19
Cisco ASA 5506-X Performance Problem
ich habe hier eine völlig jungfreuliche Cisco ASA 5506 X Firewall mit Firepower.
Derzeit laufen noch keine weitere Services, nur WAN und LAN Port WAN Port auf DHCP LAN Port mit statischer IP Adresse.
Grundsätzlich haben wir eine Anbindung vom ISP mit 100 Mbit/s Download und 40 Mbit/s Upload.
Der Upload Traffic ist soweit OK, hier kommen die vollen 40 Mbit/s an.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Hat jemand eine Idee?
Softwareversion ASA 9.8
Derzeit laufen noch keine weitere Services, nur WAN und LAN Port WAN Port auf DHCP LAN Port mit statischer IP Adresse.
Grundsätzlich haben wir eine Anbindung vom ISP mit 100 Mbit/s Download und 40 Mbit/s Upload.
Der Upload Traffic ist soweit OK, hier kommen die vollen 40 Mbit/s an.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Hat jemand eine Idee?
Softwareversion ASA 9.8
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448765
Url: https://administrator.de/contentid/448765
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
19 Kommentare
Neuester Kommentar
Zitat von @georgkupfer:
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.
Moin,
Wie hsdt Du das gemessen?
lks
mit netztest.at
einer Seite der Telekomregulierungsbehörde
einer Seite der Telekomregulierungsbehörde
Hallo,
ich hatte das mal, weil der Handshake mit dem Router nicht funktionierte. Auf dem Telekom-Router und auf dem Outside-Interface der ASA wurde das dann fest eingetragen (z. B. speed 100, duplex full). Danach war Ruhe.
Gruß - TD
ich hatte das mal, weil der Handshake mit dem Router nicht funktionierte. Auf dem Telekom-Router und auf dem Outside-Interface der ASA wurde das dann fest eingetragen (z. B. speed 100, duplex full). Danach war Ruhe.
Gruß - TD
sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP
DHCP sonst nix obwohl statische IP
Zitat von @georgkupfer:
sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP
sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP
Hi,
TripleDouble hat dir was völlig anderes, als DHCP oder Static IP gesagt, das hast du gelesen?
Evtl. rückst du dann auch mal mit ein paar mehr Infos raus, deine ASA Konfig, welcher ISP das ist, welcher Router vor der ASA noch steht, etc.
Gerne der ISP ist Magenta Telekom (seit gestern davor UPC) (Austria) davor steht ein Cablemodem Cisco fungiert in unserem Fall als Bridge, da 8 weitere öffentliche IP-Adressen aufgeschaltet sind.
Ich meine eh auto auto kein half oder full Duplex.
am WAN Port
ip address dhcp setroute
nat (inside,outside) after-auto source dynamic any interface
Ich meine eh auto auto kein half oder full Duplex.
am WAN Port
ip address dhcp setroute
nat (inside,outside) after-auto source dynamic any interface
Ich meine eh auto auto kein half oder full Duplex.
Könnte aber ein Autonegotiation Problem sein und damit ein Duplex Mismatch. Das äußert sich dann sehr häufig so.Das kannst du an der ASA aber sehen wenn du dir das Interface mal mit show int ansiehst. Wenn dort die Error und Collision Counter ungewöhnlich hoch gehen ist das das Problem.
Dann fehlen nur statische Port Definitionen oder testweise mal ein Switch dazwischen.
Alternativ statt ASA mal einen Rechner direkt an das Modem anschliessen und ganz ohne ASA nochmal die Geschwindigkeit messen.
Ist die dann immer noch so niedrig ist sehr wahrscheinlich die Leitung falsch eingerichtet.
Ist sie so wie sie sein soll ist die ASA oder die Autonegotiation das Problem.
Nein ohne Firewall ist die Performance ok.
bis auf 1~2 Mbit/s auf oder ab das ist aber die übliche Schwankungsbreite
bis auf 1~2 Mbit/s auf oder ab das ist aber die übliche Schwankungsbreite
Dann Autonegotiation ! Sofern wir davon ausgehen können das die ASA nicht falsch konfiguriert ist ?! Das kann man aber ohne Konfig freilich nur raten...
show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.
