Anyconnect and high cpu Temat rozwiązany
Anyconnect and high cpu
Mam ASA 5555-X z softem 9.12(2)9 i zauwazlylem wysokie obciazenie CPU (80-85%) w trakcie gdy ludzi pracuja z domu via vpn.
Czy moge cos zrobic ? Zmiana szyfrowania na GCM cos pomoze ?
Dziekuje
Konrad
Czy moge cos zrobic ? Zmiana szyfrowania na GCM cos pomoze ?
Dziekuje
Konrad
King Kong ain't got shit on me!
Re: Anyconnect and high cpu
Ile sesji? Jaki wolumen ruchu?
Nagle się objawiło czy problem narastał?
Pokaż może show process cpu kiedy obciążenie CPU jest normalne i wysokie.
Nagle się objawiło czy problem narastał?
Pokaż może show process cpu kiedy obciążenie CPU jest normalne i wysokie.
Re: Anyconnect and high cpu
Hej,
sprawdz czy w ustawieniach masz odpowiednie TCP MSS Jesli nie, ASA moze zajmowac sie fragmentowaniem pakietow, co mocno obciaza pamiec i CPU.
Wiecej tu: https://www.cisco.com/c/en/us/td/docs/s ... e-mtu.html
Pozdruffka!
sprawdz czy w ustawieniach masz odpowiednie TCP MSS Jesli nie, ASA moze zajmowac sie fragmentowaniem pakietow, co mocno obciaza pamiec i CPU.
Wiecej tu: https://www.cisco.com/c/en/us/td/docs/s ... e-mtu.html
Pozdruffka!
Re: Anyconnect and high cpu
Dzieki za odpowedzi,
Sesji okolo 3500 w peaku. Sprawdze TCP-MSS bo bylo domyslne.
Konrad
Sesji okolo 3500 w peaku. Sprawdze TCP-MSS bo bylo domyslne.
Konrad
King Kong ain't got shit on me!
Re: Anyconnect and high cpu
drake
Odpowiednie MSS tzn jakie ? Mam defaultowe i jak sprawdzic czy ASA fragmentuje ?
Konrad
Odpowiednie MSS tzn jakie ? Mam defaultowe i jak sprawdzic czy ASA fragmentuje ?
Konrad
King Kong ain't got shit on me!
Re: Anyconnect and high cpu
Hej,
ustaw na 1360 lub 1300 (bezpieczniej) i wlacz czyszczenie bitu DF na interfejsie outside. W zaleznosci od twojej polityki bezpieczenstwa (wolno/nie wolno) - dobrze byloby rowniez zezwolic na ruch ICMP type 3 code 4.
Co do fragmentacji - poszukaj sam przy pomocy CLI, a z pewnoscia sie czegos nauczysz
Pozdruffka!
ustaw na 1360 lub 1300 (bezpieczniej) i wlacz czyszczenie bitu DF na interfejsie outside. W zaleznosci od twojej polityki bezpieczenstwa (wolno/nie wolno) - dobrze byloby rowniez zezwolic na ruch ICMP type 3 code 4.
Co do fragmentacji - poszukaj sam przy pomocy CLI, a z pewnoscia sie czegos nauczysz
Pozdruffka!
Re: Anyconnect and high cpu
Hej,
Pomoglo ustawienie na 1300
btw, dodatkowe pytanie na szybko (bo nie mam jak sprawdzic w labie teraz, dysk padl), czy jak wyrejestruje na chwile FTD 6.4 ">configure manager delete" to strace konfiguracje ? Musze wyrejestrowac i zarejestrowac ponownie z powodu komunikatu: Peer Management Center has fewer devices registered (FMC w HA)
Dzieki
Konrad
Pomoglo ustawienie na 1300
btw, dodatkowe pytanie na szybko (bo nie mam jak sprawdzic w labie teraz, dysk padl), czy jak wyrejestruje na chwile FTD 6.4 ">configure manager delete" to strace konfiguracje ? Musze wyrejestrowac i zarejestrowac ponownie z powodu komunikatu: Peer Management Center has fewer devices registered (FMC w HA)
Dzieki
Konrad
King Kong ain't got shit on me!
Re: Anyconnect and high cpu
Hej,
tak, stracisz konfig w calosci, oprocz czesci interfejsu mgmt.
Pozdruffka!
tak, stracisz konfig w calosci, oprocz czesci interfejsu mgmt.
Pozdruffka!