Mysterious WAN Connection Throttling

2

Configuração

2x Cisco ASA 5520

ASA 8,3 (1), ASDM 6,3 (1)

Configurações de criptografia IPSec:

ESP-3DES-SHA, bidirecional, sigilo de encaminhamento perfeito grupo 1, 8 HR tempo de vida ou 4,608,000 Kilobytes, NAT-T ativado

Rede A, Chicago 10.110.1.0/24 100 MBPS de conexão Cogent

Rede B, Denver 10.110.2.0/24 Em rede de fibra de datacenter a 60 MBPS

Problema

Qualquer tráfego entre Chicago e Devner (IPSec, HTTP, FTP, etc) atinge uma parede a 7 MBPS Denver - > Chicago e 1,5 MBPS Chicago - > Denver.

Testes

  1. As atualizações da Microsoft são baixadas a 60 + MBPS de qualquer rede, por isso sei que a conexão WAN nas duas extremidades é rápida.
  2. Reiniciou os dois firewalls apenas por uma boa medida.
  3. As transferências do ASA de Chicago para outro ASA de Chicago ocorreram nos 45-50 MBPS esperados. Portanto, não parece que o meu ASA será limitador de taxa ou o IPSec está tendo problemas com a saída through. A CPU está em 3-4% durante o dia e 10% durante as transferências de 7 / 1.5 MBPS.
  4. Traceroute entre Chicago e Denver chega a 16 saltos, sem salto superior a 60ms
  5. Transferiu arquivos pelo túnel IPSec no Windows, fora do túnel IPSec como tráfego HTTP ou FTP e ainda vê os limites de 7 / 1,5 MBPS.
  6. Conectamos uma área de trabalho ao nosso switch Cogent em Chicago, atribuímos um IP da WAN, transferimos o tráfego HTTP e FTP e ainda vemos um limite de 7 / 1,5 MBPS.
  7. Analisou o tamanho da janela TCP nas transferências enquanto visualizava um limite entre Chicago e Denver e apenas baixava um arquivo. Ambos estavam em 65.535.
  8. Perguntou ao Datacenter para ver a linha para ver se havia algum pacote perdido, erros de CRC, etc. Eles não viram nada.
  9. O ping de 24 horas não mostra perda de pacotes e tempo médio de resposta de 85 ms.
  10. Verificação dupla do Cisco ASA para garantir que não foram emitidos comandos de "saída policial". Nosso ASA é bastante baunilha, já que temos alguns NATs, ACLs para acesso e uma VPN IPSec voltando para casa em Chicago.

Perguntas

  1. Não consigo descobrir com que camada OSI lidar quando solucionar problemas.
  2. Eu interajo com os ISPs e lhes digo meus problemas? Com quem devo apontar o dedo?
por Brent 13.08.2010 / 18:12

2 respostas

3

Parece que é hora de executar o wireshark em ambas as extremidades. Meu palpite é que isso ajudará você a encontrar o tráfego que está causando o problema. Nós recentemente tivemos um similar (estava causando o nosso iscsi san para não sincronizar) acabou sendo um switch de data center ruim. Eu usei os logs do wireshark para mostrar o problema e eles substituíram o switch.

    
por 13.08.2010 / 19:23
3

minha opinião sobre isso seria a primeira, para tentar executar várias conexões simultâneas para ver se você alcança suas velocidades alocadas através de múltiplas conexões simultâneas, então você praticamente descartou qualquer camada 1, 2 ou 3 dificuldades

possivelmente tente um teste de taxa de transferência UDP, se você pode enviar 70mbps no tráfego UDP, mas você está limitado a 7mbps no seu throughput TCP, então eu seria strongmente inclinado a ser algum tipo de problema de janela deslizante TCP

encontramos algo muito semelhante a esse cenário há alguns meses, e foi resolvido por um switch que não tinha a configuração adequada de MTU, o que eu acho que estava limitando a janela deslizante do TCP de atingir seu desempenho máximo. Gostaria de verificar que você pode enviar pacotes de 1500 bytes (o tamanho padrão para pacotes da Internet) de ponta a ponta com o bit não fragmentado definido no ping.

espero que isso ajude

    
por 13.08.2010 / 19:51