0/0
 ip address 192.168.0.10 255.255.255.252
 ip nat inside
 ip tcp adjust-mss 1412
 negotiation auto
 ip virtual-reassembly

interface GigabitEthernet0/0/1
 description ===[ ROSTELEKOM ]===
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
 no cdp enable

interface GigabitEthernet0/0/2
 ip address 192.168.0.6 255.255.255.252
 ip nat inside
 ip tcp adjust-mss 1412
 negotiation auto
 ip virtual-reassembly

interface Dialer0
 description ===[ Dialer for ISP ROSTELEKOM ]===
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname [username]
 ppp chap password [password]
 ppp pap sent-username [username] password [password]
 no cdp enable
 ip virtual-reassembly

router eigrp 67
 variance 2
 network 192.168.0.4 0.0.0.3
 network 192.168.0.8 0.0.0.3
 redistribute static
 passive-interface default
 no passive-interface GigabitEthernet0/0/2
 no passive-interface GigabitEthernet0/0/0

ip nat inside source static tcp 10.0.9.110 3389 [PUBLIC_IP] 5006 extendable
ip nat inside source static tcp 10.0.9.107 3389 [PUBLIC_IP] 5020 extendable
ip nat inside source static tcp 10.0.9.107 80 [PUBLIC_IP] 25080 extendable
ip nat inside source list INTERNET_RULE_NAT interface Dialer0 overload
ip dns server
ip route 0.0.0.0 0.0.0.0 Dialer0

ip access-list extended INTERNET_RULE_NAT
 permit ip 10.0.9.0 0.0.0.255 any
 permit ip 10.67.0.0 0.0.7.255 any
 deny   ip any any

ACL-лист на вход выглядит следующим образом:

ip access-list extended ACL_RT_IN
  deny ip 10.0.0.0 0.255.255.255 any
  deny ip 172.16.0.0 0.15.255.255 any
  deny ip 192.168.0.0 0.0.255.255 any
  deny ip 127.0.0.0 0.255.255.255 any
  deny ip 169.254.0.0 0.0.255.255 any
  deny ip 192.0.2.0 0.0.0.255 any
  deny ip 224.0.0.0 15.255.255.255 any
  deny ip 240.0.0.0 15.255.255.255 any
  deny ip host 0.0.0.0 any
  deny ip host 255.255.255.255 any
  deny tcp any any fragments
  deny udp any any fragments
  deny icmp any any fragments
  deny ip any any fragments
  deny ip any any option any-options
  deny ip any any ttl lt 6
  deny icmp any any redirect
  permit icmp any any
  permit tcp host 212.3.133.6 eq 53 host 10.67.1.10 eq 53
  permit udp host 212.3.133.6 eq 53 host 10.67.1.10 eq 53
  permit tcp any eq 25080 host 10.0.9.107 eq 80
  permit tcp any eq 5020 host 10.0.9.107 eq 3389
  permit tcp any eq 5006 host 10.0.9.110 eq 3389
  deny ip any any

ACL-лист на выход выглядит следующим образом:

ip access-list extended ACL_RT_OUT
  permit tcp any any eq 80
  permit tcp any any eq 443
  permit tcp any any eq 53
  permit udp any any eq 53
  permit udp any any eq 123
  permit tcp any any range 20 21
  permit tcp any eq ftp-data any gt 1024
  permit icmp any any echo
  permit icmp any any echo-reply
  permit icmp any any packet-too-big
  permit icmp any any time-exceeded
  permit icmp any any traceroute
  deny ip any any

Если применить список доступа [ip access-group ACL_RT_IN in на interface Dialer0] в локальной сети интернета нет, до тех пор пока в список доступа не добавить [permit tcp any any established]. Если применить список доступа [ip access-group ACL_RT_IN in и ip access-group ACL_RT_OUT out на interface Dialer0] в локальной сети интернета нет совсем.

Помогите разобраться, я чувствую что где-то запутался.
5
Сетевая Безопасность - Security / GRE:низкая скорость
« Последний ответ от Kyct Сентября 27, 2019, 04:34:37 pm »
Добрый день

Есть чистый GRE туннель между 881 и 3750х. 881 подключается к внешнему миру через PPPoE, канал 30МБит\с. По факту 10Мбит\с.
Пинги через туннель в среднем 20мс, скорость:

