Anyconnect and high cpu Temat rozwiązany

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Anyconnect and high cpu

#1

#1 Post autor: polak »

Mam ASA 5555-X z softem 9.12(2)9 i zauwazlylem wysokie obciazenie CPU (80-85%) w trakcie gdy ludzi pracuja z domu via vpn.
Czy moge cos zrobic ? Zmiana szyfrowania na GCM cos pomoze ?

Dziekuje

Konrad
King Kong ain't got shit on me!

kamil123
member
member
Posty: 22
Rejestracja: 25 kwie 2019, 01:37

Re: Anyconnect and high cpu

#2

#2 Post autor: kamil123 »

Ile sesji? Jaki wolumen ruchu?
Nagle się objawiło czy problem narastał?

Pokaż może show process cpu kiedy obciążenie CPU jest normalne i wysokie.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Anyconnect and high cpu

#3

#3 Post autor: drake »

Hej,

sprawdz czy w ustawieniach masz odpowiednie TCP MSS ;) Jesli nie, ASA moze zajmowac sie fragmentowaniem pakietow, co mocno obciaza pamiec i CPU.
Wiecej tu: https://www.cisco.com/c/en/us/td/docs/s ... e-mtu.html

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: Anyconnect and high cpu

#4

#4 Post autor: polak »

Dzieki za odpowedzi,
Sesji okolo 3500 w peaku. Sprawdze TCP-MSS bo bylo domyslne.

Konrad
King Kong ain't got shit on me!

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: Anyconnect and high cpu

#5

#5 Post autor: polak »

drake
Odpowiednie MSS tzn jakie ? Mam defaultowe :) i jak sprawdzic czy ASA fragmentuje ?

Konrad
King Kong ain't got shit on me!

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Anyconnect and high cpu

#6

#6 Post autor: drake »

Hej,
ustaw na 1360 lub 1300 (bezpieczniej) i wlacz czyszczenie bitu DF na interfejsie outside. W zaleznosci od twojej polityki bezpieczenstwa (wolno/nie wolno) - dobrze byloby rowniez zezwolic na ruch ICMP type 3 code 4.
Co do fragmentacji - poszukaj sam przy pomocy CLI, a z pewnoscia sie czegos nauczysz ;)

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: Anyconnect and high cpu

#7

#7 Post autor: polak »

Hej,
Pomoglo ustawienie na 1300 :)

btw, dodatkowe pytanie na szybko (bo nie mam jak sprawdzic w labie teraz, dysk padl), czy jak wyrejestruje na chwile FTD 6.4 ">configure manager delete" to strace konfiguracje ? Musze wyrejestrowac i zarejestrowac ponownie z powodu komunikatu: Peer Management Center has fewer devices registered (FMC w HA)

Dzieki
Konrad
King Kong ain't got shit on me!

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Anyconnect and high cpu

#8

#8 Post autor: drake »

Hej,

tak, stracisz konfig w calosci, oprocz czesci interfejsu mgmt.

Pozdruffka!
Never stop exploring :)

https://iverion.de

ODPOWIEDZ