URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12302
[ Назад ]

Исходное сообщение
"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 19-Дек-06 11:56

Проблема с туннелем на
Cisco2811 + HWIC-4ESW Four port 10/100 Ethernet switch interface card
Проблема заключается в том что туннель циска + длинк поднимается, работает
но есть потери траффика 40-50%
настраевается все как указанно тут: http://www.dlink.ru/technical/faq_vpn_1.php
скорость на интерфейсах на обеих концах по.ум

конф:
============================================================
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key mykey address 210.100.110.210
!
!
crypto ipsec transform-set SAMPLE_SET esp-3des
!
crypto map newmap 10 ipsec-isakmp
description Description of the crypto map statement policy
set peer 210.100.110.210
set security-association lifetime seconds 28800
set transform-set SAMPLE_SET
set pfs group2
match address 101

!
interface FastEthernet0/0
ip address 172.16.0.100 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.1.100 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/3/0
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
switchport access vlan 2
!
interface FastEthernet0/3/3
!
interface Vlan2
ip address 210.222.222.222 255.255.255.240
crypto map newmap
!
ip route 0.0.0.0 0.0.0.0 192.168.1.50
ip route 192.0.0.0 255.0.0.0 172.16.0.1
ip route 210.100.110.210 255.255.255.255 195.165.145.155 30
ip route 172.16.0.0 255.255.0.0 172.16.0.1
ip route 192.168.0.0 255.255.0.0 172.16.0.1
ip route 192.168.2.0 255.255.255.0 Vlan2 10
!
!
ip http server
no ip http secure-server
!
access-list 101 remark SDM_ACL Category=20
access-list 101 permit ip 192.168.1.0 0.255.255.255 192.168.2.0 0.255.255.255
access-list 101 deny   ip any any
=====================================================================

Содержание

Cisco + Длинк. Потеря траффика в туннеле,Minotaur, 12:38 , 19-Дек-06
- Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 12:46 , 19-Дек-06
  - Cisco + Длинк. Потеря траффика в туннеле,Minotaur, 12:55 , 19-Дек-06
    - Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 13:06 , 19-Дек-06
      - Cisco + Длинк. Потеря траффика в туннеле,Minotaur, 13:09 , 19-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 13:16 , 19-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Minotaur, 13:27 , 19-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 13:38 , 19-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Minotaur, 14:51 , 19-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 17:07 , 20-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Avalone, 21:49 , 20-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 13:18 , 21-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 09:30 , 25-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Val, 13:03 , 25-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 14:30 , 25-Дек-06
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 09:01 , 27-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Val, 17:36 , 28-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 17:58 , 28-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Basil, 23:15 , 28-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Avalone, 12:34 , 30-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,Basil, 12:01 , 31-Дек-06
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 15:14 , 03-Янв-07
        
        Cisco + Длинк. Потеря траффика в туннеле,Basil, 18:21 , 03-Янв-07
        
        Cisco + Длинк. Потеря траффика в туннеле,NekrasovK, 09:33 , 04-Янв-07
        
        Cisco + Длинк. Потеря траффика в туннеле,fantom, 09:48 , 04-Янв-07
Cisco + Длинк. Потеря траффика в туннеле,Ranger99, 13:07 , 04-Янв-07
Cisco + Длинк. Потеря траффика в туннеле,Олег, 14:15 , 22-Сен-09

Сообщения в этом обсуждении

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Minotaur , 19-Дек-06 12:38

>Проблема с туннелем на
>Cisco2811 + HWIC-4ESW Four port 10/100 Ethernet switch interface card
>
>Проблема заключается в том что туннель циска + длинк поднимается, работает
>но есть потери траффика 40-50%
>
>настраевается все как указанно тут: http://www.dlink.ru/technical/faq_vpn_1.php
>скорость на интерфейсах на обеих концах по.ум
>
>
>конф:
[skipped]
>=====================================================================
Ну в конфиге все вроде нормально. Какая модель Dlinkа?
1) mb проблемы со стороны Dlink?
2) Попробуйте выставить жестко на Dlinke и на Cisco duplex и скорость.

