Всем привет!!!
До вчерашнего дня имели сеть,  смаршрутизированную провайдером к нам, в которой находилась циска, она держала ипсек с другим городом, там стоял д-линк. ипсек работал идеально, всех все устраивало. Вчера перенесли циску на границу подключения к провайдеру без смены адресации на циске(так поменяли схему подключения к провайдеру, иными словами всего лишь избавились от лишнего хопа в маршрутизации). т.е. ни на той. ни на другой стороне настройки ипсек вообще не меняли. в итоге в ипсеке при тестировании пингами - 50% потеря пакетов. один пинг проходит, второй - нет. внешний адрес того д-линка виден, никаких потерь, ипсек сессия не сбрасывается, постоянно находится в апе. Люди добрые, подскажите плиз, в чем может быть проблема, кто встречался с подобным?

• потеря пакетов в ipsec тунеле,lumenous, 17:11 , 08-Сен-10
  • потеря пакетов в ipsec тунеле,zzzzzak, 08:15 , 09-Сен-10
    • потеря пакетов в ipsec тунеле,zxc, 09:19 , 09-Сен-10
      • потеря пакетов в ipsec тунеле,zzzzzak, 10:30 , 09-Сен-10
        • потеря пакетов в ipsec тунеле,BJ, 13:35 , 09-Сен-10
          • потеря пакетов в ipsec тунеле,zzzzzak, 16:01 , 09-Сен-10
            • потеря пакетов в ipsec тунеле,zxc, 05:42 , 10-Сен-10
              • потеря пакетов в ipsec тунеле,zxc, 05:43 , 10-Сен-10
                • потеря пакетов в ipsec тунеле,zzzzzak, 12:49 , 10-Сен-10
                  • потеря пакетов в ipsec тунеле,BJ, 13:26 , 10-Сен-10
                    • потеря пакетов в ipsec тунеле,zzzzzak, 16:41 , 10-Сен-10
                      • потеря пакетов в ipsec тунеле,BJ, 16:57 , 10-Сен-10
                        • потеря пакетов в ipsec тунеле,AlexDv, 17:02 , 10-Сен-10
                          • потеря пакетов в ipsec тунеле,zzzzzak, 09:59 , 13-Сен-10
                      • потеря пакетов в ipsec тунеле,Serb, 11:52 , 13-Сен-10
                        • потеря пакетов в ipsec тунеле,zzzzzak, 16:55 , 13-Сен-10
                          • потеря пакетов в ipsec тунеле,BJ, 21:25 , 13-Сен-10

>[оверквотинг удален]
>находилась циска, она держала ипсек с другим городом, там стоял д-линк.
>ипсек работал идеально, всех все устраивало. Вчера перенесли циску на границу
>подключения к провайдеру без смены адресации на циске(так поменяли схему подключения
>к провайдеру, иными словами всего лишь избавились от лишнего хопа в
>маршрутизации). т.е. ни на той. ни на другой стороне настройки ипсек
>вообще не меняли. в итоге в ипсеке при тестировании пингами -
>50% потеря пакетов. один пинг проходит, второй - нет. внешний адрес
>того д-линка виден, никаких потерь, ипсек сессия не сбрасывается, постоянно находится
>в апе. Люди добрые, подскажите плиз, в чем может быть проблема,
>кто встречался с подобным?

Стабильно пинг идет через раз? То есть это не совпадение а системно?
Если так, то возможно где то по середине есть два маршрута с равной метрикой и роутер их чередует, в то время как правильным является только один маршрут.

Дело в том,что внешний адрес той стороны стабильно доступен. На конечных точках дублирования маршрутов точно нет - по предыдущей схеме с лишним хопом же все работало без потерь. Я уже голову сломал, что может быть. Вот посмотрите, как работает трейс:

Трассировка маршрута к 192.168.0.3 с максимальным числом прыжков 30

  1    18 ms     1 ms     1 ms  192.168.21.9
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *       39 ms     *     192.168.0.3
  5    39 ms     *       39 ms  192.168.0.3

Почему достигнув конечной точки трейс опять на нее прыгает?

Попробуйте на время отключить ip cef и проверьте, ушла ли проблема.

Ну, и конфиг касательно IPSEC приведите, пожалуйста, с маршрутами на удаленную сеть.

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key KEY address ADDRESS
!
!
crypto ipsec transform-set SET esp-3des esp-sha-hmac
!
!
crypto map MAP 10 ipsec-isakmp
set peer ADDRESS
description IPSEC_CISCO_DLINK
set transform-set SET
match address IPSEC

ip access-list extended IPSEC
permit ip 192.168.21.0 0.0.0.255 192.168.0.0 0.0.0.255

interface FastEthernet2/1
ip address 192.168.21.9
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip mroute-cache
shutdown
duplex auto
speed auto
no cdp enable
crypto map MAP

ip route ADDRESS 255.255.255.255 PROVIDER
ip route 192.168.0.0 255.255.255.0 FastEthernet2/1

Соответственно, ADDRESS и PROVIDER - это внешний адрес на той стороне и адрес на стороне провайдера.

>ip route 192.168.0.0 255.255.255.0 FastEthernet2/1

замените на
ip route 192.168.0.0 255.255.255.0 PROVIDER

где вы только такой синкаксис находите

дело то не в синтаксисе, а в нахождении причины потери пакетов!!!

Вы ip cef отключили? Какие результаты?

строку
ip route 192.168.0.0 255.255.255.0 FastEthernet2/1
замените на
ip route 192.168.0.0 255.255.255.0 192.168.0.x (это внутренний адрес удаленной железки)

кстати, почему у вас интерфейс FastEthernet2/1 в shutdown?

>кстати, почему у вас интерфейс FastEthernet2/1 в shutdown?

Ошибка правки конфига

Всем спасибо, отключил cef на интерфейсе к провайдеру - все заработало на ура!!!!
Огромное всем спасибо!!!

а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?

>Всем спасибо, отключил cef на интерфейсе к провайдеру - все заработало на
>ура!!!!
>Огромное всем спасибо!!!

>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?

Да! Я думаю, это нормальная практика

>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?
>
>Да! Я думаю, это нормальная практика

Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете  почему у Вас не работал CEF.

>>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?
>>
>>Да! Я думаю, это нормальная практика
>
>Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете  почему
>у Вас не работал CEF.

И еще интересно посмотреть на загрузку CPU после выключения CEF.

>>Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете  почему
>>у Вас не работал CEF.

Там мак интерфейса на стороне провайдера. А что-то еще должно быть? Кстати, действительно, каково теоретическое объяснения неработы cef?

>И еще интересно посмотреть на загрузку CPU после выключения CEF.

9%

>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?
>
>Да! Я думаю, это нормальная практика

prekratite "dumat" i slushaite chto vam govoryat
sdelaite noramlnii default marshrut i vkluchite cef a potom pochitaite teoriuu pochemu vsetaki tak dolzhno bit!

написал маршрут на уделенную сеть через хоп провайдера - cef заработал корректно. Но что то я про cef исчерпывающей информации не могу найти, все что то вкратце написано, поэтому не могу понять причину потери пакетов, как это связано с написанием маршрутом через интерфейс, а не через адрес?

Если на пальцах, у тебя обработка всех пакетов на сеть 192.168.0.0 шла через ARP таблицу.