URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22098
[ Назад ]

Исходное сообщение
"Потеря пакетов IPSEC"

Отправлено pahan_ , 31-Дек-10 14:37 
Добрый день! Всех с наступающим 2011г.!
Помогите разобраться с "новогодней" проблемой, которая уже извлекла:
Есть циска 2811 в головном офисе на ней много туннелей (GRE+IPsec)
с филиалами (локальные адреса 10.х.х.х), в которых разнообразное оборудование
(в основном циски). Провайдер нам предоставляет СПД с "серыми" (172.16.х.х) адресам
все работало норма до последнего времени.

С некоторых пор в одном офисе (там Cisco 1841) происходят потери пакетов, причем если пинговать "внешние" адреса то все просто отлично:
#ping 172.16.2.1 rep 300
Type escape sequence to abort.
Sending 300, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (300/300), round-trip min/avg/max = 36/38/52 ms

если пинговать локальные адреса через туннель то вот такая картина:
ping 10.0.2.1 rep 300

Type escape sequence to abort.
Sending 300, 100-byte ICMP Echos to 10.0.2.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!....!!!!!!!!!!!!!!!!!!!!!!!..
...!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 96 percent (290/300), round-trip min/avg/max = 36/40/60 ms

Иногда туннель на некоторое время вообще перестает работать. Работать в том офисе просто невозможно в связи с этим.

С чем проблема может быть? У провайдера? Циска 1841 сломанная?

конфиги такие:
в доп.офисе (Cisco 1841)
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key qqqqqqq address 172.16.0.1
!
!
crypto ipsec transform-set qqq esp-3des esp-sha-hmac
mode transport
!
crypto map qqq 1 ipsec-isakmp
set peer 172.16.0.1
set transform-set qqq
match address 151

interface Tunnel0
ip unnumbered FastEthernet0/0
no ip proxy-arp
ip mtu 1440
no ip mroute-cache
tunnel source FastEthernet0/1
tunnel destination 172.16.0.1
crypto map qqq
!
interface FastEthernet0/0
ip address 10.0.2.1 255.255.255.0
ip helper-address 10.0.0.10
no ip mroute-cache
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.16.2.1 255.255.255.0
no ip mroute-cache
duplex auto
speed auto
crypto map qqq

router ospf 1
log-adjacency-changes
network 10.0.0.0 0.255.255.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 172.16.0.0 255.255.0.0 172.16.2.254
!
access-list 151 permit gre host 172.16.2.1 host 172.16.0.1
-----------------------------------------------------------
В головном (Cisco 2811 - таких туннелей там много и все ок)
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
crypto isakmp key qqqqqqq address 172.16.2.1

crypto map qqq 2 ipsec-isakmp
set peer 172.16.2.1
set transform-set strong
match address 102

interface Tunnel2
ip unnumbered FastEthernet0/0
no ip proxy-arp
ip mtu 1440
no ip mroute-cache
tunnel source FastEthernet0/1
tunnel destination 172.16.2.1
crypto map qqq
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
ip ospf priority 100
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 172.16.0.1 255.255.255.0
duplex auto
speed auto
crypto map qqq

router ospf 1
log-adjacency-changes
network 10.0.0.0 0.255.255.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.2
ip route 172.16.0.0 255.255.0.0 172.16.0.254
!
access-list 102 permit gre host 172.16.0.1 host 172.16.2.1


Содержание

Сообщения в этом обсуждении
"Потеря пакетов IPSEC"
Отправлено Aquarius , 31-Дек-10 14:53 
> Добрый день! Всех с наступающим 2001г.!

Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011 наступает


"Потеря пакетов IPSEC"
Отправлено pahan_ , 31-Дек-10 14:56 
>> Добрый день! Всех с наступающим 2001г.!
> Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011
> наступает

Сегодня у меня нет чувства юмора.
Просто опечатка, поправил.


"Потеря пакетов IPSEC"
Отправлено darksid , 31-Дек-10 18:13 
>>> Добрый день! Всех с наступающим 2001г.!
>> Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011
>> наступает
> Сегодня у меня нет чувства юмора.
> Просто опечатка, поправил.

лучше лог предоставьте,  оно интересней будет


"Потеря пакетов IPSEC"
Отправлено Al1966 , 03-Янв-11 21:05 
>> Добрый день! Всех с наступающим 2001г.!
> Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011
> наступает

И ещё вопрос, если вы  ospf используете, зачем статические маршруты туда же прописываете? У Вас в сетке случайно нет одинаковых подсетей? Может traceroute попробовать? Или sh ip route, вдруг что меняется время от времени.