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 19-Дек-06 12:46

>>=====================================================================
>Ну в конфиге все вроде нормально. Какая модель Dlinkа?
>1) mb проблемы со стороны Dlink?
>2) Попробуйте выставить жестко на Dlinke и на Cisco duplex и скорость.
>

Дело в том что я пробовал с двумя аппаратами с D-Link DI-804HV и подобным по конфигу девайсом от 3Com с поддержкой впн
Это заставило задуматся с чем это связанно???
На длинк и на 3Ком настройки скорости не менялись, и все настройки интерфейсов по.умол
Если пробывать выставлять скорость то какую?

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Minotaur , 19-Дек-06 12:55

>Дело в том что я пробовал с двумя аппаратами с D-Link DI-804HV
> и подобным по конфигу девайсом от 3Com с поддержкой впн
>
>Это заставило задуматся с чем это связанно???
>На длинк и на 3Ком настройки скорости не менялись, и все настройки
>интерфейсов по.умол
>
>Если пробывать выставлять скорость то какую?
Ну поставьте для начала и там, и там жестко 10mbit/full-duplex.
Если понадобится больше, то поставьте жестко 100mbit/full-duplex.
Если не поможет, то крутить настройки Dlinkа. Пример Вам не дам - т.к. управление железякой web-based - и посмотреть у меня нет возможности.

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 19-Дек-06 13:06

>
>Если не поможет, то крутить настройки Dlinkа. Пример Вам не дам -
>т.к. управление железякой web-based - и посмотреть у меня нет возможности.
>

Однако факт того что пользовались двумя различными железками (длинк и 3Ком)
заставляет думать о проблемах настройки со стороны циски, а если о них то о каких?
ЗЫ: (в примере на сайте длинк дан одназначно рекомендуемый и рабочий конфиг, все делается с него)

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Minotaur , 19-Дек-06 13:09

>
>>
>>Если не поможет, то крутить настройки Dlinkа. Пример Вам не дам -
>>т.к. управление железякой web-based - и посмотреть у меня нет возможности.
>>
>
>
>Однако факт того что пользовались двумя различными железками (длинк и 3Ком)
>заставляет думать о проблемах настройки со стороны циски, а если о них
>то о каких?
Вы пробовали жестко указывать дуплексы-скорости? У меня с такими настройками Cisco - работает.
>ЗЫ: (в примере на сайте длинк дан одназначно рекомендуемый и рабочий конфиг,
>все делается с него)
С чего Вы взяли?

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 19-Дек-06 13:16

>>
>>>
>Вы пробовали жестко указывать дуплексы-скорости? У меня с такими настройками Cisco -
>работает.
>
Напишите пожалуйста более точно как у вас настроено, и какое железо
Очень хочется точно знать,что это имеет право на жизнь ;-)

>>ЗЫ: (в примере на сайте длинк дан одназначно рекомендуемый и рабочий конфиг,
>>все делается с него)
>С чего Вы взяли?
Инженеры с длинка одназначно отвечают что работает,иначе конфиг бы она не ложили на свой сайт как руководство

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Minotaur , 19-Дек-06 13:27

>>
>Напишите пожалуйста более точно как у вас настроено, и какое железо
>Очень хочется точно знать,что это имеет право на жизнь ;-)
Ну конечно, имеет. Еще раз: Вы пробовали жестко пробивать дуплексы?
На одной 28й у меня работает еще так (отличия только в transform-set):
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto ipsec transform-set CISCO-DL_SET esp-3des esp-md5-hmac
!
crypto map DLink 10 ipsec-isakmp
set peer x.x.x.x
set security-association lifetime seconds 28800
set transform-set CISCO-DL_SET
set pfs group2
match address 104
!

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 19-Дек-06 13:38

>Ну конечно, имеет. Еще раз: Вы пробовали жестко пробивать дуплексы?
>
Нет пока не попробовал, но сделаю так как вы сказали
Покажите плиз тогда уж как все у вас на интерфейсах
Спасибо.

