georgkupfer
Goto Top

Cisco ASA 5506-X Performance Problem

ich habe hier eine völlig jungfreuliche Cisco ASA 5506 X Firewall mit Firepower.

Derzeit laufen noch keine weitere Services, nur WAN und LAN Port WAN Port auf DHCP LAN Port mit statischer IP Adresse.
Grundsätzlich haben wir eine Anbindung vom ISP mit 100 Mbit/s Download und 40 Mbit/s Upload.
Der Upload Traffic ist soweit OK, hier kommen die vollen 40 Mbit/s an.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.

Hat jemand eine Idee?
Softwareversion ASA 9.8

Content-Key: 448765

Url: https://administrator.de/contentid/448765

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 08.05.2019 um 08:48:47 Uhr
Goto Top
Zitat von @georgkupfer:

Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.


Moin,

Wie hsdt Du das gemessen?

lks
Mitglied: georgkupfer
georgkupfer 08.05.2019 um 08:55:52 Uhr
Goto Top
mit netztest.at

einer Seite der Telekomregulierungsbehörde
Mitglied: georgkupfer
georgkupfer 08.05.2019 um 08:57:29 Uhr
Goto Top
Mitglied: TripleDouble
TripleDouble 08.05.2019 um 09:42:49 Uhr
Goto Top
Hallo,

ich hatte das mal, weil der Handshake mit dem Router nicht funktionierte. Auf dem Telekom-Router und auf dem Outside-Interface der ASA wurde das dann fest eingetragen (z. B. speed 100, duplex full). Danach war Ruhe.

Gruß - TD
Mitglied: georgkupfer
georgkupfer 08.05.2019 um 15:35:15 Uhr
Goto Top
sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP
Mitglied: chgorges
chgorges 08.05.2019 um 15:38:01 Uhr
Goto Top
Zitat von @georgkupfer:

sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP

Hi,

TripleDouble hat dir was völlig anderes, als DHCP oder Static IP gesagt, das hast du gelesen?

Evtl. rückst du dann auch mal mit ein paar mehr Infos raus, deine ASA Konfig, welcher ISP das ist, welcher Router vor der ASA noch steht, etc.
Mitglied: georgkupfer
georgkupfer 08.05.2019 um 17:21:14 Uhr
Goto Top
Gerne der ISP ist Magenta Telekom (seit gestern davor UPC) (Austria) davor steht ein Cablemodem Cisco fungiert in unserem Fall als Bridge, da 8 weitere öffentliche IP-Adressen aufgeschaltet sind.

Ich meine eh auto auto kein half oder full Duplex.

am WAN Port
ip address dhcp setroute

nat (inside,outside) after-auto source dynamic any interface
Mitglied: aqui
aqui 08.05.2019 um 17:48:42 Uhr
Goto Top
Ich meine eh auto auto kein half oder full Duplex.
Könnte aber ein Autonegotiation Problem sein und damit ein Duplex Mismatch. Das äußert sich dann sehr häufig so.
Das kannst du an der ASA aber sehen wenn du dir das Interface mal mit show int ansiehst. Wenn dort die Error und Collision Counter ungewöhnlich hoch gehen ist das das Problem.
Dann fehlen nur statische Port Definitionen oder testweise mal ein Switch dazwischen.
Alternativ statt ASA mal einen Rechner direkt an das Modem anschliessen und ganz ohne ASA nochmal die Geschwindigkeit messen.
Ist die dann immer noch so niedrig ist sehr wahrscheinlich die Leitung falsch eingerichtet.
Ist sie so wie sie sein soll ist die ASA oder die Autonegotiation das Problem.
Mitglied: georgkupfer
georgkupfer 08.05.2019 um 18:02:29 Uhr
Goto Top
Nein ohne Firewall ist die Performance ok.

bis auf 1~2 Mbit/s auf oder ab das ist aber die übliche Schwankungsbreite
Mitglied: aqui
aqui 08.05.2019 um 18:04:13 Uhr
Goto Top
Dann Autonegotiation ! Sofern wir davon ausgehen können das die ASA nicht falsch konfiguriert ist ?! Das kann man aber ohne Konfig freilich nur raten...
Mitglied: georgkupfer
georgkupfer 08.05.2019 aktualisiert um 20:44:31 Uhr
Goto Top
show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.