Hier die aktuelle running-config:
Hardware: ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
Hier die aktuelle running-config:
Hardware: ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
ASA Version 9.8(2)
!
hostname #####
domain-name #########
enable password #################
multicast-routing
names
!
interface GigabitEthernet1/1
description WAN
nameif outside
security-level 0
ip address dhcp setroute
!
interface GigabitEthernet1/2
description LAN
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/5
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/6
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/7
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet1/8
shutdown
no nameif
no security-level
no ip address
!
interface Management1/1
management-only
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
name-server 192.168.10.10 inside
name-server 195.58.160.194 outside
name-server 195.58.161.122 outside
domain-name edv-solutions.org
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
arp rate-limit 16384
!
nat (inside,outside) after-auto source dynamic any interface
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
timeout conn-holddown 0:00:15
timeout igp stale-route 0:01:10
user-identity default-domain LOCAL
aaa authentication login-history
http server enable
http 192.168.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
service sw-reset-button
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
enrollment self
fqdn none
subject-name CN=192.168.10.254,CN=atwncis01
keypair ASDM_LAUNCHER
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
certificate 6106d35c
308202d6 308201be a0030201 02020461 06d35c30 0d06092a 864886f7 0d01010b
0500302d 31123010 06035504 03130961 74776e63 69733031 31173015 06035504
03130e31 39322e31 36382e31 302e3235 34301e17 0d313930 35303831 37343630
345a170d 32393035 30353137 34363034 5a302d31 12301006 03550403 13096174
776e6369 73303131 17301506 03550403 130e3139 322e3136 382e3130 2e323534
30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101
008910d2 68b349c3 1ac9113c d0ff7362 f92c8d02 c1213273 157bd931 80946549
c367a0ca 3a8fda38 719d9e3c 1feab262 829bcfdc 1e944a80 64a2e424 69a4b519
bb16dcf6 e2083846 0ceee9d9 063c2b87 dd7c909a 76254356 bd591a82 cfa92030
84859cc8 dfc68cca 4634a090 81ca2956 a28019e0 1b054fe7 3ca3a2d1 5a47ca92
23dab23c 963c170a 2e208b88 f5fcb877 8f8ecfcf 83eecc7f 12a21d0f 8e0cf771
4f68f669 bcd575ef e7b8e6d6 3a08de27 4d57d110 10cce9dd 04244a92 0ed6f124
fbc7848a 4b4b75ce b7099590 f2c12f80 88fb72bc 44aab226 c2416c20 b50aca59
986d8769 b37db8a0 e2f570b3 3db110b5 eb8bf7b5 35c200ae 41b4b22b 60c189c9
cd020301 0001300d 06092a86 4886f70d 01010b05 00038201 010083eb 9de69243
1e90237f 21de5afb 2258de1a 90d49225 2775cf98 01b768d9 0a37ff0c 596449d8
3b2d7312 fd32e899 98ebb43b 59122114 bb33cffd 5b5d3592 490b478f 90723cd0
88308114 58a3b79d 42dfbcba 3a41fc52 052ca2e8 7d1f7ba1 4dd1e405 a1e53305
32b1f277 fd33330d 327fcab6 d0c03ef5 a17e0e59 0dc5e22b 7097d14f 69944572
3c1751a8 cafd2017 7eda2195 9b0b880c 07b935be 9de3d964 0654a20a 1b1e73d7
f97eabe4 76663558 10883b06 7d4d0695 1d2ba38f 01254b8f 0aeb1c8a a8d15af8
ca500de0 5ed33707 b74c90e6 9eb5a773 c6557806 125d7b96 05f2b1d8 e385cdec
7e102c4e 9be1e319 cf12473d f3a6c73d 72246de8 fe16aa6c e78d
quit
telnet timeout 5
ssh stricthostkeycheck
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside vpnlb-ip
dynamic-access-policy-record DfltAccessPolicy
!
!
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:7df08df1efaebecd2ee34e9933048474Zitat von @georgkupfer:
show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.
show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.
Also sind da Collisions auf dem Outside-Interface, oder habe ich den Satz falsch verstanden? Da sollten keine sein. Falls doch: s. o. (speed, duplex)
Gruß - TD
Nein Du hast richtig verstanden es sind keine Collisions weder auf inside noch auf outside!