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Minotaur , 19-Дек-06 14:51

>
>>Ну конечно, имеет. Еще раз: Вы пробовали жестко пробивать дуплексы?
>>
>
>Нет пока не попробовал, но сделаю так как вы сказали
>Покажите плиз тогда уж как все у вас на интерфейсах
>
>Спасибо.
Тоже самое, что и у Вас. К IPSecу отношение имеет только crypto map.
но потери в Вашем случае могут быть не связаны с IPSecом.
Еще один вариант - во время потерь наблюдать состояние srypto-сессии на 2811:
sh crypto sessions (если мне память не изменяет).

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 20-Дек-06 17:07

>>
>>>Ну конечно, имеет. Еще раз: Вы пробовали жестко пробивать дуплексы?
>>>
На интрфейсе стоит Speed auto \duplex auto
Циска подключена к свичу на который приходит адсл с модема
свич на 10мбит\с
циска конфит порт как авто, и при просмотре активных настроек порта выдает
----------------------------------------------
FastEthernet0/3/2 is up, line protocol is up
  Hardware is Fast Ethernet, address is 0017.59d5.e3a4 (bia 0017.59d5.e3a4)
  MTU 1500 bytes, BW 10000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Half-duplex, 10Mb/s
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:55, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
-------------------------------------------------
На циске Пробовал менять значения  Half-duplex, 10Mb/s Full-duplex, 10Mb/s
результат остался преждним
кстати,средстваминастройки аппарата На длинк не сменишь эти значения

>Тоже самое, что и у Вас. К IPSecу отношение имеет только crypto
>map.
>но потери в Вашем случае могут быть не связаны с IPSecом.
Без поднятия туннеля с обеих концов пингуется без потерь
>Еще один вариант - во время потерь наблюдать состояние srypto-сессии на 2811:
>sh crypto sessions
Crypto session current status
Interface: Vlan3
Session status: UP-ACTIVE
Peer: 135.150.150.150 port 500
  IKE SA: local 100.150.150.150/500 remote 135.150.150.150/500 Active
  IKE SA: local 100.150.150.150/500 remote 135.150.150.150/500 Active
  IPSEC FLOW: deny ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 0, origin: crypto map
  IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
        Active SAs: 2, origin: crypto map

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Avalone , 20-Дек-06 21:49

>>>
>>>>Ну конечно, имеет. Еще раз: Вы пробовали жестко пробивать дуплексы?
>>>>
>На интрфейсе стоит Speed auto \duplex auto
>
>Циска подключена к свичу на который приходит адсл с модема
>свич на 10мбит\с
>циска конфит порт как авто, и при просмотре активных настроек порта выдает
>
>
Конфигурация немного иная: но проблема похожая на описанную:
Cisco 1841 (12.4.12 (12.4.11T adv ip) c одной стороны - Pix (или другая Cisco) с другой стороны.
До того как проложили выделенную оптику - все было замечательно.. т.е. IPSEC был настроен (и работал) через 2 реальных IP адреса (1841 - PIX)
После того как появилась оптика, появилась следующая проблема
Pix - оптика - vlan (длинк 3550) - Cisco - потери в туннели ровно 40-50%... т.е. теряется каждый второй пинг... mtu и ip mtu adjust-tcp менял на 1350 - разницы нету.
При этом - туннель PIX (dlink DV804) - dlink DFL-200 (подключенный в этот же vlan) замечательно работает :(
Самое странное, что работает туннель Cisco 831 (еще одна точка подключения в оптике) - 1841... причем без потерь.
Естественно без туннеля пинги до 15000 размером везде проходят замечательно...

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 21-Дек-06 13:18

>... mtu и ip mtu adjust-tcp менял на 1350 - разницы нету.
>
Тоже самое...менял эти значения...не помагло ;(

Что -то вы меня в конец запутали, несколько раз перечитал конфиг который вы описали так и не понял, с чем у вас связанно что одно работает а другое не работает...Если не трудно напишите подробно и как минимум понятно ///
Ну так что никто не сталкивался и нет больше мыслей ?

спасибо

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 25-Дек-06 09:30

>UP

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Val , 25-Дек-06 13:03

>
>Циска подключена к свичу на который приходит адсл с модема
>свич на 10мбит\с
>циска конфит порт как авто, и при просмотре активных настроек порта выдает
Какая версия ИОС - а на Циско?
И - можно ли в Вашем случае подключить Циско к адсл- у без свитча - напрямую?

