Всем доброго времени суток!
Имеется роутер cisco 1841. В него входят два канала от провайдера и один канал в сеть. Провайдерские линии входят по тегированному порту от свитча (router-on stick). Один канал основной по нему офис ходит в Интернет, второй канал только для vpn c головной организацией. Второй канал широкий, но трафик там минимален, по впн ходит только rdp трафик от 1С, пользуются ей 4 человека бухгалтерии.
Около двух недель назад, когда даже меня не было в офисе всю бухгалтерию выкинуло из терминала. Оказалось что качество сигнала ухудшилось, пинги ходили ужасно, качество канала не давало создать rdp-соединение. Конфигурация оборудования и самой сети не менялась. Сетью занимаюсь только я, и если не менял я, то никто не мог. Подчеркиваю, что в тот момент меня даже в офисе не было.
Как пробовал выявить проблему:
1) Позвонил провайдеру и спросил об изменениях у них. Те конечно отмахнулись. Тут все очевидно.
2) Пробовал оставить роутер без нагрузки. Оставил в сети только его, свитч и комп для тестов, пинги также ходили плохо.
3) Думал, что пакеты уходят не в тот канал, делал зеркалку порта и снимал сниффером. ICMP пакеты как впрочем и ipsec трафик уходят и приходят через второй канал. Для этого прописана статическая запись в таблице роутинга.
4) В результате я пришел к следующему: Если я делаю shutdown основного интерфейса, то пинги и сам трафик начинают ходить идеально. Т.е. при выключенном первом канале, трафик во втором канале нормализуется. При этом каналы сами по себе независимые, на разных тарифах.По сему хочу у Вас просить совета, что мне делать. Сейчас а завел впн на основной канал и временно решил проблему, но очень хочется добиться правды.
Я не могу наехать на провайдера потому что я не уверен что проблемы у него, но и у себя я все проверил.
Если вы подскажите, что может быть не так у провайдера или какие-то тесты для моей стороны я буду очень благодарен.Прилагаю конфиг роутера, при котором появилась данная проблема. Я уберу из него списки доступа на интерфейсы, они очень большие и малоинтересные, т.к. я их выключал при расследовании.
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 512000 debugging
enable secret 5 ХХХХХХХХХХХХХХХХХХХХХХХ
!
aaa new-model
!
!
aaa authentication attempts login 5
aaa authentication login default local group radius
aaa authorization exec default local group radius
aaa authorization network default local
!
aaa session-id common
clock timezone MSK 4
ip cef
!
!
!
!
ip flow-cache timeout active 1
ip name-server ХХ.ХХ.ХХ.ХХ
ip name-server ХХ.ХХ.ХХ.ХХ
ip inspect name traffic tcp timeout 3600
ip inspect name traffic udp timeout 15
ip inspect name traffic router
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
username root privilege 15 secret 5 YYYYYYYYYYYYYYYYYYY
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 2
encr aes 256
authentication pre-share
group 5
lifetime 3600
crypto isakmp key SUPERKEY address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group pgp-vpn-group
key SUPERKEY2
dns 192.168.1.1
wins 192.168.1.1
domain local.ru
pool pgp-vpn-pool
acl 150
netmask 255.255.255.0
!
crypto isakmp client configuration group pgp-vpn-pool
netmask 255.255.255.0
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto ipsec transform-set mytrans2 esp-aes 256 esp-sha-hmac
mode transport
!
crypto dynamic-map pgp-vpn-map 10
set transform-set mytrans
reverse-route
!
!
crypto map pgp-to-skm-map local-address FastEthernet0/1.44
crypto map pgp-to-skm-map 10 ipsec-isakmp
set peer 1.2.3.4
set security-association lifetime seconds 900
set transform-set mytrans2
set pfs group5
match address 111
!
crypto map pgp-vpn-map client authentication list default
crypto map pgp-vpn-map isakmp authorization list default
crypto map pgp-vpn-map client configuration address respond
crypto map pgp-vpn-map 10 ipsec-isakmp dynamic pgp-vpn-map
!
!
