Zum Inhalt wechseln


Foto

Cisco Easy VPN - Außenstellen Cisco 8xx - Paketverluste


  • Bitte melde dich an um zu Antworten
Keine Antworten in diesem Thema

#1 RolfW

RolfW

    Expert Member

  • 1.138 Beiträge

 

Geschrieben 25. Februar 2016 - 08:28

Guten Morgen liebes Forum,

 

wir haben immer mal wieder mit Paketverlusten zu tun. Aktuell fällt es wohl enorm bei der neuen RDP Farm auf. (Siehe http://www.mcseboard...lorer-langsam/)

Wir haben Außenstellen in Deutschland (Meistens Telekom Home DSL Tarife) und in der Schweiz (VDSL Swisscom). Bei den Schweizern sind die Antwortzeiten bei 20-40ms ohne Paketverluste laut PRTG.

In Deutschland dliegen die Antwortzeiten bei ~70ms mit einigen Paketverlusten (20-40% laut PRTG) zwischen drin. Die Außenstellen haben Cisco 876 oder 886 Router und als Gateway in der Hauptselle einen Cisco 2921 und eine Anbindung von 2 x 100 MBit (die zusammen genutzt wird). Leider unterscheiden sich die Configs z.T. in den Außenstellen. Hier aber mal eine Config einer Problem Außenstelle:

Current configuration : 5364 bytes
!
! Last configuration change at 15:37:32 MET Wed Feb 24 2016 by vpn
! NVRAM config last updated at 15:37:34 MET Wed Feb 24 2016 by vpn
!
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname VPN
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
enable secret 5 $1$pv94$bWDRMVMfV3BnZ/Z8czpkx/
!
no aaa new-model
clock timezone MET 1
clock summer-time MESZ recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-850411496
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-850411496
 revocation-check none
 rsakeypair TP-self-signed-850411496
!
!
dot11 syslog
no ip source-route
ip cef
!
!
no ip domain lookup
ip domain name domain.local
!
multilink bundle-name authenticated
isdn switch-type basic-net3
!
!
username vpn privilege 15 secret

!
crypto isakmp keepalive 20 8 periodic
!
!
crypto ipsec df-bit clear
!
!
!
crypto ipsec client ezvpn crws-client
 connect auto
 group VPN key 6 vielleicht
 mode network-extension
 peer 5.6.7.8 default
 peer 1.2.3.4
 idletime 600
 xauth userid mode interactive
!
!
archive
 log config
  hidekeys
!
!
ip tcp synwait-time 10
ip tftp source-interface Vlan1
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
interface Loopback0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
!
interface Null0
 no ip unreachables
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn switch-type basic-net3
 isdn point-to-point-setup
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 no ip mroute-cache
 atm vc-per-vp 64
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pvc 1/32
  oam-pvc 0
  pppoe-client dial-pool-number 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description VPN
 ip address 192.168.41.81 255.255.255.240
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
 crypto ipsec client ezvpn crws-client inside
!
interface Dialer0
 description VPN
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1456
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer pool 1
 dialer remote-name redback
 dialer-group 1
 no cdp enable
 ppp authentication pap chap callin
 ppp chap hostname t-online-com/82hjsdh78217@t-online-com.de
 ppp chap password 7 112D2A29078272727271
 ppp pap sent-username t-online-com/82hjsdh78217@t-online-com.de password 7 112D2A29078272727271
 ppp ipcp dns request
 ppp ipcp wins request
 crypto ipsec client ezvpn crws-client
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
!
ip access-list extended clear-df-bit
 permit tcp any any
!
kron occurrence Reset_Interface_Dialer0 at 1:55 recurring
 policy-list Reset_Interface_Dialer0
!
kron policy-list Reset_Interface_Dialer0
 cli clear interface dialer0
!
logging trap debugging
logging source-interface Vlan1
logging 192.168.88.154
access-list 23 permit 193.85.111.18
access-list 23 permit 192.168.41.80 0.0.0.15
dialer-list 1 protocol ip permit
snmp-server community test RO
snmp-server location Outlet
snmp-server contact IT
no cdp run
!
!
!
route-map clear-df-bit-map permit 10
 match ip address clear-df-bit
 set ip df 0
!
!
control-plane
!
banner login ^CCCC
!
line con 0
 login local
 no modem enable
 transport output telnet
 stopbits 1
line aux 0
 login local
 transport output telnet
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 length 0
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17182880
ntp server 85.214.214.151
ntp server 5.9.110.236
ntp server 178.63.14.131
ntp server 88.198.230.201
ntp server 212.43.246.10
ntp server 85.10.246.234
ntp server 188.227.227.31
ntp server 178.23.124.2 prefer
end

