Cisco ASA 5506-X Performance Problem
ich habe hier eine völlig jungfreuliche Cisco ASA 5506 X Firewall mit Firepower.
Derzeit laufen noch keine weitere Services, nur WAN und LAN Port WAN Port auf DHCP LAN Port mit statischer IP Adresse.
Grundsätzlich haben wir eine Anbindung vom ISP mit 100 Mbit/s Download und 40 Mbit/s Upload.
Der Upload Traffic ist soweit OK, hier kommen die vollen 40 Mbit/s an.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Hat jemand eine Idee?
Softwareversion ASA 9.8
Derzeit laufen noch keine weitere Services, nur WAN und LAN Port WAN Port auf DHCP LAN Port mit statischer IP Adresse.
Grundsätzlich haben wir eine Anbindung vom ISP mit 100 Mbit/s Download und 40 Mbit/s Upload.
Der Upload Traffic ist soweit OK, hier kommen die vollen 40 Mbit/s an.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Hat jemand eine Idee?
Softwareversion ASA 9.8
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448765
Url: https://administrator.de/contentid/448765
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
19 Kommentare
Neuester Kommentar
Zitat von @georgkupfer:
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Moin,
Wie hsdt Du das gemessen?
lks
Zitat von @georgkupfer:
sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP
sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP
Hi,
TripleDouble hat dir was völlig anderes, als DHCP oder Static IP gesagt, das hast du gelesen?
Evtl. rückst du dann auch mal mit ein paar mehr Infos raus, deine ASA Konfig, welcher ISP das ist, welcher Router vor der ASA noch steht, etc.
Ich meine eh auto auto kein half oder full Duplex.
Könnte aber ein Autonegotiation Problem sein und damit ein Duplex Mismatch. Das äußert sich dann sehr häufig so.Das kannst du an der ASA aber sehen wenn du dir das Interface mal mit show int ansiehst. Wenn dort die Error und Collision Counter ungewöhnlich hoch gehen ist das das Problem.
Dann fehlen nur statische Port Definitionen oder testweise mal ein Switch dazwischen.
Alternativ statt ASA mal einen Rechner direkt an das Modem anschliessen und ganz ohne ASA nochmal die Geschwindigkeit messen.
Ist die dann immer noch so niedrig ist sehr wahrscheinlich die Leitung falsch eingerichtet.
Ist sie so wie sie sein soll ist die ASA oder die Autonegotiation das Problem.
Zitat von @georgkupfer:
show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.
show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.
Also sind da Collisions auf dem Outside-Interface, oder habe ich den Satz falsch verstanden? Da sollten keine sein. Falls doch: s. o. (speed, duplex)
Gruß - TD
Dann scheidet Autonegotiation auch aus. Letzte Gewissheit gibt dann ein Wireshark Trace im am Inside und Outside obs dort irgendwelche Retransmissions oder Fragmentierungsprobleme gibt.
Fragmentierung durch falsche MTU bzw. MSS Einstellungen könnte noch sein wenn sich hinter der ASA noch ein Modem befindet was xDSL macht mit PPPoE. Siehe auch hier:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Versteht man den TO aber richtig ist das ein TV Kabelmodem wo es eigentlich keinerlei MTU Einschränkungen gibt weil es hier keine Encapsulierungen wie z.B. bei PPPoE gibt.
Auf die MTU bzw. MSS Konfig am LAN sollte man aber nochmal ein Auge werfen. Die kann in Fragmentierung resultieren, was dann massive Performance Einbußen nach sich zieht.
Ist es das auch nicht bleibt dann fast nur ein Hardware Defekt oder ein Software Bug. 2,8 Mbit/s schafft ja sogar ein Raspberry Pi mit links, ein Performance Problem der HW kanns also auch nicht sein.
Ist das neueste Image auf die ASA geflasht ?
Fragmentierung durch falsche MTU bzw. MSS Einstellungen könnte noch sein wenn sich hinter der ASA noch ein Modem befindet was xDSL macht mit PPPoE. Siehe auch hier:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Versteht man den TO aber richtig ist das ein TV Kabelmodem wo es eigentlich keinerlei MTU Einschränkungen gibt weil es hier keine Encapsulierungen wie z.B. bei PPPoE gibt.
Auf die MTU bzw. MSS Konfig am LAN sollte man aber nochmal ein Auge werfen. Die kann in Fragmentierung resultieren, was dann massive Performance Einbußen nach sich zieht.
Ist es das auch nicht bleibt dann fast nur ein Hardware Defekt oder ein Software Bug. 2,8 Mbit/s schafft ja sogar ein Raspberry Pi mit links, ein Performance Problem der HW kanns also auch nicht sein.
Ist das neueste Image auf die ASA geflasht ?
Die aktuelle Version ist 9.8(4). Die schließt auch diese Sicherheitslücke:
Jetzt patchen Cisco schließt Lücken in zahlreichen Produkten
Von daher ist dringend anzuraten, sich die Firmware von Cisco zu besorgen. Ein Jahr Support ist ja wohl mitbestellt worden, oder(wegen "jungfräuliche ASA")?
EDIT: Url korrigiert.
Jetzt patchen Cisco schließt Lücken in zahlreichen Produkten
Von daher ist dringend anzuraten, sich die Firmware von Cisco zu besorgen. Ein Jahr Support ist ja wohl mitbestellt worden, oder(wegen "jungfräuliche ASA")?
EDIT: Url korrigiert.