URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13455
[ Назад ]

Исходное сообщение
"Проблема с Cisco 2851"
Отправлено JackK , 30-Апр-07 15:32

Столкнулся с проблемой при настройки pptp-сервера на cisco 2851 c модулем AIM-EPII-PLUS. VPN доступ клиентов. При одновременном подключение более 20 человек, могут не отобраться(соединение было сброшено сервером) или неправильно погружаться страницы(сбиваются стили,не грузятся картинки и пр.), причем если несколько раз обновить, страница загружается. игрался с mtu, ip tcp synwait-time,bandwidth, но без успешно... вот кусок кофига:
vpdn enable
vpdn session-limit 1400
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
interface GigabitEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_LAN$$ETH-LAN$$FW_INSIDE$
bandwidth 30000
ip address 172.16.111.111 255.255.0.0
ip access-group 100 in
no ip redirects
ip nat inside
ip virtual-reassembly
delay 1000
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description $ES_WAN$$FW_OUTSIDE$$ETH-WAN$
bandwidth 30000
ip address xx.xx.xx.xx 255.255.255.240
ip access-group 101 in
no ip redirects
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
delay 1000
duplex auto
speed auto
no mop enabled
!
interface Virtual-Template1
bandwidth 30000
ip unnumbered GigabitEthernet0/0
no ip redirects
ip nat inside
ip virtual-reassembly
delay 1000
autodetect encapsulation ppp
no peer defau    lt ip address
ppp authentication ms-chap-v2 chap

Содержание

Проблема с Cisco 2851,DN, 12:01 , 03-Май-07
Проблема с Cisco 2851,Сашка, 00:44 , 07-Май-07
- Проблема с Cisco 2851,Jack, 23:24 , 31-Май-07
  - Проблема с Cisco 2851,Сашка, 23:48 , 31-Май-07
    - Проблема с Cisco 2851,JackK, 00:00 , 01-Июн-07
      - Проблема с Cisco 2851,JackK, 00:02 , 01-Июн-07
        
        Проблема с Cisco 2851,Crusader, 09:53 , 16-Авг-07

Сообщения в этом обсуждении

"Проблема с Cisco 2851"
Отправлено DN , 03-Май-07 12:01

>Столкнулся с проблемой при настройки pptp-сервера на cisco 2851 c модулем AIM-EPII-PLUS.
>VPN доступ клиентов. При одновременном подключение более 20 человек, могут не
>отобраться(соединение было сброшено сервером) или неправильно погружаться страницы(сбиваются стили,не грузятся картинки
>и пр.), причем если несколько раз обновить, страница загружается. игрался с
>mtu, ip tcp synwait-time,bandwidth, но без успешно... вот кусок кофига:
Посмотрите в сторону ip tcp adjust-mss ... для интерфейса, если icmp заблокирован
где-то.
И crypto ipsec df-bit clear, если что-то криптуется.

"Проблема с Cisco 2851"
Отправлено Сашка , 07-Май-07 00:44

>Столкнулся с проблемой при настройки pptp-сервера на cisco 2851 c модулем AIM-EPII-PLUS.
>VPN доступ клиентов. При одновременном подключение более 20 человек, могут не
>отобраться(соединение было сброшено сервером) или неправильно погружаться страницы(сбиваются стили,не грузятся картинки
>и пр.), причем если несколько раз обновить, страница загружается. игрался с
>mtu, ip tcp synwait-time,bandwidth, но без успешно... вот кусок кофига:
>
>vpdn enable
>vpdn session-limit 1400
>!
>vpdn-group 1
>! Default PPTP VPDN group
> accept-dialin
> protocol pptp
> virtual-template 1
>!
>
>interface GigabitEthernet0/0
> description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_LAN$$ETH-LAN$$FW_INSIDE$
> bandwidth 30000
> ip address 172.16.111.111 255.255.0.0
> ip access-group 100 in
> no ip redirects
> ip nat inside
> ip virtual-reassembly
> delay 1000
> duplex auto
> speed auto
> no mop enabled
>!
>interface GigabitEthernet0/1
> description $ES_WAN$$FW_OUTSIDE$$ETH-WAN$
> bandwidth 30000
> ip address xx.xx.xx.xx 255.255.255.240
> ip access-group 101 in
> no ip redirects
> ip nat outside
> ip inspect DEFAULT100 out
> ip virtual-reassembly
> delay 1000
> duplex auto
> speed auto
> no mop enabled
>!
>interface Virtual-Template1
> bandwidth 30000
> ip unnumbered GigabitEthernet0/0
> no ip redirects
> ip nat inside
> ip virtual-reassembly
> delay 1000
> autodetect encapsulation ppp
> no peer defau lt ip address
> ppp authentication ms-chap-v2 chap

Аналогичная проблема -- на с2801...
кто-то поможет ???