Falls Euch hier was direkt ins Auge springt, zeigt es mir.

 

In dieser Filiale hängt noch ein Switch zwischen dem Router und dem ThinClient. Dieser ist am Router auf "interface FastEthernet0". Switch ist wie folgt konfiguriert (Port 24 hängt der Router):

Current configuration : 2513 bytes
!
! No configuration change since last restart
!
version 12.2
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname DV
!
logging buffered 36654 debugging
enable secret 
!
no aaa new-model
clock timezone MET 1
clock summer-time MESZ recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
 spanning-tree portfast
!
interface FastEthernet0/2
 description kasse-m01-aache
 spanning-tree portfast
!
interface FastEthernet0/3
 spanning-tree portfast
!
interface FastEthernet0/4
 spanning-tree portfast
!
interface FastEthernet0/5
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet0/6
 spanning-tree portfast
!
interface FastEthernet0/7
 spanning-tree portfast
!
interface FastEthernet0/8
 spanning-tree portfast
!
interface FastEthernet0/9
 spanning-tree portfast
!
interface FastEthernet0/10
 spanning-tree portfast
!
interface FastEthernet0/11
 spanning-tree portfast
!
interface FastEthernet0/12
 spanning-tree portfast
!
interface FastEthernet0/13
 spanning-tree portfast
!
interface FastEthernet0/14
 spanning-tree portfast
!
interface FastEthernet0/15
 spanning-tree portfast
!
interface FastEthernet0/16
 spanning-tree portfast
!
interface FastEthernet0/17
 spanning-tree portfast
!
interface FastEthernet0/18
 spanning-tree portfast
!
interface FastEthernet0/19
 spanning-tree portfast
!
interface FastEthernet0/20
 spanning-tree portfast
!
interface FastEthernet0/21
 spanning-tree portfast
!
interface FastEthernet0/22
 spanning-tree portfast
!
interface FastEthernet0/23
 spanning-tree portfast
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 ip address 192.168.41.82 255.255.255.240
 no ip route-cache
!
ip default-gateway 192.168.41.81
ip http server
!
snmp-server community test RO
snmp-server location DE
snmp-server contact IT
!
control-plane
!
!
line con 0
line vty 0 4
 exec-timeout 30 0
 password 7 2387364364
 login
line vty 5 15
 login
!
ntp clock-period 36028927
ntp server 192.168.88.88
end

Für Ideen und Tipps sind wir dankbar. Das die DSL Leitung in Deutschland nicht die Beste ist, weiß ich und möchte ich auch ändern.

 

Edit: Wir haben gestern das df-bit noch erweitert durch die "route-map" und ohne Traffic war die Leitung in der letzten Stunde stabil. Nun ist wohl Traffic auf der Leitung und die Paketverluste beginnen wieder. (09:18 Uhr 20% und 09:22 Uhr 20%)

 

Vielen Dank.

Viele Grüße

Rolf


Bearbeitet von RolfW, 25. Februar 2016 - 08:31.

- Carpe Diem -

"Ist mir jetzt egal, ich lass das jetzt so."