Tengo un problema grave que aun no le he podido hallar solucion. Tengo un PIX 515E en mi oficina y otro igual en una oficina remota. Ambos PIX andan bien por un rato, dos o tres horas, a veces mas tiempo, pero luego de un tiempo, los tiempos de respuesta haciendo ping al otro lado, llegan a los 300 ms, y tenemos una aplicacion que para que ande bien debe estar entre los 80 y 140 ms. He notado que haciendo un clear crypto ipsec sa los tiempos mejoran, es decir, he leido que esto es un lifetime o tiempo de vida del tunnel que tienen ambos PIX ya sea por medio de tiempo en segundos o por cantidad de Kilobytes. Ahorita los dos PIX estan configurados para realizar el "clear " del tunnel cada 4 horas. Cuando el lifetime del PIX llega a las 4 horas, ambos vuelven a crear el tunnel, o si entre ambos PIX, la cantidad 'X' de Kb transferidos en el tunnel llega al tope antes de ser creado nuevamente. Por otro lado, no tenemos problema de ancho de banda , ya que en promedio siempre se utilizan 3 Mbps, de un total de 6 Mbps. Cuando el enlace entre ambos lugares llega a los 300 ms, el ancho de banda utlilizado llega a menos de 1 Mbps. He visto varias veces luego de ejecutar el comando clear crypto ipsec sa que el ancho de banda se dispara a 3 o 4 Mbps y se mantiene. Alguien le ha pasado algo similar o sabe que estara ocurriendo? He solicitado que en el lugar remoto se ejecute el mismo comando y se resuelve, pero luego de una o dos horas, el tiempo de respuesta vuelve a ser alto (288 ms). Saludos a todos y gracias de antemano por sus respuestas.
Respuesta
Verifica la configuracion de tu servicio de sesiones criptograficas con el pix
debes tener los valores de expiracion de las entradas muy largos
por eso no se limpian las caches y se pone pesado tu pix
cuando reseteas manualmente el pix libera recursos y anda mejor...
en www.cisco.com tambien tenes documentacion sobre como "tunear" el proceso para mejorarlo
debes tener los valores de expiracion de las entradas muy largos
por eso no se limpian las caches y se pone pesado tu pix
cuando reseteas manualmente el pix libera recursos y anda mejor...
en www.cisco.com tambien tenes documentacion sobre como "tunear" el proceso para mejorarlo
Pregunta de aclaración del autor del
problema
problema
Entonces, si vuelvo a poner los valores de expiracion en las 8 horas que el PIX trae por defecto en su configuracion o en mas horas, no tendre mas este problema? Cabe mencionar que anteriormente los dos PIX estaban en 8 horas para que los SA se "limpiaran". Ahora bien, digamos que en cuanto a tiempo (8 o mas horas) se configure el PIX, pero que pasa cuando se llega a los 4608000 Kbytes antes de las 8 o mas horas?
Respuesta a la pregunta de aclaración
eso va a depender de las pruebas de tunning que hagas
y vayas viendo como se va corrigiendo el problema en tu red
yo no te puedo decir que valores poner! eso seria imprudente de mi parte...
tomate el tiempo de leer la documentacion que esta en www.cisco.com
ahi te dan nociones sobre como optimizar el servicio...
vos conoces tu entorno... yo solo leo un mail
si busca otras tecnicas, aplica otros timers... tenes muchas opciones.
y vayas viendo como se va corrigiendo el problema en tu red
yo no te puedo decir que valores poner! eso seria imprudente de mi parte...
tomate el tiempo de leer la documentacion que esta en www.cisco.com
ahi te dan nociones sobre como optimizar el servicio...
vos conoces tu entorno... yo solo leo un mail
si busca otras tecnicas, aplica otros timers... tenes muchas opciones.
otra cosa interesante seria saber como tenes declarado el trafico interesante
para ese tunel ipsec... por que si te pasa que despues de resetear te tira un pico de uso de ancho de banda
muy probablemente no tengas bien definidos los traficos interesantes
y todo se acogota tratando de salir por el tunel que se inicializo
de ahi tus bajas de rendimiento...
para ese tunel ipsec... por que si te pasa que despues de resetear te tira un pico de uso de ancho de banda
muy probablemente no tengas bien definidos los traficos interesantes
y todo se acogota tratando de salir por el tunel que se inicializo
de ahi tus bajas de rendimiento...
mas data
http://adf.ly/1m7IMs
http://adf.ly/1m7INm
http://adf.ly/1m7IOI
http://adf.ly/1m7IQT
http://adf.ly/1m7IMs
http://adf.ly/1m7INm
http://adf.ly/1m7IOI
http://adf.ly/1m7IQT
