Cisco ASA как победить тормоза в сети?

Question

[Сергей]

Добрый день коллеги.
Недавно был заменен старый шлюз (FreeBSD) на новый (Cisco ASA 5510)
Сеть поделена на VLAN. Имеем домен на базе Windows.

interface Port-channel1.90
 description SERVERS
 vlan 90
 nameif servers
 security-level 80
 ip address 192.168.90.1 255.255.255.0
!
interface Port-channel1.92
 description PRINTERS
 vlan 92
 nameif printers
 security-level 60
 ip address 192.168.92.1 255.255.255.0
!
interface Port-channel1.100
 description USERS
 vlan 100
 nameif users
 security-level 100
 ip address 192.168.100.1 255.255.255.0

Все серверы - в VLAN90. Пользователи - VLAN100, принтеры - в VLAN92
Проблема в следующем. Возникли жутки тормоза при печати документов. Они могут ставится в очередь и обрабатываться по несколько минут, а то и больше.
Дайте совет, куда смотреть? Пробовал траблшутинг, но если честно после FreeBSD он мне очень непривычен, может подскажете как и куда посмотреть?

Comments

[mikes]

принтеры как подключены? нет ли затыка в DNS?

[mikes]

здорово было бы еще полный конфиг, особенно узнать про инспекцию трафика

[Сергей]

mikes:
Есть принтсервер на базе Windows 2008, Он в серверной сети.
Принтеры настроены на нем и шарятся в домене.
На счет ДНС я тоже сначала думал. Для этого в акцесс-листы прописал:

access-list printers_access_in extended permit ip 192.168.92.0 255.255.255.0 host 192.168.90.5
access-list printers_access_in extended permit ip 192.168.92.0 255.255.255.0 host 192.168.90.6

Где 90.5 и 90.6 - серверы ДНС
Дополнительно ноутбуком подключился в принтерную сеть и проверил проходят ли ДНС запросы. Все нормально.
А тормоза остались (

ПО поводу полого конфига, к сожалению не могу показать. Меня казнят за такие фокусы

[mikes]

Сергей: тут вопрос в DNS от клиентов к серверу печати нежели от принтеров куда-либо

[Сергей]

mikes: Похоже, я что-то недопонимаю. Разве пользователи шлют ДНС запросы к серверу печати?
С другой стороны у пользовательской сети самый высокий security-level, и как бы они вообще без ограничений должны в серверную сеть ходить, и тем более в принтерную. Во всяком случае с доступом к серверам никто не жаловался. Проблемы с печатью только (

[mikes]

Сергей: при печати из той сети где сервер печати проблемы есть?

[Сергей]

mikes: Нет. Там все довольно быстро.

[mikes]

Сергей: как вариант создать правило разрешающее все к серверу "в процессе дебага так сказать" + посмотреть трафик (в asdm к примеру) в момент печати

Answer 1

[Сергей]

Коллеги, вопрос решился неожиданным образом.
Переделка сети и замена шлюза, совпала с одновременным выходом из строя двух принтеров.
Один под замену, второй починили.
Так что не в ASA была проблема. Просто совпадение.
Всем спасибо!

Answer 2

[morgan]

Месье знает толк в извращениях.
У Cisco ASA пропускная способность не самая быстрая в мире, поэтому ваши документы которые идут на печать образуют затычку.
Вам может принтеры посадить в одну сеть с компьютерами или если нужен отдельный vlan реализовать его средствами дополнительного роутера и коммутатора на который определить компьютеры и принтеры к одной лапке асы, а сервера к другой?

Comments

[Сергей]

А как определить что в пропускной способности проблема?
Судя по мониторингу нагрузка на процессор не превышает 30%. Памяти использовано всего 280МБ.
Скорость на интерфейса сейчас топовая 50Мбит. А интерфейсы гигабитные.
Другими словами визуально - комутатор простаивает.
Объединять сети - не вариант. Нужно чтоб были поделены.

[morgan]

Сергей: это данные в момент печати?

[Сергей]

morgan: Это средние данные за 10 минут. Максимальные значения. Могу больше цифр навыбирать если нужно.
Но вот прямо сейчас смотрю через ASDM и картина очень оптимистичная. Нагрузки практически нет. У нас небольшой офис. всего 150 человек.

[mikes]

Сергей: у меня есть pix 515e который обрабатывает гораздо больше нагрузку, и при этом все упирается только в скорость интерфейсов, так что дело не в этом

Answer 3

[throughtheether]

Проблема в следующем. Возникли жутки тормоза при печати документов. Они могут ставится в очередь и обрабатываться по несколько минут, а то и больше.

Проверьте при помощи wireshark, какие протоколы (в т.ч. номера портов TCP/UDP) используются при печати и соотнесите эти данные с настроенными правилами инспекции, может быть, дело в этом.