Странные задержки в IPSec-канале
Товарищи учОные, опять подземный стук.
Я уже спрашивал как-то про различные странности с прохождением IPSec-туннелей через магистральные и не очень сети.
Вот, поймал очередные грабли:
Два однотипных маршрутизатора устанавливают между собой два разных IPSec-туннеля через разных операторов (wan1-wan1 и wan2-wan2), причём wan1-wan1 полностью идёт через одного оператора - и концы, и магистраль. Туннели оба всё время подняты, выбор нужного для общения LAN-LAN происходит через статическую маршрутизацию.
Казалось бы, связь через одного оператора должна быть быстрее и предсказуемее, чем через двух случайных резервных (как wan2-wan2). Но по факту несколько раз в день наблюдаем внезапные большие задержки внутри самого туннеля, до 800мс бывает. Переключаем роутинг LAN-LAN на резерв - и всё в шоколаде. НО КАК ЖЕ ТАК?
Сами концы wan1-wan1 между собой пингуются нормально, таких конских задержек даже близко нет, аналогично и wan2-wan2. Нагрузка на процессор есть, это да, но если бы это влияло - то и резервный бы тоже аналогично тормозил, а он и не думает.
Оператор, понятное дело, разводит руками - "между двумя точками связь есть, latency в пределах договорной, это всё ваше оборудование". И их можно понять, тащемта.
Куда бежать? Сейчас основной и резервный каналы поменяны ролями, но ... неаккуратно как-то(с). Всю эту эпопею затеяли ради более стабильной и предсказуемой связи, а по факту - сплошное растройство.
UPD: Совсем забыл - аналогичная схема настроена на том же оборудовании с другими точками и проблемы не наблюдается.
Я уже спрашивал как-то про различные странности с прохождением IPSec-туннелей через магистральные и не очень сети.
Вот, поймал очередные грабли:
Два однотипных маршрутизатора устанавливают между собой два разных IPSec-туннеля через разных операторов (wan1-wan1 и wan2-wan2), причём wan1-wan1 полностью идёт через одного оператора - и концы, и магистраль. Туннели оба всё время подняты, выбор нужного для общения LAN-LAN происходит через статическую маршрутизацию.
Казалось бы, связь через одного оператора должна быть быстрее и предсказуемее, чем через двух случайных резервных (как wan2-wan2). Но по факту несколько раз в день наблюдаем внезапные большие задержки внутри самого туннеля, до 800мс бывает. Переключаем роутинг LAN-LAN на резерв - и всё в шоколаде. НО КАК ЖЕ ТАК?
Сами концы wan1-wan1 между собой пингуются нормально, таких конских задержек даже близко нет, аналогично и wan2-wan2. Нагрузка на процессор есть, это да, но если бы это влияло - то и резервный бы тоже аналогично тормозил, а он и не думает.
Оператор, понятное дело, разводит руками - "между двумя точками связь есть, latency в пределах договорной, это всё ваше оборудование". И их можно понять, тащемта.
Куда бежать? Сейчас основной и резервный каналы поменяны ролями, но ... неаккуратно как-то(с). Всю эту эпопею затеяли ради более стабильной и предсказуемой связи, а по факту - сплошное растройство.
UPD: Совсем забыл - аналогичная схема настроена на том же оборудовании с другими точками и проблемы не наблюдается.