Ситуация такая что пропадает первый ответный пакет ping до шлюза провайдера в интернет. Из-за этого жутко тормозит интернет в локальной сети за NAT.
Подозрения на NAT или маршрутизацию. При этом ping с внешнего интерфейса Cisco ходит без проблем (это исключает проблемы в линии). Также если заменить Cisco 3725 на домашний маршрутизатор Linksys все летает без проблем.Вот так это выглядит у клиентов (увеличивал таймаут - реакции ноль):
...>ping 89.162.x.x
Обмен пакетами с 89.162.x.x по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Ответ от 89.162.x.x: число байт=32 время<1мс TTL=254
Ответ от 89.162.x.x: число байт=32 время<1мс TTL=254
Ответ от 89.162.x.x: число байт=32 время=1мс TTL=254
Статистика Ping для 89.162.x.x:
Пакетов: отправлено = 4, получено = 3, потеряно = 1 (25% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 1 мсек, Среднее = 0 мсекdebug ip nat - пакеты уходят по трансляции на внешний интерфейс, возвращаются(и транслируются во внутренний) все кроме первого. Может можно как-то быстро посниффить канал?
>[оверквотинг удален]
> Ответ от 89.162.x.x: число байт=32 время=1мс TTL=254
> Статистика Ping для 89.162.x.x:
> Пакетов: отправлено = 4, получено = 3, потеряно
> = 1 (25% потерь)
> Приблизительное время приема-передачи в мс:
> Минимальное = 0мсек, Максимальное = 1 мсек, Среднее
> = 0 мсек
Будем гадать по конфигу?
Ставлю на ip route 0.0.0.0 0.0.0.0 faXXX
> Будем гадать по конфигу?
> Ставлю на ip route 0.0.0.0 0.0.0.0 faXXXip route 0.0.0.0 0.0.0.0 89.162.xxx.xxx (на ip)
Cisco3725#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static routeGateway of last resort is 89.162.xxx.xxx to network 0.0.0.0
89.0.0.0/30 is subnetted, 1 subnets
C 89.162.xxx.xxx is directly connected, FastEthernet0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/1
C 192.168.2.0/24 is directly connected, FastEthernet2/0
S* 0.0.0.0/0 [1/0] via 89.162.xxx.xxxCisco3725#sh run
Building configuration...Current configuration : 6885 bytes
!
! Last configuration change at 09:46:27 Ukraine Tue Oct 23 2012 by tavrid
! NVRAM config last updated at 09:20:20 Ukraine Tue Oct 23 2012 by tavrid
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname Cisco3725
!
boot-start-marker
boot system flash:c3725-adventerprisek9_ivs-mz.124-15.T14.bin
boot-end-marker
!
no logging console
enable secret 5 $1$2GU5$gZOsCNm4hH/znWIcdCxJE0
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
no network-clock-participate slot 2
!
!
no ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.125
!
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 212.109.32.5 212.109.32.9
option 150 ip 192.168.1.1
!
!
no ip bootp server
ip domain name aquatour.local
ip name-server 212.109.32.5
ip name-server 212.109.32.9
!
multilink bundle-name authenticated
!
isdn switch-type basic-net3
!
!
!
ip ssh time-out 60
ip ssh version 2
!
!
!
!
interface FastEthernet0/0
description === INTERNET:GoldenTelecom ===
bandwidth 12500
bandwidth receive 5000
ip address 89.162.xxx.xxx 255.255.255.252
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
description === LAN ===
ip address 192.168.1.1 255.255.255.0
ip access-group 20 in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface BRI1/0
no ip address
isdn switch-type basic-net3
isdn overlap-receiving
isdn point-to-point-setup
isdn incoming-voice voice
isdn sending-complete
isdn static-tei 0
!
interface FastEthernet2/0
description === LAN2 ===
ip address 192.168.2.1 255.255.255.0
ip access-group 20 in
duplex auto
speed auto
vlan-id dot1q 102
description LAN2
exit-vlan-config
!
vlan-id dot1q 10
description VOICE
exit-vlan-config
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 89.162.xxx.xxx
ip route 192.168.1.0 255.255.255.0 FastEthernet0/1
!
!
no ip http server
ip http authentication local
no ip http secure-server
ip http max-connections 2
ip http timeout-policy idle 180 life 300 requests 50
ip nat inside source list NAT interface FastEthernet0/0 overload
!
ip access-list standard NAT
permit 192.168.1.0 0.0.0.255
!
access-list 10 permit 192.168.1.0 0.0.0.255
!
!
(поскипано telephony-service...)
>[оверквотинг удален]
> Ответ от 89.162.x.x: число байт=32 время=1мс TTL=254
> Статистика Ping для 89.162.x.x:
> Пакетов: отправлено = 4, получено = 3, потеряно
> = 1 (25% потерь)
> Приблизительное время приема-передачи в мс:
> Минимальное = 0мсек, Максимальное = 1 мсек, Среднее
> = 0 мсек
> debug ip nat - пакеты уходят по трансляции на внешний интерфейс, возвращаются(и
> транслируются во внутренний) все кроме первого. Может можно как-то быстро посниффить
> канал?Если пинговать с циски с сорсом внутреннего интерфейса?
> Если пинговать с циски с сорсом внутреннего интерфейса?Внутри Cisco как ни странно все проходит, при этом с компьютеров в локальной сети 1й пакет теряется.
