URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17473
[ Назад ]

Исходное сообщение
"Проблемы с доступом в Интернет через Cisco 2821"

Отправлено AndreyKa , 29-Окт-08 09:34 
Здравствуйте!

Сеть из примерно 100 компьютеров имеет выход в Инет через маршрутизатор 2821. Все компы с реальными адресами. Нет NAT-а.
Рано утром, поздно вечером и в выходные дни Интернет работает нормально.
Однако в будние дни в рабочие часы, наблюдается такая ситуация:
1. Канал Интернет не загружен (загружен на 30%), нет пиков (собираю NetFlow).
2. Процессор (show proc cpu) не загружен (3-6%)
3. Ping ходит куда угодно быстро и надежно
4. Однако при попытке открытия web-страницы происходит следующее: страница либо открывается за считанные секунды, либо открывается частично (например текст показывает а картинки - нет), либо вообще не открывается, висит, однако многократное нажатие Refresh иногда приводит к успешному открытию.
5. Одновременно с тем, что не открываются страницы, закачка файлов из инета, н-р, DownloadMaster-ом происходит на высокой скорости.
6. Ping пакетами больше стандартных начинает затыкаться (1501 байт) - появляются потери.
7. На 2821 появляется много записей dstif NULL при show ip cache flow
8. на циске нет потерянных пакетов, дропов

Я думал, что проблема с фрагментацией где-то у провайдера, однако они мне говорят - парисылайте нам результат команды ping стандартными пакетами до их тестовой точки. Эти пинги прекрасно проходят, в ответ на что провайдер говорит - проблемы у вас, ищите.
Все само собой рассасывается к вечеру без всяких перезагрузок маршрутизатора.

Искать причину проблемы замучался,
подскажите, кто знает, в чем может быть проблема?



Содержание

Сообщения в этом обсуждении
"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено KiM , 29-Окт-08 09:57 
>[оверквотинг удален]
>8. на циске нет потерянных пакетов, дропов
>
>Я думал, что проблема с фрагментацией где-то у провайдера, однако они мне
>говорят - парисылайте нам результат команды ping стандартными пакетами до их
>тестовой точки. Эти пинги прекрасно проходят, в ответ на что провайдер
>говорит - проблемы у вас, ищите.
>Все само собой рассасывается к вечеру без всяких перезагрузок маршрутизатора.
>
>Искать причину проблемы замучался,
>подскажите, кто знает, в чем может быть проблема?

конфиг в студию


"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено AndreyKa , 29-Окт-08 10:45 
>[оверквотинг удален]
>>Я думал, что проблема с фрагментацией где-то у провайдера, однако они мне
>>говорят - парисылайте нам результат команды ping стандартными пакетами до их
>>тестовой точки. Эти пинги прекрасно проходят, в ответ на что провайдер
>>говорит - проблемы у вас, ищите.
>>Все само собой рассасывается к вечеру без всяких перезагрузок маршрутизатора.
>>
>>Искать причину проблемы замучался,
>>подскажите, кто знает, в чем может быть проблема?
>
>конфиг в студию

Current configuration : 11511 bytes
!
! Last configuration change at 14:44:48 Moscow Mon Oct 27 2008 by rcwdp
! NVRAM config last updated at 07:25:47 Moscow Fri Oct 24 2008 by rcwdp
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname MROUTE-2821
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
no logging console
no logging monitor
enable secret 5 $1$lNfX61
!
no aaa new-model
!
resource policy
!
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
no network-clock-participate wic 0
no network-clock-participate wic 1
ip subnet-zero
no ip source-route
!
!
ip cef
ip inspect audit-trail
ip inspect tcp max-incomplete host 50 block-time 10
ip inspect name ethernetin tcp timeout 3600
ip inspect name ethernetin udp timeout 15
ip inspect name ethernetin fragment maximum 256 timeout 1
ip inspect name ethernetin ftp
!
!
ip flow-cache timeout active 1
ip domain name rcwdp.ru
ip name-server 195.222.161.xxx
!
!
!
crypto pki trustpoint TP-self-signed-184883241
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-184883241
revocation-check none
rsakeypair TP-self-signed-184883241
!
!
crypto pki certificate chain TP-self-signed-184883241
certificate self-signed 01
   BE44F5D1 2F73D98B 4615633B A635F546 B88FEB0B F99534A0 79385E61 1679FDC4
  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  96722532 09FD4331 DB07C78B 2C8BDB4D BBE3633C 1442FB67 B625210B 79A8FC86
  717295D0 F0FC0B81 2B815E85 1E6BEAFA 35D0C761 41397F51 67A526FE D4BB0C37
  