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 25-Дек-06 14:30

>Какая версия ИОС - а на Циско?
version 12.4(6)T2
>И - можно ли в Вашем случае подключить Циско к адсл- у
>без свитча - напрямую?
не пробовал такой случай,
пробовал сменить хаб на 10 мбитс на аналогичный хаб на 100мбис(в обеих случаях не свич!)
попробую подключить напрямую, изменится ли что...;-(

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 27-Дек-06 09:01

>И - можно ли в Вашем случае подключить Циско к адсл- у
>без свитча - напрямую?
Попробовал подключить на прямую к адсл-модему...ПРОБЛЕМА осталась, потеря траффика. :-(

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Val , 28-Дек-06 17:36

>
>>И - можно ли в Вашем случае подключить Циско к адсл- у
>>без свитча - напрямую?
>
>
>
>
>
>Попробовал подключить на прямую к адсл-модему...ПРОБЛЕМА осталась, потеря траффика. :-(
Тогда давайте начнем сначала :))
> Проблема заключается в том что туннель циска + длинк поднимается, работает
> но есть потери траффика 40-50%
Как (чем) определяется эта потеря?

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 28-Дек-06 17:58

>> Проблема заключается в том что туннель циска + длинк поднимается, работает
>> но есть потери траффика 40-50%
>
>Как (чем) определяется эта потеря?
Я пингую с внутренней сети поднявшегося туннеля
и не важно с какой стороны, результат один в обеих случаях (см.ниже)
Работоспособность тунеля проверяю командами с консоли либо через SDM, жмем Test Tunnel и он поднимается, результат "ОК"

----------------------------------
C:\>ping 192.168.2.1
Pinging 192.168.2.1 with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=637ms TTL=63
Request timed out.
Reply from 192.168.2.1: bytes=32 time=298ms TTL=63
Request timed out.
Ping statistics for 192.168.2.1:
Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
Approximate round trip times in milli-seconds:
Minimum = 298ms, Maximum = 637ms, Average = 467ms

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Basil , 28-Дек-06 23:15

>
>>> Проблема заключается в том что туннель циска + длинк поднимается, работает
>>> но есть потери траффика 40-50%
>>
>>Как (чем) определяется эта потеря?
>
>Я пингую с внутренней сети поднявшегося туннеля
>и не важно с какой стороны, результат один в обеих случаях (см.ниже)
>
>Работоспособность тунеля проверяю командами с консоли либо через SDM, жмем Test Tunnel
>и он поднимается, результат "ОК"
>
>
>----------------------------------
>C:\>ping 192.168.2.1
>
>Pinging 192.168.2.1 with 32 bytes of data:
>
>Reply from 192.168.2.1: bytes=32 time=637ms TTL=63
>Request timed out.
>Reply from 192.168.2.1: bytes=32 time=298ms TTL=63
>Request timed out.
>
>Ping statistics for 192.168.2.1:
> Packets: Sent = 4, Received = 2, Lost
>= 2 (50% loss),
>Approximate round trip times in milli-seconds:
> Minimum = 298ms, Maximum = 637ms, Average =
>467ms
Приветствую!
Не смущает, что ровно половина трафика не проходит ? Мое предположение, что есть 2 маршрута в эту сеть или 2 статик роута. При этом, через один маршрут достижим, а через второй нет.

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Avalone , 30-Дек-06 12:34

>>
>Не смущает, что ровно половина трафика не проходит ? Мое предположение, что
>есть 2 маршрута в эту сеть или 2 статик роута. При
>этом, через один маршрут достижим, а через второй нет.
Вот эта фраза и заставила поразмышлять
>>access-list 101 remark SDM_ACL Category=20
>>access-list 101 permit ip 192.168.1.0 0.255.255.255 192.168.2.0 0.255.255.255
>>access-list 101 deny ip any any
Вторая строчка "permit" c /8 подсетью!!! а не с /24 как должна быть.