Hier die aktuelle running-config:

Hardware: ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
ASA Version 9.8(2) 
!
hostname #####
domain-name #########
enable password #################
multicast-routing
names

!
interface GigabitEthernet1/1
 description WAN
 nameif outside
 security-level 0
 ip address dhcp setroute 
!
interface GigabitEthernet1/2
 description LAN
 nameif inside
 security-level 100
 ip address 192.168.10.254 255.255.255.0 
!
interface GigabitEthernet1/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/5
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/6
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/7
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/8
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management1/1
 management-only
 shutdown
 no nameif
 no security-level
 no ip address
!
ftp mode passive
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
 name-server 192.168.10.10 inside
 name-server 195.58.160.194 outside
 name-server 195.58.161.122 outside
 domain-name edv-solutions.org
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 16384
!
nat (inside,outside) after-auto source dynamic any interface
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
timeout conn-holddown 0:00:15
timeout igp stale-route 0:01:10
user-identity default-domain LOCAL
aaa authentication login-history
http server enable
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
 enrollment self
 fqdn none
 subject-name CN=192.168.10.254,CN=atwncis01
 keypair ASDM_LAUNCHER
 crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
 certificate 6106d35c
    308202d6 308201be a0030201 02020461 06d35c30 0d06092a 864886f7 0d01010b 
    0500302d 31123010 06035504 03130961 74776e63 69733031 31173015 06035504 
    03130e31 39322e31 36382e31 302e3235 34301e17 0d313930 35303831 37343630 
    345a170d 32393035 30353137 34363034 5a302d31 12301006 03550403 13096174 
    776e6369 73303131 17301506 03550403 130e3139 322e3136 382e3130 2e323534 
    30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 
    008910d2 68b349c3 1ac9113c d0ff7362 f92c8d02 c1213273 157bd931 80946549 
    c367a0ca 3a8fda38 719d9e3c 1feab262 829bcfdc 1e944a80 64a2e424 69a4b519 
    bb16dcf6 e2083846 0ceee9d9 063c2b87 dd7c909a 76254356 bd591a82 cfa92030 
    84859cc8 dfc68cca 4634a090 81ca2956 a28019e0 1b054fe7 3ca3a2d1 5a47ca92 
    23dab23c 963c170a 2e208b88 f5fcb877 8f8ecfcf 83eecc7f 12a21d0f 8e0cf771 
    4f68f669 bcd575ef e7b8e6d6 3a08de27 4d57d110 10cce9dd 04244a92 0ed6f124 
    fbc7848a 4b4b75ce b7099590 f2c12f80 88fb72bc 44aab226 c2416c20 b50aca59 
    986d8769 b37db8a0 e2f570b3 3db110b5 eb8bf7b5 35c200ae 41b4b22b 60c189c9 
    cd020301 0001300d 06092a86 4886f70d 01010b05 00038201 010083eb 9de69243 
    1e90237f 21de5afb 2258de1a 90d49225 2775cf98 01b768d9 0a37ff0c 596449d8 
    3b2d7312 fd32e899 98ebb43b 59122114 bb33cffd 5b5d3592 490b478f 90723cd0 
    88308114 58a3b79d 42dfbcba 3a41fc52 052ca2e8 7d1f7ba1 4dd1e405 a1e53305 
    32b1f277 fd33330d 327fcab6 d0c03ef5 a17e0e59 0dc5e22b 7097d14f 69944572 
    3c1751a8 cafd2017 7eda2195 9b0b880c 07b935be 9de3d964 0654a20a 1b1e73d7 
    f97eabe4 76663558 10883b06 7d4d0695 1d2ba38f 01254b8f 0aeb1c8a a8d15af8 
    ca500de0 5ed33707 b74c90e6 9eb5a773 c6557806 125d7b96 05f2b1d8 e385cdec 
    7e102c4e 9be1e319 cf12473d f3a6c73d 72246de8 fe16aa6c e78d
  quit
telnet timeout 5
ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside vpnlb-ip
dynamic-access-policy-record DfltAccessPolicy
!
!
prompt hostname context 
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:7df08df1efaebecd2ee34e9933048474
Mitglied: TripleDouble
TripleDouble 09.05.2019 um 08:39:31 Uhr
Goto Top
Zitat von @georgkupfer:

show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.


