Здравствуйте!
Никак не могу решить проблему с (ни с того, ни с сего :) ) периодическим крахом туннельных интерфейсов.
В организации настроены туннели между подразделениями - гл. здание <-> 1 подразделение, гл. здание <-> 2 подразделение, 1 подразделение <-> 2 подразделение. Оборудование - cisco 2811 (12.4 C2800NM-ADVIPSERVICESK9-M) (гл.) + cisco 1841 (15.1 C1841-ADVIPSERVICESK9-M (подразд.)
Проблема в том, что периодически пропадает связь по внутренним номерам между гл. зданием и подразделениями, при этом связь между подразделениями 1-2 сохраняется, поэтому делаю вывод о проблеме в главном маршрутизаторе (2811). Оба туннеля падают с ошибкой %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. После этого пинг перестает ходить. Помогает только reload [confirm] :) Shut - no shut - эффект нулевой. Uptime бывает и 7 дней, и 20 дней. Туннели падают в ночное время, поэтому идею о нехватке ресурсов маршрутизатора отмёл. Смена IOS проблемы не решила. Чешу репу уже который 3 месяц.sh run
Current configuration : 4905 bytes
!
version 12.4
...
crypto logging session
crypto logging ezvpn
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key keychain address 10.10.10.10
crypto isakmp key keychain address 2.2.2.2
crypto isakmp key keychain address 3.3.3.3
!
!
crypto ipsec transform-set keychain esp-3des esp-md5-hmac
!
crypto map keychain 10 ipsec-isakmp
set peer 10.10.10.10
set peer 2.2.2.2
set peer 3.3.3.3
set transform-set keychain
match address 110
!
!
!
!
!
interface Tunnel0
bandwidth inherit
ip address 192.168.255.2 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 10.10.10.10
crypto map keychain
!
interface Tunnel1
bandwidth inherit
ip address 192.168.255.5 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 2.2.2.2
crypto map keychain
!
interface Tunnel2
bandwidth inherit
ip address 192.168.99.2 255.255.255.252
ip mtu 1350
tunnel source FastEthernet0/1
tunnel destination 3.3.3.3
crypto map keychain
!
interface FastEthernet0/0
ip address 192.168.3.7 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 1.1.1.1 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map keychain
!
interface FastEthernet0/0/0
switchport access vlan 22
!
interface FastEthernet0/0/1
switchport access vlan 22
!
interface FastEthernet0/0/2
switchport access vlan 22
!
interface FastEthernet0/0/3
switchport access vlan 121
!
interface Vlan1
no ip address
!
interface Vlan22
description VIDEOCONFERENCING VLAN
ip address 192.168.21.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan121
description VOIP TELEPHONY VLAN
ip address 192.168.121.1 255.255.255.0
!
router eigrp 10
network 192.168.3.0 0.0.0.31
network 192.168.3.148 0.0.0.3
network 192.168.3.160 0.0.0.31
network 192.168.21.0
network 192.168.98.0 0.0.0.3
network 192.168.99.0 0.0.0.3
network 192.168.121.0
network 192.168.122.0 0.0.0.3
network 192.168.253.0 0.0.0.3
network 192.168.255.0 0.0.0.3
network 192.168.255.4 0.0.0.3
auto-summary
!
ip route 0.0.0.0 0.0.0.0 1.0.0.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list 21 interface FastEthernet0/1 overload
ip nat inside source list 122 interface FastEthernet0/1 overload
!
logging trap debugging
logging facility local0
logging 192.168.3.1
access-list 21 permit 192.168.3.253
access-list 21 permit 192.168.3.183
access-list 21 permit 192.168.3.149
access-list 110 permit gre host 1.1.1.1 host 10.10.10.10
access-list 110 permit gre host 1.1.1.1 host 2.2.2.2
access-list 110 permit gre host 1.1.1.1 host 3.3.3.3
snmp-server group organiz v3 auth
snmp-server host 192.168.3.1 organiz
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login local
transport input telnet ssh
line vty 5 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
!
!
endОтловил на syslog debug (debug crypto engine, debug crypto ipsec, debug crypto isakmp, и, если не ошибаюсь, debug crypto ipsec client ezvpn). Там наверняка много мусора, но выложить информация до и во время падения туннельных интерфейсов могу выложить (просто из-за незнания меня смущают некоторые сообщения, к примеру, вот такое
Apr 27 05:26:46 administrator 155119: *Apr 26 23:20:24: ISAKMP:(0): IPSec policy invalidated proposal with error 32
Apr 27 05:26:46 administrator 155120: *Apr 26 23:20:24: ISAKMP:(0): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 2.2.2.2)ЗЫ - подскажите, пожалуйста, где можно посмотреть, как анализировать отладочные сообщения? Подробное описание технологии, как происходит соединение, какие этапы.. Спасибо огромное заранее.
Эх-хехе.. :( Подскажете?
> Эх-хехе.. :( Подскажете?crypto isakmp invalid-spi-recovery
>> Эх-хехе.. :( Подскажете?
> crypto isakmp invalid-spi-recoveryСпасибо огромное! Правда, команду еще не пробовал. Только из отпуска вышел. Думаю, на днях возникнет возможность проверить команду ;)