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Basil , 31-Дек-06 12:01

>>>
>>Не смущает, что ровно половина трафика не проходит ? Мое предположение, что
>>есть 2 маршрута в эту сеть или 2 статик роута. При
>>этом, через один маршрут достижим, а через второй нет.
>
>Вот эта фраза и заставила поразмышлять
>
>>>access-list 101 remark SDM_ACL Category=20
>>>access-list 101 permit ip 192.168.1.0 0.255.255.255 192.168.2.0 0.255.255.255
>>>access-list 101 deny ip any any
>
>Вторая строчка "permit" c /8 подсетью!!! а не с /24 как должна
>быть.

Т.е. проблема решена ?

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 03-Янв-07 15:14

>>>>access-list 101 remark SDM_ACL Category=20
>>>>access-list 101 permit ip 192.168.1.0 0.255.255.255 192.168.2.0 0.255.255.255
>>>>access-list 101 deny ip any any
>>
>>Вторая строчка "permit" c /8 подсетью!!! а не с /24 как должна
>>быть.
>
>
>Т.е. проблема решена ?

нет!
отвечал не автор.
Я пробовал сменить в акцесслисте сеть как вы писали не помогло!
Относительно двух маршрутов по которому один достижим а другой нет, поясните пожалуйста...
Возможно проблема в этом?
я пробовал убрать все маршруты и оставить один в эту сеть но потери все же есть и причем 50 %

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Basil , 03-Янв-07 18:21

>
>>>>>access-list 101 remark SDM_ACL Category=20
>>>>>access-list 101 permit ip 192.168.1.0 0.255.255.255 192.168.2.0 0.255.255.255
>>>>>access-list 101 deny ip any any
>>>
>>>Вторая строчка "permit" c /8 подсетью!!! а не с /24 как должна
>>>быть.
>>
>>
>>Т.е. проблема решена ?
>
>
>нет!
>
>отвечал не автор.
>
>Я пробовал сменить в акцесслисте сеть как вы писали не помогло!
>Относительно двух маршрутов по которому один достижим а другой нет, поясните пожалуйста...
>
>Возможно проблема в этом?
>я пробовал убрать все маршруты и оставить один в эту сеть но
>потери все же есть и причем 50 %
Хмммм.. Тогда надо понять, в каком направлении теряется трафик! Или пакеты пропадают при хождении в любом направлении

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено NekrasovK , 04-Янв-07 09:33

>Хмммм.. Тогда надо понять, в каком направлении теряется трафик! Или пакеты пропадают
>при хождении в любом направлении

Так точно! Пакеты пропадают при хождении в любом направлении
Об этом я писал выше, вот:
Я пингую с внутренней сети поднявшегося туннеля
и не важно с какой стороны, результат один в обеих случаях (см.ниже)
---------------------------
C:\>ping 192.168.2.1
Pinging 192.168.2.1 with 32 bytes of data:
Reply from 192.168.2.1: bytes=32 time=637ms TTL=63
Request timed out.
Reply from 192.168.2.1: bytes=32 time=298ms TTL=63
Request timed out.
Ping statistics for 192.168.2.1:
    Packets: Sent = 4, Received = 2, Lost
= 2 (50% loss),
Approximate round trip times in milli-seconds:
    Minimum = 298ms, Maximum = 637ms, Average =
467ms
--------------------------

Кстати, Basil и Avalone
в первом посте я привел конфиг полностью...я тоже подумал относительно двух маршрутов
по одному из которых достижим, а по другому нет! что и может рождать 50%-ую потерю траффика.Однако при удаленниии в тестовых целях всех остальных маршрутов оставив рутинг вот так (см.ниже) проблема все же есть:
interface FastEthernet0/3/0
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
switchport access vlan 2
!
interface FastEthernet0/3/3
!
interface Vlan2
ip address 210.222.222.222 255.255.255.240
crypto map newmap
ip route 210.100.110.210 255.255.255.255 195.165.145.155 30
ip route 192.168.2.0 255.255.255.0 Vlan2 10

-------------------------------
Первичный приведенный конф:
============================================================
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key mykey address 210.100.110.210
!
!
crypto ipsec transform-set SAMPLE_SET esp-3des
!
crypto map newmap 10 ipsec-isakmp
description Description of the crypto map statement policy
set peer 210.100.110.210
set security-association lifetime seconds 28800
set transform-set SAMPLE_SET
set pfs group2
match address 101