Я уже подключал компьютер напрямую в локальный интерфейс fa0/1, думал что может коммутатор тормозит. Но пакеты теряются.
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 89.162.193.145, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 msЕсли пинговать с коммутатора (3524XL) то странно тормозит первый пинг на внутренний интерфейс (внешний IP провайдера не пингуется), а потом задержка исчезает (по протоптанной дорожке), и этот эффект наблюдается если пинговать подряд с компьютера локальной сети, потом соединение устанавливается 100%:
пинг на fa0/1
C3524PWR#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/201/1001 ms
C3524PWR#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 msпинг на fa0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 89.162.193.146, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/201/1001 ms
C3524PWR#ping 89.162.193.146Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 89.162.193.146, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/3 ms
уберите ip route 192.168.1.0 255.255.255.0 FastEthernet0/1
> уберите ip route 192.168.1.0 255.255.255.0 FastEthernet0/1Убрал, но эта строка не влияет на главную проблему, ее вначале не было - это я уже в порядке экспериментов добавил.
P.S.: пинг к роутеру от коммутатора исправился.
>> уберите ip route 192.168.1.0 255.255.255.0 FastEthernet0/1
> Убрал, но эта строка не влияет на главную проблему, ее вначале не
> было - это я уже в порядке экспериментов добавил.
> P.S.: пинг к роутеру от коммутатора исправился.ping 8.8.8.8 -w 6000 (или 4 или 5), попробуй! Пропадает пакет или просто задержка большая
Так же посмотри как пингуеться 89.162.xxx.xxx 192.168.1.1(Я правильно понял, первый пинг пропадает, но если пингуешь всего лишь, ~например, через 30 секунд, то пропадания еще(или уже:) ) нет?? )
и что такое :ip access-group 20 in ??
> и что такое :
> ip access-group 20 in ??Это были ACL, много разных, я их все удалил (это остатки), т.к. думал что это из-за них, был кэширующий DNS-server, уже отключил все лишние сервисы что можно было. И нагрузки на CPU нет, максимум 2-3%.
> ping 8.8.8.8 -w 6000 (или 4 или 5), попробуй! Пропадает пакет или
> просто задержка большая
c:\windows>ping 8.8.8.8 -w 6000Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Ответ от 8.8.8.8: число байт=32 время=52мс TTL=52
Ответ от 8.8.8.8: число байт=32 время=52мс TTL=52
Ответ от 8.8.8.8: число байт=32 время=51мс TTL=52Статистика Ping для 8.8.8.8:
Пакетов: отправлено = 4, получено = 3, потеряно = 1 (25% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 51мсек, Максимальное = 52 мсек, Среднее = 51 мсек> Так же посмотри как пингуеться 89.162.xxx.xxx 192.168.1.1
> (Я правильно понял, первый пинг пропадает, но если пингуешь всего лишь, ~например,
> через 30 секунд, то пропадания еще(или уже:) ) нет?? )При этом если запустить следующий пинг в тот же адрес в течение следующей минуты, все пакеты проходят, но через 2-3 минуты - первый пакет теряется (кэш nat-а или routa высвобождается?).
Любой другой IP адрес - приводят к тому-же результату:>ping 89.162.xxx.80 (здесь видимо закрыт порт ICMP, но какйо-то транзитный шлюз ответил)Обмен пакетами с 89.162.193.80 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Ответ от 94.27.26.82: Заданный узел недоступен.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.Статистика Ping для 89.162.xxx.80:
Пакетов: отправлено = 4, получено = 1, потеряно = 3
(75% потерь)>ping 94.27.26.82
Обмен пакетами с 94.27.26.82 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Ответ от 94.27.26.82: число байт=32 время=15мс TTL=250
Ответ от 94.27.26.82: число байт=32 время=15мс TTL=250
Ответ от 94.27.26.82: число байт=32 время=15мс TTL=250Статистика Ping для 94.27.26.82:
Пакетов: отправлено = 4, получено = 3, потеряно = 1
(25% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 15мсек, Максимальное = 15 мсек, Среднее = 15 мсек
Если сделать "NO IP CEF" - пинги ходят нормально без потерь и скорость работы интернета нормальная. Но это ведь неправильно!
> Если сделать "NO IP CEF" - пинги ходят нормально без потерь и
> скорость работы интернета нормальная. Но это ведь неправильно!Вообще CISCO и CEF весьма странная весч. Работает вероятностно. Даже на одних IOS и одном железе.
>> Если сделать "NO IP CEF" - пинги ходят нормально без потерь и
>> скорость работы интернета нормальная. Но это ведь неправильно!
> Вообще CISCO и CEF весьма странная весч. Работает вероятностно. Даже на одних
> IOS и одном железе.вообще похоже на арп таймаут, понаблюдайте зависимость sh arp | in #IP# и потери пингов
>>> Если сделать "NO IP CEF" - пинги ходят нормально без потерь и
>>> скорость работы интернета нормальная. Но это ведь неправильно!
>> Вообще CISCO и CEF весьма странная весч. Работает вероятностно. Даже на одних
>> IOS и одном железе.
> вообще похоже на арп таймаут, понаблюдайте зависимость sh arp | in #IP#
> и потери пинговили даже arp -an на абонентском компе