Also sind da Collisions auf dem Outside-Interface, oder habe ich den Satz falsch verstanden? Da sollten keine sein. Falls doch: s. o. (speed, duplex)

Gruß - TD
Mitglied: georgkupfer
georgkupfer 09.05.2019 um 09:01:05 Uhr
Goto Top
Nein Du hast richtig verstanden es sind keine Collisions weder auf inside noch auf outside!
Mitglied: aqui
aqui 09.05.2019 aktualisiert um 12:16:36 Uhr
Goto Top
Dann scheidet Autonegotiation auch aus. Letzte Gewissheit gibt dann ein Wireshark Trace im am Inside und Outside obs dort irgendwelche Retransmissions oder Fragmentierungsprobleme gibt.
Fragmentierung durch falsche MTU bzw. MSS Einstellungen könnte noch sein wenn sich hinter der ASA noch ein Modem befindet was xDSL macht mit PPPoE. Siehe auch hier:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Versteht man den TO aber richtig ist das ein TV Kabelmodem wo es eigentlich keinerlei MTU Einschränkungen gibt weil es hier keine Encapsulierungen wie z.B. bei PPPoE gibt.
Auf die MTU bzw. MSS Konfig am LAN sollte man aber nochmal ein Auge werfen. Die kann in Fragmentierung resultieren, was dann massive Performance Einbußen nach sich zieht.

Ist es das auch nicht bleibt dann fast nur ein Hardware Defekt oder ein Software Bug. 2,8 Mbit/s schafft ja sogar ein Raspberry Pi mit links, ein Performance Problem der HW kanns also auch nicht sein.
Ist das neueste Image auf die ASA geflasht ?
Mitglied: georgkupfer
georgkupfer 09.05.2019 um 13:09:29 Uhr
Goto Top
Software 9.8 drauf wie oben schon steht!

Zu einer neueren SW habe ich keinen Zugriff, dazu braucht man eine Contract ID. Welche wir nicht haben.
Mitglied: TripleDouble
TripleDouble 09.05.2019 aktualisiert um 13:52:50 Uhr
Goto Top
Die aktuelle Version ist 9.8(4). Die schließt auch diese Sicherheitslücke:
Jetzt patchen Cisco schließt Lücken in zahlreichen Produkten
Von daher ist dringend anzuraten, sich die Firmware von Cisco zu besorgen. Ein Jahr Support ist ja wohl mitbestellt worden, oder(wegen "jungfräuliche ASA")?

EDIT: Url korrigiert.
Mitglied: aqui
aqui 09.05.2019 aktualisiert um 13:45:33 Uhr
Goto Top
Auch ohne bekommt man sowas dann immer über die gesetzliche Garantie, da solche Lücken rechtlich einen gravierenden Mangel darstellen. face-wink
Ob der Fix dann aber das 2,8 MB/s Problem lösen wird...?!?
Mitglied: georgkupfer
georgkupfer 09.05.2019 um 14:58:57 Uhr
Goto Top
Hat sich mittlerweile erledigt, ich habe die Firewall komplett resetet und die Ports neu konfiguriert.
Nun haben 3 Messungen von unterschiedlichen Clients die volle Performance gezeigt.
Ich werde das nun bis morgen mal so lassen, und beobachten.
Morgen mach ich s dann dicht!

Danke an Alle mitwirkenden in der Runde, für die zahlreichen Inputs
Mitglied: aqui
aqui 10.05.2019 um 19:23:02 Uhr
Goto Top
Reboot tut gut !!! face-wink
Gilt zwar eigentlich nur für Winblows aber wie du siehst hilft es auch manchmal bei Cisco ! face-smile