Lancom 7111, VPN Beeinträchtigungen, CPU-Last

[viggo]

Hallo Wissende,

Szenario:
- HQ 7111 (LC 8.62) WAN-Anschluss 100Mbit/synchron
- 2x VPN Tunnel zu NL's mit 10Mbit/synchron (1711+)
- 3x VPN Tunnel zu NL's mit 2Mbit/synchron (1711+)
- 2x VPN Tunnel zu NL's mit ADSL6000 (1711+)
- ca. 85 User/PC per Citrix zum HQ verbunden

Problem:
- es gibt manchmal Aussetzer/Verzögerungen beim User in den NL's
- CPU Last der Lancom7111 morgens beim "Anmelden" ca. 90-100%
- wenn die Leitungen der NL's ausgelastet sind auch hohe CPU Last
- CPU Last der Lancom7111 tagsüber zwischen 55-70%
- Pingzeiten außergewöhnlich lang

Habe irgendwo einen Beitrag gelesen, wo es darum ging wie die CPU-Last den VPN Tunnel "belastet"
bzw. beeinträchtigt. Dies würde vielleicht die "Aussetzer" erklären.

Ist die Lancom 7111 noch ausreichend für unser Szenario?
Kann uns eine 7100 oder 9100 Abhilfe schaffen?
Ich möchte ungern Bandbreitenbegrenzungen einführen.

Bin für jeden Ansatz oder Vorschlag dankbar.

[Bernie137]

Moin,

da gibt es wohl erst mal kein Patentrezept. Sinnvoll ist eine Überwachung der Latenz pro NL, ich nehme dafür PRTG. Dann kann man besser beurteilen, ob es nur auf bestimmten Leitungen zugleich oder unterschiedlich ist.

Dann macht es auch mal Sinn auf die Firewall Regeln zu werfen. Jede Regel mehr versucht mehr CPU Last, ganz besonders die, bei denen noch SNMP oder Syslog Meldungen aktiviert sind. Jedoch ist es sinnvoll Firewall Regeln zu haben, die z.B. für Citrix Vorfahrt gewähren gegenüber anderem Traffic. Und dann ist halt die Frage, welcher andere Traffic noch so über die Tunnel geht.

Gruß Heiko

[Cytor]

Hi,

du kannst ja mal einen Wireshark machen (evtl. mit LCOScap) und dir die Pakete in der Hochlastsituation genauer ansehen. Wenn deine Citrix Sessions aus ganz vielen ganz kleinen Paketen bestehen, ist der Durchsatz nicht der Rede Wert, aber die Paketanzahl ufert aus.
Man hört solches aus dem Citrix-Umfeld öfters...
In einem solchen Fall würde ein stärkeres Gerät dann in der Tat helfen können.