"Проблема с Cisco 2851"
Отправлено Jack , 31-Май-07 23:24

>>Столкнулся с проблемой при настройки pptp-сервера на cisco 2851 c модулем AIM-EPII-PLUS.
>>VPN доступ клиентов. При одновременном подключение более 20 человек, могут не
>>отобраться(соединение было сброшено сервером) или неправильно погружаться страницы(сбиваются стили,не грузятся картинки
>>и пр.), причем если несколько раз обновить, страница загружается. игрался с
>>mtu, ip tcp synwait-time,bandwidth, но без успешно... вот кусок кофига:
>>
>>vpdn enable
>>vpdn session-limit 1400
>>!
>>vpdn-group 1
>>! Default PPTP VPDN group
>> accept-dialin
>> protocol pptp
>> virtual-template 1
>>!
>>
>>interface GigabitEthernet0/0
>> description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_LAN$$ETH-LAN$$FW_INSIDE$
>> bandwidth 30000
>> ip address 172.16.111.111 255.255.0.0
>> ip access-group 100 in
>> no ip redirects
>> ip nat inside
>> ip virtual-reassembly
>> delay 1000
>> duplex auto
>> speed auto
>> no mop enabled
>>!
>>interface GigabitEthernet0/1
>> description $ES_WAN$$FW_OUTSIDE$$ETH-WAN$
>> bandwidth 30000
>> ip address xx.xx.xx.xx 255.255.255.240
>> ip access-group 101 in
>> no ip redirects
>> ip nat outside
>> ip inspect DEFAULT100 out
>> ip virtual-reassembly
>> delay 1000
>> duplex auto
>> speed auto
>> no mop enabled
>>!
>>interface Virtual-Template1
>> bandwidth 30000
>> ip unnumbered GigabitEthernet0/0
>> no ip redirects
>> ip nat inside
>> ip virtual-reassembly
>> delay 1000
>> autodetect encapsulation ppp
>> no peer defau lt ip address
>> ppp authentication ms-chap-v2 chap
>
>
>Аналогичная проблема -- на с2801...
>кто-то поможет ???

попробуй отключи firewall no ipspect ..

"Проблема с Cisco 2851"
Отправлено Сашка , 31-Май-07 23:48

>>>Столкнулся с проблемой при настройки pptp-сервера на cisco 2851 c модулем AIM-EPII-PLUS.
>>>VPN доступ клиентов. При одновременном подключение более 20 человек, могут не
>>>отобраться(соединение было сброшено сервером) или неправильно погружаться страницы(сбиваются стили,не грузятся картинки
>>>и пр.), причем если несколько раз обновить, страница загружается. игрался с
>>>mtu, ip tcp synwait-time,bandwidth, но без успешно... вот кусок кофига:
>>>
>>>vpdn enable
>>>vpdn session-limit 1400
>>>!
>>>vpdn-group 1
>>>! Default PPTP VPDN group
>>> accept-dialin
>>> protocol pptp
>>> virtual-template 1
>>>!
>>>
>>>interface GigabitEthernet0/0
>>> description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_LAN$$ETH-LAN$$FW_INSIDE$
>>> bandwidth 30000
>>> ip address 172.16.111.111 255.255.0.0
>>> ip access-group 100 in
>>> no ip redirects
>>> ip nat inside
>>> ip virtual-reassembly
>>> delay 1000
>>> duplex auto
>>> speed auto
>>> no mop enabled
>>>!
>>>interface GigabitEthernet0/1
>>> description $ES_WAN$$FW_OUTSIDE$$ETH-WAN$
>>> bandwidth 30000
>>> ip address xx.xx.xx.xx 255.255.255.240
>>> ip access-group 101 in
>>> no ip redirects
>>> ip nat outside
>>> ip inspect DEFAULT100 out
>>> ip virtual-reassembly
>>> delay 1000
>>> duplex auto
>>> speed auto
>>> no mop enabled
>>>!
>>>interface Virtual-Template1
>>> bandwidth 30000
>>> ip unnumbered GigabitEthernet0/0
>>> no ip redirects
>>> ip nat inside
>>> ip virtual-reassembly
>>> delay 1000
>>> autodetect encapsulation ppp
>>> no peer defau lt ip address
>>> ppp authentication ms-chap-v2 chap
>>
>>
>>Аналогичная проблема -- на с2801...
>>кто-то поможет ???
>
>
>попробуй отключи firewall no ipspect ..

spect вообще на сколько мне известно относится к CBAC. и конфигуации не того не иного нет.

