Strona 1 z 1
Anyconnect and high cpu
: 28 sty 2020, 09:16
autor: polak
Mam ASA 5555-X z softem 9.12(2)9 i zauwazlylem wysokie obciazenie CPU (80-85%) w trakcie gdy ludzi pracuja z domu via vpn.
Czy moge cos zrobic ? Zmiana szyfrowania na GCM cos pomoze ?
Dziekuje
Konrad
Re: Anyconnect and high cpu
: 28 sty 2020, 11:24
autor: kamil123
Ile sesji? Jaki wolumen ruchu?
Nagle się objawiło czy problem narastał?
Pokaż może show process cpu kiedy obciążenie CPU jest normalne i wysokie.
Re: Anyconnect and high cpu
: 28 sty 2020, 11:31
autor: drake
Hej,
sprawdz czy w ustawieniach masz odpowiednie TCP MSS
Jesli nie, ASA moze zajmowac sie fragmentowaniem pakietow, co mocno obciaza pamiec i CPU.
Wiecej tu:
https://www.cisco.com/c/en/us/td/docs/s ... e-mtu.html
Pozdruffka!
Re: Anyconnect and high cpu
: 28 sty 2020, 12:10
autor: polak
Dzieki za odpowedzi,
Sesji okolo 3500 w peaku. Sprawdze TCP-MSS bo bylo domyslne.
Konrad
Re: Anyconnect and high cpu
: 29 sty 2020, 10:55
autor: polak
drake
Odpowiednie MSS tzn jakie ? Mam defaultowe
i jak sprawdzic czy ASA fragmentuje ?
Konrad
Re: Anyconnect and high cpu
: 29 sty 2020, 11:13
autor: drake
Hej,
ustaw na 1360 lub 1300 (bezpieczniej) i wlacz czyszczenie bitu DF na interfejsie outside. W zaleznosci od twojej polityki bezpieczenstwa (wolno/nie wolno) - dobrze byloby rowniez zezwolic na ruch ICMP type 3 code 4.
Co do fragmentacji - poszukaj sam przy pomocy CLI, a z pewnoscia sie czegos nauczysz
Pozdruffka!
Re: Anyconnect and high cpu
: 13 lut 2020, 11:02
autor: polak
Hej,
Pomoglo ustawienie na 1300
btw, dodatkowe pytanie na szybko (bo nie mam jak sprawdzic w labie teraz, dysk padl), czy jak wyrejestruje na chwile FTD 6.4 ">configure manager delete" to strace konfiguracje ? Musze wyrejestrowac i zarejestrowac ponownie z powodu komunikatu: Peer Management Center has fewer devices registered (FMC w HA)
Dzieki
Konrad
Re: Anyconnect and high cpu
: 13 lut 2020, 13:31
autor: drake
Hej,
tak, stracisz konfig w calosci, oprocz czesci interfejsu mgmt.
Pozdruffka!