"Потеря пакетов IPSEC"
Отправлено Al1966 , 03-Янв-11 20:53 
> Добрый день! Всех с наступающим 2011г.!
> Помогите разобраться с "новогодней" проблемой, которая уже извлекла:
> Есть циска 2811 в головном офисе на ней много туннелей (GRE+IPsec)

А какая загрузка этой 2811 циски? (sh proc) Например нам пришлось перейти на 3845, т.к. 2811 уже не справлялась? Более 3,5Мбит IPSEC трафика и всё, задыхалась.


"Потеря пакетов IPSEC"
Отправлено pahan_ , 03-Янв-11 23:48 
> А какая загрузка этой 2811 циски? (sh proc) Например нам пришлось перейти
> на 3845, т.к. 2811 уже не справлялась? Более 3,5Мбит IPSEC трафика
> и всё, задыхалась.

Да никакая загрузка
например в данный момент:

CPU utilization for five seconds: 0%/0%; one minute: 1%; five minutes: 1%

(выходной типа, трафик минимальный)
и все равно именно этот 1 конкретный туннель теряет пакеты.

> И ещё вопрос, если вы  ospf используете, зачем статические маршруты туда же прописываете?
> У Вас в сетке случайно нет одинаковых подсетей? Может traceroute попробовать? Или sh ip > route, вдруг что меняется время от времени.

ммм... нет у меня статических маршрутов "туда же"...
на 2811 (в ЦО) для 10.0.2.0 статического маршрута нет
на 1841 (в отделении) есть только default route на туннель, т.к. требуется маршруты
не только в 10.х.х.х но и в инет кое-когда.

Вот только сейчас смотрел на 2811:
туннель в очередной раз затупил, маршрут в 10.0.2.0 вообще исчез!
потом его отпустило и он появился как и положено:
#sh ip route 10.0.2.0
Routing entry for 10.0.2.0/24
  Known via "ospf 1", distance 110, metric 11121, type intra area
  Last update from 10.0.2.1 on Tunnel2, 00:00:19 ago
  Routing Descriptor Blocks:
  * 10.0.2.1, from 172.16.2.1, 00:00:19 ago, via Tunnel2
      Route metric is 11121, traffic share count is 1

через минуту опять:
#sh ip route 10.0.2.0
% Subnet not in table

Что еще посмотреть я просто не знаю. В логах ничего....


"Потеря пакетов IPSEC"
Отправлено darksid , 04-Янв-11 11:18 
>[оверквотинг удален]
> area
>   Last update from 10.0.2.1 on Tunnel2, 00:00:19 ago
>   Routing Descriptor Blocks:
>   * 10.0.2.1, from 172.16.2.1, 00:00:19 ago, via Tunnel2
>       Route metric is 11121, traffic share
> count is 1
> через минуту опять:
> #sh ip route 10.0.2.0
> % Subnet not in table
> Что еще посмотреть я просто не знаю. В логах ничего....

а на транспорте между хостами потерь нет? время замены ключа одно?


"Потеря пакетов IPSEC"
Отправлено pahan_ , 04-Янв-11 16:02 
>  а на транспорте между хостами потерь нет? время замены ключа одно?

время замены нигде явно не задано - надо думать значение по умолчанию одинаково.
сейчас провел эксперимент:
грохнул криптомап для этого узла с обоих концов, оставив чистый туннель gre без
шифрования - все замечательно! никаких потерь!

проблема именно с ipsec. может у провайдера как-то ipsec трафик обрабатываться?


"Потеря пакетов IPSEC"
Отправлено plohish , 04-Янв-11 10:22 
>> Добрый день! Всех с наступающим 2011г.!
>> Помогите разобраться с "новогодней" проблемой, которая уже извлекла:
>> Есть циска 2811 в головном офисе на ней много туннелей (GRE+IPsec)
> А какая загрузка этой 2811 циски? (sh proc) Например нам пришлось перейти
> на 3845, т.к. 2811 уже не справлялась? Более 3,5Мбит IPSEC трафика
> и всё, задыхалась.

Ну и зря деньги выкинули, если только для этого..
AIM-VPN/SSL-2 ей добавить, чтоб снять с ЦП загрузку по шифрованию..