"Проблема с Cisco 2851"
Отправлено JackK , 01-Июн-07 00:00

>>>>Столкнулся с проблемой при настройки pptp-сервера на cisco 2851 c модулем AIM-EPII-PLUS.
>>>>VPN доступ клиентов. При одновременном подключение более 20 человек, могут не
>>>>отобраться(соединение было сброшено сервером) или неправильно погружаться страницы(сбиваются стили,не грузятся картинки
>>>>и пр.), причем если несколько раз обновить, страница загружается. игрался с
>>>>mtu, ip tcp synwait-time,bandwidth, но без успешно... вот кусок кофига:
>>>>
>>>>vpdn enable
>>>>vpdn session-limit 1400
>>>>!
>>>>vpdn-group 1
>>>>! Default PPTP VPDN group
>>>> accept-dialin
>>>> protocol pptp
>>>> virtual-template 1
>>>>!
>>>>
>>>>interface GigabitEthernet0/0
>>>> description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_LAN$$ETH-LAN$$FW_INSIDE$
>>>> bandwidth 30000
>>>> ip address 172.16.111.111 255.255.0.0
>>>> ip access-group 100 in
>>>> no ip redirects
>>>> ip nat inside
>>>> ip virtual-reassembly
>>>> delay 1000
>>>> duplex auto
>>>> speed auto
>>>> no mop enabled
>>>>!
>>>>interface GigabitEthernet0/1
>>>> description $ES_WAN$$FW_OUTSIDE$$ETH-WAN$
>>>> bandwidth 30000
>>>> ip address xx.xx.xx.xx 255.255.255.240
>>>> ip access-group 101 in
>>>> no ip redirects
>>>> ip nat outside
>>>> ip inspect DEFAULT100 out
>>>> ip virtual-reassembly
>>>> delay 1000
>>>> duplex auto
>>>> speed auto
>>>> no mop enabled
>>>>!
>>>>interface Virtual-Template1
>>>> bandwidth 30000
>>>> ip unnumbered GigabitEthernet0/0
>>>> no ip redirects
>>>> ip nat inside
>>>> ip virtual-reassembly
>>>> delay 1000
>>>> autodetect encapsulation ppp
>>>> no peer defau lt ip address
>>>> ppp authentication ms-chap-v2 chap
>>>
>>>
>>>Аналогичная проблема -- на с2801...
>>>кто-то поможет ???
>>
>>
>>попробуй отключи firewall no ipspect ..
>
>
>spect вообще на сколько мне известно относится к CBAC. и конфигуации не
>того не иного нет.

конфиг.. гдето читал в студию)

"Проблема с Cisco 2851"
Отправлено JackK , 01-Июн-07 00:02

у меня вылечилось отключением inspect (но советую убрать искуственные bandwith,delay, и прочие),но прибавилось очень странная загрузка)

"Проблема с Cisco 2851"
Отправлено Crusader , 16-Авг-07 09:53

Столкнулся с аналогичной проблемой с той же железкой Cisco 2851
Проблема действительно кроется в инспектировании
Обратим внимание на 5-ю строчку: max-incomplete tcp connections per host is 50.
gw#sh ip inspect config
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [400:500] connections
max-incomplete sessions thresholds are [400:500]
max-incomplete tcp connections per host is 50. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name visor
    ftp alert is on audit-trail is off timeout 3600
    ssh alert is on audit-trail is off timeout 30
    telnet alert is on audit-trail is off timeout 3600
    smtp max-data 20000000 alert is on audit-trail is off timeout 3600
    tftp alert is on audit-trail is off timeout 30
    http alert is on audit-trail is off timeout 3600
    pop3 alert is on audit-trail is off timeout 3600
    imap alert is on audit-trail is off timeout 3600
    ldap alert is on audit-trail is off timeout 3600
    https alert is on audit-trail is off timeout 3600
    tcp alert is on audit-trail is off timeout 3600
    udp alert is on audit-trail is off timeout 30
    icmp alert is on audit-trail is off timeout 10
Если за циской стоит прокси-сервер, то ничего удивительного в том, что циска "рубит" соединения нет. При большом количестве пользователей и в пиковые нагрузки число неустановленных сессий легко может превысить значение по умолчанию.
Решение простое:
gw#configure terminal
gw(config)#ip inspect tcp max-incomplete host 1000
Значение может лежать в диапазоне <1-2^32>. Но "задирать" его все-таки не стоит...