!
interface FastEthernet0/0
ip address 172.16.0.100 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.1.100 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/3/0
interface FastEthernet0/3/1
!
interface FastEthernet0/3/2
switchport access vlan 2
!
interface FastEthernet0/3/3
!
interface Vlan2
ip address 210.222.222.222 255.255.255.240
crypto map newmap
!
ip route 0.0.0.0 0.0.0.0 192.168.1.50
ip route 192.0.0.0 255.0.0.0 172.16.0.1
ip route 210.100.110.210 255.255.255.255 195.165.145.155 30
ip route 172.16.0.0 255.255.0.0 172.16.0.1
ip route 192.168.0.0 255.255.0.0 172.16.0.1
ip route 192.168.2.0 255.255.255.0 Vlan2 10
!
!
ip http server
no ip http secure-server
!
access-list 101 remark SDM_ACL Category=20
access-list 101 permit ip 192.168.1.0 0.255.255.255 192.168.2.0 0.255.255.255
access-list 101 deny   ip any any
=====================================================================

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено fantom , 04-Янв-07 09:48

>
>>Хмммм.. Тогда надо понять, в каком направлении теряется трафик! Или пакеты пропадают
>>при хождении в любом направлении
>
>
>Так точно! Пакеты пропадают при хождении в любом направлении
>Об этом я писал выше, вот:
>
>Я пингую с внутренней сети поднявшегося туннеля
>и не важно с какой стороны, результат один в обеих случаях (см.ниже)
>
>
>C:\>ping 192.168.2.1
>
>Pinging 192.168.2.1 with 32 bytes of data:
>
>Reply from 192.168.2.1: bytes=32 time=637ms TTL=63
>Request timed out.
>Reply from 192.168.2.1: bytes=32 time=298ms TTL=63
>Request timed out.
>
>Ping statistics for 192.168.2.1:
> Packets: Sent = 4, Received = 2, Lost
>
>= 2 (50% loss),
>Approximate round trip times in milli-seconds:
> Minimum = 298ms, Maximum = 637ms, Average =
>
>467ms

Обнули счетчики пакетов на обоих сторонах, попингай и затем сравни показания счетчиков, поймешь откуда - куда теряются пакеты.

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Ranger99 , 04-Янв-07 13:07

1) Покажите из конфига длинка:
LAN IP Address, LAN Subnet Mask, Remote IP Network, Remote IP Netmask
2) Приведенный конфиг, видимо, набран в текстовом редакторе, а не взят с циски, ибо вот такие моменты не должны были появляться:
interface FastEthernet0/0
ip address 172.16.0.100 255.255.255.252
Попытка сделать так приведет к сообщению Bad mask /30.
На access-list 101 permit ip 192.168.1.0 0.255.255.255 192.168.2.0 0.255.255.255
уже обращал внимание Avalone - не будет такой строчки в конфиге, будет
access-list 101 permit ip 192.0.0.0 0.255.255.255 192.0.0.0 0.255.255.255.
3) Какой смысл в четырех статиках
ip route 192.0.0.0 255.0.0.0 172.16.0.1
ip route 210.100.110.210 255.255.255.255 195.165.145.155 30
ip route 172.16.0.0 255.255.0.0 172.16.0.1
ip route 192.168.0.0 255.255.0.0 172.16.0.1
если они _все_ смотрят туда же, куда и дефолтный гейтвей ? Проверьте по show ip route.
4) Какой смысл в этом статике ?
ip route 192.168.2.0 255.255.255.0 Vlan2 10
В Vlan2 живет IP-сеть 210.222.222.224/28 и не имеет никакого отношения к шифруемому траффику. Кстати, указывать в ip route в качестве интерфейса VlanX это уже крайне криво само по себе.
Определите _точно_ что собираетесь шифровать. Пропишите правильно ACL 101, уравняв его с тем, что прописано на длинке. Разберитесь с адресацией в своих сетях и маршрутизацией. Повесьте crypto-map на внешний интерфейс, то есть на Fast0/1.

"Cisco + Длинк. Потеря траффика в туннеле"
Отправлено Олег , 22-Сен-09 14:15

Это баг циски. Лечится:
no ip cef
no ipv6 cef