各位前輩大家好!
想請教一個VPN概念的問題,小弟公司和美國分公司有做Site to Site VPN 互相存取資料。
台灣是中華電信100M/100M, 美國是30M/30M。
最近在導入一套新的Server放在台灣讓美國同事走VPN連回來,
接獲User反應連線速度很慢!
連上以後每點選一個功能都還要等10幾秒才有反應。
美國那邊是用Cisco ASA 5512 ( 我有存取權限 ),
台灣是用Palo Alto 好像5000 系列!( 有專門負責的同仁,我沒有存取權限 )
因為小弟 ASA 還在摸索中,所以原本想說請負責Palo Alto的同事先
Mapping 一個 Public IP 給 Server
讓User從Internet連進來不要走VPN,但同事不願意去調整設定,
他覺得走Internet沒有差,都是同一條線路
這邊有兩個問題想要請教:
1.如不考慮安全性,就理論上如果給Server一個Public IP 讓User從Internet 連進來,請問這樣是否速度會比較理想
2.有什麼好用的工具或是ASA 5512有內建的方法可以快速的監控VPN流量 !?
感謝大家!小弟感激不盡
已邀請的邦友 {{ invite_list.length }}/5
慢!!! 是指啥慢 ping 值會慢嗎? 若由美國user ping 台灣端firewall 內網IP
回覆時間高就確認一下此線路到底同時間跑啥,這個部分 PA 那邊可以提供不錯的報
表,cisco 部分就 嘿嘿嘿 土法煉鋼!!!
若由使用者 ping到firewall 回覆值不錯,但ping Server 慢!!,請嚴格檢視你的Server 在跑啥!! 東西!!!
另外更加重要的!!!
1.請問 這條site to site VPN 是否僅跑此server之服務???
2.上提若是請在兩端防火牆嚴格限制連入IP!!! 若是混和許多服務 請先加上適當之Qos吧!!!
QoS 不是萬能 請明確的瞭解此點!!! 當線路滿了 QoS = 武功盡廢,特別在影像語音上。
其實要先觀察:
1.User點UI時,頻寬的變化.
2.User點UI時,要User同時ping server,檢視ping值變化.
3.若可以的話,這條VPN停止其他服務,只讓1個user使用server,確認是否有問題;然
後逐步增加user人數,直到發生同樣的問題時,確認頻寬及ping值變化
得到以上數據,才能判斷是server loading/頻寬/connection數或其他問題........
iThome鐵人賽
看影片追技術