Wido
18/03/07, 20:42
Hoi,
Allereerst zal ik een beetje uitleg geven.
In het DC hangt een Cisco 5510 en ik heb hier een Cisco 5505.
Tussen deze twee heb ik een VPN connectie waardoor ik vanaf hier, direct mijn interne netwerk in Amsterdam kan bereiken, ideaal.
Nu is de doorvoor door die 5505 alleen beroerd. Ik beschik over een 24Mbit ADSL lijn waar ik zo'n 1900 ~ 2000KB/sec mee kan halen.
Achter deze ASA red ik een krappe 500KB/sec
De ASA heeft 8 poorten waarvan poort 2 - 8 samen zijn gevoegd (dus als switch fugeren).
Tussen twee PC's achter de ASA red ik 11.800KB/sec, prima dus en dit gaat ook door de ASA heen.
Ga ik achter iets downloaden van het internet of via de VPN, dan haal ik dus nog maar 500KB/sec..
Mijn configuratie is niet zo heel spannend, bij deze:
ASA Version 7.2(2)
!
hostname cisco-asa-5505-amersfoort
domain-name pcextreme.nl
enable password xxxxxxxx encrypted
names
!
interface Vlan1
nameif internal
security-level 100
ip address 192.168.6.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd xxxxxxxxxxx encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name pcextreme.nl
object-group network Internal_Network
description Alle hosts achter de VPN router
network-object 192.168.6.0 255.255.255.0
object-group network Remote_Internal
description Alle hosts aan de andere kant van de VPN
network-object 10.0.0.0 255.255.0.0
network-object 172.16.0.0 255.255.255.0
object-group icmp-type Allowed_ICMP
icmp-object echo
icmp-object echo-reply
access-list encrypt-acl extended permit ip object-group Internal_Network object-group Remote_Internal
access-list encrypt-acl extended permit icmp object-group Internal_Network object-group Remote_Internal
access-list no-nat-acl extended permit ip object-group Internal_Network object-group Remote_Internal
access-list allow-icmp extended permit icmp any any object-group Allowed_ICMP
pager lines 24
logging timestamp
logging monitor debugging
logging buffered debugging
logging asdm debugging
mtu internal 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (internal) 0 access-list no-nat-acl
nat (internal) 1 0.0.0.0 0.0.0.0
access-group allow-icmp in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
snmp-server location Kantoor Amersfoort
snmp-server contact Wido den Hollander <wido@pcextreme.nl>
snmp-server community xxxxxx
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-aes-256 esp-sha-hmac
crypto map IPsec_map 10 match address encrypt-acl
crypto map IPsec_map 10 set peer x.x.x.x
crypto map IPsec_map 10 set transform-set myset
crypto map IPsec_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash md5
group 5
lifetime 28800
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key *
dhcpd dns 85.92.145.252 217.115.199.215
dhcpd domain pcextreme.nl
dhcpd auto_config outside
dhcpd option 66 ip 10.0.x.x
dhcpd option 150 ip 10.0.x.x
!
dhcpd address 192.168.6.100-192.168.6.200 internal
dhcpd enable internal
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
ntp server x.x.x.x
prompt hostname context
Denk er dus aan, als ik iets download vanaf het internet gaat dit ook traag, maar dit gaan NIET via de VPN. Hiervoor doet de ASA alleen NAT.
De CPU load is ook niet hoog, zodra ik aan het downloaden ben is er 10 ~ 15% CPU load, dat is dus zeer acceptabel.
Het zit hem ergens in de NAT, daar lijkt het geknepen te worden?
Ik heb mijn twee boeken over de ASA's er al op na geslagen, maar daar kan ik hier niets over vinden.
Iemand een idee?
Allereerst zal ik een beetje uitleg geven.
In het DC hangt een Cisco 5510 en ik heb hier een Cisco 5505.
Tussen deze twee heb ik een VPN connectie waardoor ik vanaf hier, direct mijn interne netwerk in Amsterdam kan bereiken, ideaal.
Nu is de doorvoor door die 5505 alleen beroerd. Ik beschik over een 24Mbit ADSL lijn waar ik zo'n 1900 ~ 2000KB/sec mee kan halen.
Achter deze ASA red ik een krappe 500KB/sec
De ASA heeft 8 poorten waarvan poort 2 - 8 samen zijn gevoegd (dus als switch fugeren).
Tussen twee PC's achter de ASA red ik 11.800KB/sec, prima dus en dit gaat ook door de ASA heen.
Ga ik achter iets downloaden van het internet of via de VPN, dan haal ik dus nog maar 500KB/sec..
Mijn configuratie is niet zo heel spannend, bij deze:
ASA Version 7.2(2)
!
hostname cisco-asa-5505-amersfoort
domain-name pcextreme.nl
enable password xxxxxxxx encrypted
names
!
interface Vlan1
nameif internal
security-level 100
ip address 192.168.6.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd xxxxxxxxxxx encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name pcextreme.nl
object-group network Internal_Network
description Alle hosts achter de VPN router
network-object 192.168.6.0 255.255.255.0
object-group network Remote_Internal
description Alle hosts aan de andere kant van de VPN
network-object 10.0.0.0 255.255.0.0
network-object 172.16.0.0 255.255.255.0
object-group icmp-type Allowed_ICMP
icmp-object echo
icmp-object echo-reply
access-list encrypt-acl extended permit ip object-group Internal_Network object-group Remote_Internal
access-list encrypt-acl extended permit icmp object-group Internal_Network object-group Remote_Internal
access-list no-nat-acl extended permit ip object-group Internal_Network object-group Remote_Internal
access-list allow-icmp extended permit icmp any any object-group Allowed_ICMP
pager lines 24
logging timestamp
logging monitor debugging
logging buffered debugging
logging asdm debugging
mtu internal 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (internal) 0 access-list no-nat-acl
nat (internal) 1 0.0.0.0 0.0.0.0
access-group allow-icmp in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
snmp-server location Kantoor Amersfoort
snmp-server contact Wido den Hollander <wido@pcextreme.nl>
snmp-server community xxxxxx
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-aes-256 esp-sha-hmac
crypto map IPsec_map 10 match address encrypt-acl
crypto map IPsec_map 10 set peer x.x.x.x
crypto map IPsec_map 10 set transform-set myset
crypto map IPsec_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash md5
group 5
lifetime 28800
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key *
dhcpd dns 85.92.145.252 217.115.199.215
dhcpd domain pcextreme.nl
dhcpd auto_config outside
dhcpd option 66 ip 10.0.x.x
dhcpd option 150 ip 10.0.x.x
!
dhcpd address 192.168.6.100-192.168.6.200 internal
dhcpd enable internal
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
ntp server x.x.x.x
prompt hostname context
Denk er dus aan, als ik iets download vanaf het internet gaat dit ook traag, maar dit gaan NIET via de VPN. Hiervoor doet de ASA alleen NAT.
De CPU load is ook niet hoog, zodra ik aan het downloaden ben is er 10 ~ 15% CPU load, dat is dus zeer acceptabel.
Het zit hem ergens in de NAT, daar lijkt het geknepen te worden?
Ik heb mijn twee boeken over de ASA's er al op na geslagen, maar daar kan ik hier niets over vinden.
Iemand een idee?