[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  1.25 MBytes  10.5 Mbits/sec
[  4]   1.00-2.00   sec  1.25 MBytes  10.5 Mbits/sec
[  4]   2.00-3.00   sec  1.12 MBytes  9.44 Mbits/sec
[  4]   3.00-4.00   sec  1.12 MBytes  9.44 Mbits/sec
[  4]   4.00-5.00   sec  1.12 MBytes  9.43 Mbits/sec
[  4]   5.00-6.00   sec  1.25 MBytes  10.5 Mbits/sec
[  4]   6.00-7.00   sec  1.12 MBytes  9.45 Mbits/sec
[  4]   7.00-8.00   sec   640 KBytes  5.24 Mbits/sec
[  4]   8.00-9.00   sec   768 KBytes  6.29 Mbits/sec
[  4]   9.00-10.00  sec  1.00 MBytes  8.39 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-10.00  sec  10.6 MBytes  8.91 Mbits/sec                  sender
[  4]   0.00-10.00  sec  10.5 MBytes  8.78 Mbits/sec                  receiver

на стороне 881:

interface Tunnel1
 description Tunnel
 ip address 10.5.5.2 255.255.255.252
 no ip redirects
 ip mtu 1400
 ip tcp adjust-mss 1360
 keepalive 5 5
 tunnel source XXXXXXXXXXX
 tunnel destination XXXXXXXXXXXXXX

interface Dialer0
 description Internet
 ip address negotiated
 ip access-group FROM_OUTSIDE in
 ip mtu 1492
 ip nat outside
 ip inspect INSPECT out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname
 ppp chap password
 no cdp enable
6
Сетевая Безопасность - Security / Re: ASA RA VPN
« Последний ответ от Kyct Сентября 17, 2019, 11:05:25 am »
Спасибо
7
Сетевая Безопасность - Security / Re: ASA RA VPN
« Последний ответ от Al Сентября 17, 2019, 10:33:20 am »
Коллега, здравствуйте,

Самый простой способ проверить задействованные лицензии, это команда sh vpn-sessiondb license-summary

Например:

ASA# sh vpn-sessiondb license-summary
---------------------------------------------------------------------------
VPN Licenses and Configured Limits Summary                                 
---------------------------------------------------------------------------
                                     Status : Capacity : Installed :  Limit
                                  -----------------------------------------
AnyConnect Premium               :  ENABLED :      250 :       100 :   NONE
AnyConnect Essentials            : DISABLED :      250 :       250 :   NONE
Other VPN (Available by Default) :  ENABLED :      250 :       250 :   NONE
Shared License Server            : DISABLED
Shared License Participant       :  ENABLED
AnyConnect for Mobile            :  ENABLED(Requires Premium or Essentials)
Advanced Endpoint Assessment     :  ENABLED(Requires Premium)
AnyConnect for Cisco VPN Phone   :  ENABLED
VPN-3DES-AES                     :  ENABLED
VPN-DES                          :  ENABLED
---------------------------------------------------------------------------

---------------------------------------------------------------------------
VPN Licenses Usage Summary                                                 
---------------------------------------------------------------------------
                          Local : Shared :   All  :   Peak :  Eff.  :     
                         In Use : In Use : In Use : In Use :  Limit : Usage
                       ----------------------------------------------------
AnyConnect Premium     :      0 :      0 :      0 :      2 :    100 :    0%
  AnyConnect Client    :                 :      0 :      2          :    0%
    AnyConnect Mobile  :                 :      3 :      3          :    3%
  Clientless VPN       :                 :      0 :      0          :    0%
Other VPN              :                 :      1 :      1 :    250 :    0%
  Cisco VPN Client/    :                 :      0 :      0          :    0%
  L2TP Clients
  Site-to-Site VPN     :                 :      1 :      1          :    0%

В конце дается расшифровка, что включает Other VPN. Это может быть старый Cisco VPN клиент (ipsec), L2TP (например Windows), или Site-to-Site VPN.
AnyConnect ASA распознает в любом виде и проверяет его лицензирование. Так что не получиться его использовать даже с ipsec, увы....
---------------------------------------------------------------------------
8
Сетевая Безопасность - Security / ASA RA VPN
« Последний ответ от Kyct Сентября 17, 2019, 07:58:29 am »
Добрый день

Прошу оказать консультативную помощь:
имеется ASA 5515-X с лицензиями позволяющими (речь конкретно про VPN) вот это:
AnyConnect Premium Peers: 4              perpetual
AnyConnect Essentials: Disabled       perpetual
Other VPN Peers: 250            perpetual
Total VPN Peers: 250            perpetual
Я правильно понимаю то что, 250 туннелей это и remote access ipsec и site-to-site?

Возможно такое - AnyConnect только по протоколу IPsec из числа доступных 250?

Спасибо
9
Коммутация и Маршрутизация - Routing & Switching / Re: Cisco ASA 5505 доступ в инет
« Последний ответ от Al Августа 06, 2019, 09:44:57 pm »
Супер! Рад, что помогло!
10
Коммутация и Маршрутизация - Routing & Switching / Re: Cisco ASA 5505 доступ в инет
« Последний ответ от leliksev Августа 06, 2019, 09:42:03 pm »
Алексей, благодарю!

После ручного указания DNS серверов провайдера всё заработало!   :)
Страницы: [1] 2 3 ... 10