quit
username xxxx privilege 15 secret 5 xxxxxxxxxxxx
username xxxxxx privilege 15 secret 5 xxxxxxxxxxx
!
!
controller E1 0/0/0
framing NO-CRC4
channel-group 1 timeslots 1-2
channel-group 10 timeslots 3-31
!
controller E1 0/1/0
!
!
crypto isakmp policy 1
authentication pre-share
group 2
crypto isakmp key ptc-2-mscw address xxx.xxx.xxx.xxx
!
!
crypto ipsec transform-set data_encryption_transport esp-des esp-sha-hmac
mode transport
!
crypto map data_encryption local-address GigabitEthernet0/1
crypto map data_encryption 29000 ipsec-isakmp
set peer xxxxx
set security-association lifetime seconds 86400
set transform-set data_encryption_transport
set pfs group2
match address ptc
!
buffers small permanent 150
buffers middle permanent 120
buffers middle initial 120
buffers big permanent 90
!
!
interface Tunnel29000
description PTC to Moscow VPN Tunnel (encrypted)
bandwidth 2048
ip address xxx 255.255.255.252
ip access-group Allow_To_PTC out
ip mtu 1440
ip tcp adjust-mss 1300
tunnel source GigabitEthernet0/1
tunnel destination xxxxxxxxx
tunnel path-mtu-discovery
crypto map data_encryption
!
interface Loopback0
ip address 192.168.xxx.xxx 255.255.255.255
!
interface GigabitEthernet0/0
description Moscow Office LAN$ETH-LAN$
ip address xxx 255.255.255.0
ip access-group OUTGOING in
ip inspect ethernetin in
ip route-cache flow
duplex auto
speed auto
!
interface GigabitEthernet0/1
description 3 Mbps Internet Link via GoldenTelecom
bandwidth 3072
ip address xxx 255.255.255.252
ip access-group INCOMING in
ip access-group 10 out
ip route-cache flow
duplex full
speed auto
crypto map data_encryption
max-reserved-bandwidth 100
!
interface Serial0/0/0:1
no ip address
shutdown
!
interface Serial0/0/0:10
description Old 1852 Kbps Internet Link via 3C-Russia
no ip address
shutdown
no cdp enable
max-reserved-bandwidth 100
!
router eigrp 77
passive-interface GigabitEthernet0/1
network 192.168.xxx
network 195.222.xxx
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 195.222.161.45
ip route 172.20.22.0 255.255.255.0 192.168.29.1
ip route 172.21.198.0 255.255.255.0 192.168.29.1
ip route 172.21.220.0 255.255.255.0 192.168.29.1
ip route 206.219.240.0 255.255.255.0 192.168.29.1
ip route 206.219.255.144 255.255.255.255 195.222.161.45
ip flow-export version 9
ip flow-export destination xxx 9996
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list standard REDISTRIBUTE
deny   195.222.161.46
!
ip access-list extended Allow_To_PTC
xxxxxxxxxxxxxx
snmp-server community public RO
snmp-server ifindex persist
snmp-server enable traps tty
!
!
control-plane
!
!

line con 0
login local
line aux 0
line vty 0 4
exec-timeout 0 0
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
ntp clock-period 17180118
ntp update-calendar
ntp server xxx
!
end


"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено GolDi , 29-Окт-08 11:04 
>[оверквотинг удален]
> privilege level 15
> login local
> transport input telnet
>!
>scheduler allocate 20000 1000
>ntp clock-period 17180118
>ntp update-calendar
>ntp server xxx
>!
>end

Затыкается где в туннеле или на интерфейсе?
И зачем шифровать на интерфейсе?


"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено FreeZz79 , 29-Окт-08 10:23 
Петли в сети? Сеть сегментирована, те не класса С /24? Могут быть проблемы из-за windows компьютеров - сеть задыхается. Смотри на коммутаторах ошибки, коллизии пакетов.

"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено AndreyKa , 29-Окт-08 10:46 
>Петли в сети? Сеть сегментирована, те не класса С /24? Могут быть
>проблемы из-за windows компьютеров - сеть задыхается. Смотри на коммутаторах ошибки,
>коллизии пакетов.

чем лучше смотреть?


"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено AndreyKa , 29-Окт-08 10:56 
>>Петли в сети? Сеть сегментирована, те не класса С /24? Могут быть
>>проблемы из-за windows компьютеров - сеть задыхается. Смотри на коммутаторах ошибки,
>>коллизии пакетов.
>
>чем лучше смотреть?

коммутаторы Cisco 3750.
петель нет.
Сеть xxx.xxx.xxx.0


"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено FreeZz79 , 29-Окт-08 11:03 
На 2821 IOS версии какой?

"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено AndreyKa , 29-Окт-08 12:11 
>На 2821 IOS версии какой?

12.4(1r)


"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено rigger , 29-Окт-08 14:06 
Если трафик идет в тоннель, то скорее всего проблема в mtu ( так бывает когда страницы то открываются то нет). попробовать сказать на обоих концах тоннеля ip mtu 1500 например .;
если же нет то надо упрощать конфигурацию например ip inspect поставить в default, отключить ipsec на интерфесах, поглядеть маршрутизацию;

"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено AndreyKa , 29-Окт-08 14:48 
>Если трафик идет в тоннель, то скорее всего проблема в mtu (
>так бывает когда страницы то открываются то нет). попробовать сказать на
>обоих концах тоннеля ip mtu 1500 например .;
>если же нет то надо упрощать конфигурацию например ip inspect поставить в
>default, отключить ipsec на интерфесах, поглядеть маршрутизацию;

Не, интернетовский трафик ходит не через тоннель.


"Проблемы с доступом в Интернет через Cisco 2821"
Отправлено AndreyKa , 30-Окт-08 06:31 
>>>Петли в сети? Сеть сегментирована, те не класса С /24? Могут быть
>>>проблемы из-за windows компьютеров - сеть задыхается. Смотри на коммутаторах ошибки,
>>>коллизии пакетов.
>>
>>чем лучше смотреть?
>
>коммутаторы Cisco 3750.
>петель нет.
>Сеть xxx.xxx.xxx.0

debug чего делать?