Несколько локалок, связанных IPSEC VPN, в локалке A DFL-860E, в локалке B - DFL-260E, в остальных (их 6 штук) DFL-260E или PIX.
Локалки A и B связаны каждая с каждой (в том числе между собой)
На DFL прошивки 2.40.04.08-21460 Jun 4 2013. Пиксы упомянуты для полноты картины, они в этих проблемах не участвуют.
Проблема заключается в том, что в некоторых туннелях сильно различаются времена пингов через туннель и вне туннеля - на внешний адрес того же DFL. При этом в других направлениях той же DFL все нормально, например в одном направлении времена 4 и 3мс, в то же время в другом - 35 и 3-4. Вообще-то пинги в туннеле возрастали и до 60-70 и даже выше.
При этом:
- трафик на обоих концах туннеля незначителен по ВСЕМ интерфейсам и VPN
- это не задержки в локалке
- во всех туннелях политики одинаковые и минимальные (MD5, DES)
- ситуация нестабильная, вдруг все нормализуется.
- процессор и память DFL не перегружены, процессор занят на 6%, память примерно на 20%
- проблема обнаружена у DFL B (в том числе тормозит связь с A).
Все, что знаю, обшарил - ничего не нашел. Куда вообще смотреть?
PS. Может, проблему создает туча очень мелких пакетов? (Я не проверял, есть ли они) Но трудно объяснить тогда, почему это происходит только на некоторых направлениях. Потому что характер трафика шлюза на B довольно однородный - во всех направлениях, кроме A, это Voip, причем совершенно не перегруженный.
PPS. Посмотрел повнимательнее. На wan валится frame align error:
Код:
IN : packets= 14664 bytes= 2047689 errors= 0 dropped= 0
OUT: packets= 13843 bytes= 2108200 errors= 0 dropped= 0
In : Receive Errors : 0
In : Missed Frames : 0 (16-bit counter)
In : Frame Align Errors : 64819 (16-bit counter)
Out: Send Errors : 0
Out: Single Collisions : 0
Out: Multiple Collisions: 0
Out: Aborts : 0 (16-bit counter)
Out: Underruns : 0 (16-bit counter)
Это оно? Это же, что, проходит один пакет из 5-6?