Dann scheidet Autonegotiation auch aus. Letzte Gewissheit gibt dann ein Wireshark Trace im am Inside und Outside obs dort irgendwelche Retransmissions oder Fragmentierungsprobleme gibt.
Fragmentierung durch falsche MTU bzw. MSS Einstellungen könnte noch sein wenn sich hinter der ASA noch ein Modem befindet was xDSL macht mit PPPoE. Siehe auch hier:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Versteht man den TO aber richtig ist das ein TV Kabelmodem wo es eigentlich keinerlei MTU Einschränkungen gibt weil es hier keine Encapsulierungen wie z.B. bei PPPoE gibt.
Auf die MTU bzw. MSS Konfig am LAN sollte man aber nochmal ein Auge werfen. Die kann in Fragmentierung resultieren, was dann massive Performance Einbußen nach sich zieht.
Ist es das auch nicht bleibt dann fast nur ein Hardware Defekt oder ein Software Bug. 2,8 Mbit/s schafft ja sogar ein Raspberry Pi mit links, ein Performance Problem der HW kanns also auch nicht sein.
Ist das neueste Image auf die ASA geflasht ?
Fragmentierung durch falsche MTU bzw. MSS Einstellungen könnte noch sein wenn sich hinter der ASA noch ein Modem befindet was xDSL macht mit PPPoE. Siehe auch hier:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Versteht man den TO aber richtig ist das ein TV Kabelmodem wo es eigentlich keinerlei MTU Einschränkungen gibt weil es hier keine Encapsulierungen wie z.B. bei PPPoE gibt.
Auf die MTU bzw. MSS Konfig am LAN sollte man aber nochmal ein Auge werfen. Die kann in Fragmentierung resultieren, was dann massive Performance Einbußen nach sich zieht.
Ist es das auch nicht bleibt dann fast nur ein Hardware Defekt oder ein Software Bug. 2,8 Mbit/s schafft ja sogar ein Raspberry Pi mit links, ein Performance Problem der HW kanns also auch nicht sein.
Ist das neueste Image auf die ASA geflasht ?
Software 9.8 drauf wie oben schon steht!
Zu einer neueren SW habe ich keinen Zugriff, dazu braucht man eine Contract ID. Welche wir nicht haben.
Zu einer neueren SW habe ich keinen Zugriff, dazu braucht man eine Contract ID. Welche wir nicht haben.
Die aktuelle Version ist 9.8(4). Die schließt auch diese Sicherheitslücke:
Jetzt patchen Cisco schließt Lücken in zahlreichen Produkten
Von daher ist dringend anzuraten, sich die Firmware von Cisco zu besorgen. Ein Jahr Support ist ja wohl mitbestellt worden, oder(wegen "jungfräuliche ASA")?
EDIT: Url korrigiert.
Jetzt patchen Cisco schließt Lücken in zahlreichen Produkten
Von daher ist dringend anzuraten, sich die Firmware von Cisco zu besorgen. Ein Jahr Support ist ja wohl mitbestellt worden, oder(wegen "jungfräuliche ASA")?
EDIT: Url korrigiert.
Auch ohne bekommt man sowas dann immer über die gesetzliche Garantie, da solche Lücken rechtlich einen gravierenden Mangel darstellen. 
Ob der Fix dann aber das 2,8 MB/s Problem lösen wird...?!?
Ob der Fix dann aber das 2,8 MB/s Problem lösen wird...?!?
Hat sich mittlerweile erledigt, ich habe die Firewall komplett resetet und die Ports neu konfiguriert.
Nun haben 3 Messungen von unterschiedlichen Clients die volle Performance gezeigt.
Ich werde das nun bis morgen mal so lassen, und beobachten.
Morgen mach ich s dann dicht!
Danke an Alle mitwirkenden in der Runde, für die zahlreichen Inputs
Nun haben 3 Messungen von unterschiedlichen Clients die volle Performance gezeigt.
Ich werde das nun bis morgen mal so lassen, und beobachten.
Morgen mach ich s dann dicht!
Danke an Alle mitwirkenden in der Runde, für die zahlreichen Inputs
Reboot tut gut !!!
Gilt zwar eigentlich nur für Winblows aber wie du siehst hilft es auch manchmal bei Cisco !
Gilt zwar eigentlich nur für Winblows aber wie du siehst hilft es auch manchmal bei Cisco !
