URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14671
[ Назад ]

Исходное сообщение
"Несколько ipsec с динамическими peer'ами"
Отправлено Kostia , 16-Окт-07 12:21

Здравствуйте,Уважаемые,помогите советами.
Имеется  сеть на базе DLink DI-804HV со стороны филиалов и Cisco    на центральном узле. Филиалы имеют динамические ИПы, а центральный офис - статический. Проблема в том,что при подключении одного-двух-трех офисов все нормально,когда же включаются еще 7-10 филиалов- все эти 10-13 офисов   начинают подвисать,причем так что 5 более-менее с задержками,а еще 8 вообще не пингуют центральный узел,потом другие 3 работают ,а остальные-нет и т.д ,т.е Циска эту удаленную сеть как бы перекидывает на каждый туннель в отдельности(пробовали разбивать на подсети - безрезультатно).В центре сеть 10.14.1.64 255.255.255.192,в удаленных офисах сеть на всех 10.14.6.0 255.255.255.0
Циско центр конфиг:
Current configuration : 5598 bytes
!
! Last configuration change at 13:46:09 ATA Tue Oct 16 2007 by astal
!
version 12.4
...
crypto keyring vpncli
  pre-shared-key address 0.0.0.0 0.0.0.0 key *******
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
crypto isakmp key ******* address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set vpnset esp-des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set vpnset
match address 140
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface Loopback0
ip address 10.14.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
shutdown
!
interface FastEthernet0
switchport access vlan 2
!
interface FastEthernet1
description LAN
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description WAN
ip address 88.88.88.90 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map mymap
!
interface Virtual-Template1
ip unnumbered FastEthernet4
no ip proxy-arp
peer default ip address pool TESTWIMAX
ppp authentication pap
!
interface Vlan1
description LAN
ip address 192.168.0.1 255.255.255.0 secondary
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Vlan2
ip address 10.14.1.91 255.255.255.192
!
interface Vlan3
no ip address
!
ip route 0.0.0.0 0.0.0.0 88.88.88.89
ip route 10.6.2.0 255.255.255.0 10.14.1.100
ip route 10.13.1.0 255.255.255.0 10.14.1.100
ip route 10.14.2.0 255.255.255.0 10.14.1.100
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list Nated-routes interface FastEthernet4 overload
!
ip access-list extended Nated-routes
deny   ip host 192.168.1.17 host 192.168.1.1
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.0.0 0.0.0.255 any
deny   ip any any
!
access-list 23 permit 88.88.148.14
access-list 23 permit 88.88.158.78
access-list 23 permit 82.88.134.121
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 140 permit ip 10.14.6.0 0.0.0.255 any
access-list 140 permit ip any 10.14.6.0 0.0.0.255
access-list 141 permit ip 192.168.10.0 0.0.0.255 any
access-list 141 permit ip any 192.168.10.0 0.0.0.255
access-list 141 deny   ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
logging synchronous
line vty 0 4
access-class 23 in
privilege level 15
transport input telnet ssh
!
scheduler max-task-time 5000
ntp clock-period 17175121
ntp server 129.12.1.66
ntp server 130.20.244.240
ntp server 192.58.41.209
end
вот несколько сессий

Interface: FastEthernet4
Session status: UP-ACTIVE
Peer: 88.204.179.61 port 500
  IKE SA: local 88.88.88.90/500 remote 88.204.179.61/500 Active
  IPSEC FLOW: permit ip 10.0.0.0/255.0.0.0 10.14.6.0/255.255.255.0
        Active SAs: 2, origin: dynamic crypto map
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 88.204.179.70 port 500
  IKE SA: local 88.88.88.90/500 remote 88.204.179.70/500 Active
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 89.218.69.117 port 500
  IKE SA: local 88.88.88.90/500 remote 89.218.69.117/500 Active
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 88.204.198.197 port 500
  IKE SA: local 88.88.88.90/500 remote 88.204.198.197/500 Active
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 89.218.96.231 port 500
  IKE SA: local 88.88.88.90/500 remote 89.218.96.231/500 Active
  IKE SA: local 88.88.88.90/500 remote 89.218.96.231/500 Inactive
т.е. 4 из них работают с задержками(а первая норм)

а вот они же через 30 сек

Interface: FastEthernet4
Session status: UP-ACTIVE
Peer: 88.204.179.70 port 500
  IKE SA: local 88.88.88.90/500 remote 88.204.179.70/500 Active
  IPSEC FLOW: permit ip 10.0.0.0/255.0.0.0 10.14.6.0/255.255.255.0
        Active SAs: 2, origin: dynamic crypto map
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 88.204.179.61 port 500
  IKE SA: local 88.88.88.90/500 remote 88.204.179.61/500 Active
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 89.218.69.117 port 500
  IKE SA: local 88.88.88.90/500 remote 89.218.69.117/500 Active
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 88.204.198.197 port 500
  IKE SA: local 88.88.88.90/500 remote 88.204.198.197/500 Active
Interface: FastEthernet4
Session status: UP-IDLE
Peer: 89.218.96.231 port 500
  IKE SA: local 88.88.88.90/500 remote 89.218.96.231/500 Active
  IKE SA: local 88.88.88.90/500 remote 89.218.96.231/500 Inactive
Подскажите в чем может быть проблемка

Содержание

Несколько ipsec с динамическими peer'ами,Kostia, 11:41 , 17-Окт-07
- Несколько ipsec с динамическими peer'ами,Kostia, 15:22 , 19-Окт-07
Несколько ipsec с динамическими peer'ами,Andrew, 15:54 , 30-Дек-08

Сообщения в этом обсуждении

"Несколько ipsec с динамическими peer'ами"
Отправлено Kostia , 17-Окт-07 11:41

нужна помощь помогите разобраться ПОЖАЛУЙСТА!!!!!

"Несколько ipsec с динамическими peer'ами"
Отправлено Kostia , 19-Окт-07 15:22

Ребят ,ну посоветуйте какой-нибудь вариант решения

"Несколько ipsec с динамическими peer'ами"
Отправлено Andrew , 30-Дек-08 15:54

НУ что разобрался?