!
interface Tunnel1
description VPN to MAINOFFICE
bandwidth 10000
ip address 172.16.11.1 255.255.255.252
tunnel source 2.2.2.2
tunnel destination 1.2.3.4
!
interface FastEthernet0/0
description LAN
ip address 192.168.1.17 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description $ES_LAN$
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.22
encapsulation dot1Q 22
ip address 1.1.1.2 255.255.255.0 secondary
ip address 1.1.1.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip mtu 1200
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip inspect traffic out
ip virtual-reassembly
no ip mroute-cache
no cdp enable
crypto map pgp-vpn-map
!
interface FastEthernet0/1.44
encapsulation dot1Q 44
ip address 2.2.2.2 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip flow egress
ip virtual-reassembly
no ip mroute-cache
no cdp enable
crypto map pgp-to-skm-map
!
router ospf 1
log-adjacency-changes
redistribute static route-map ospf-routes
network 172.16.11.0 0.0.0.3 area 0
!
ip local pool pgp-vpn-pool 10.0.0.10 10.0.0.20
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 85.234.37.1
ip route 1.2.3.4 255.255.255.255 2.2.2.2
ip route 192.168.4.0 255.255.255.0 192.168.1.254
ip route 192.168.101.0 255.255.255.0 192.168.1.254
ip route 192.168.102.0 255.255.255.0 192.168.1.254
ip route 192.168.103.0 255.255.255.0 192.168.1.254
ip route 192.168.104.0 255.255.255.0 192.168.1.254
ip route 192.168.105.0 255.255.255.0 192.168.1.254
ip route 192.168.106.0 255.255.255.0 192.168.1.254
ip route 192.168.107.0 255.255.255.0 192.168.1.254
ip route 192.168.108.0 255.255.255.0 192.168.1.254
ip route 192.168.109.0 255.255.255.0 192.168.1.254
ip route 192.168.110.0 255.255.255.0 192.168.1.254
ip route 192.168.111.0 255.255.255.0 192.168.1.254
ip route 192.168.112.0 255.255.255.0 192.168.1.254
ip route 192.168.113.0 255.255.255.0 192.168.1.254
ip route 192.168.114.0 255.255.255.0 192.168.1.254
ip route 192.168.115.0 255.255.255.0 192.168.1.254
!
ip flow-export version 5
ip flow-export destination 192.168.1.19 9996
ip flow-top-talkers
top 10
sort-by bytes
cache-timeout 100
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map pnz-nat interface FastEthernet0/1.22 overload
ip nat inside source static tcp 192.168.1.18 443 1.1.1.2 443 route-map nonat extendable
ip nat inside source static tcp 192.168.1.18 25 1.1.1.1 25 route-map nonat extendable
ip nat inside source static tcp 192.168.66.1 80 1.1.1.1 80 route-map nonat-vpn extendable
ip nat inside source static tcp 192.168.1.10 2100 1.1.1.1 2100 extendable
ip nat inside source static udp 192.168.1.10 2100 1.1.1.1 2100 extendable
ip nat inside source static tcp 192.168.1.35 8059 1.1.1.1 8059 extendable
!
ip access-list extended lan-pnz
deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.0.0.255
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.255.255 any
permit ip host 192.168.66.1 any
ip access-list extended lan-skm
permit tcp 192.168.105.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 3389
permit tcp 192.168.110.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 3389
permit ip 192.168.114.0 0.0.0.255 192.168.0.0 0.0.0.255!
kron occurrence backup-daily at 23:00 recurring
policy-list backup_daily
!
kron occurrence backup-weekly at 23:00 Sun recurring
policy-list backup_weekly
!
kron policy-list backup_daily
cli show run | redirect tftp://192.168.1.11/running-config-daily.cfg
!
kron policy-list backup_weekly
cli show run | redirect tftp://192.168.1.11/running-config-weekly.cfg
!
logging 192.168.114.8
access-list 23 permit 192.168.114.0 0.0.0.255
access-list 111 remark VPN to SKM
access-list 111 permit gre host 2.2.2.2 host 1.2.3.4
access-list 150 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.101.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.102.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.103.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.104.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.105.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.106.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.107.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.108.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.109.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.110.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.111.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.112.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.113.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.114.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.115.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.66.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 167 permit ip host 192.168.114.5 any
access-list 167 permit ip any host 192.168.114.5
snmp-server community public RO 15
snmp-server location Sector IT
snmp-server contact Pawel Sulin
!
route-map pnz-nat permit 10
match ip address lan-pnz
match interface FastEthernet0/1.22
!
route-map nonat permit 20
match ip address nonat-vpn
!
!
radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 7 XXXXXXXXXXXX
!
control-plane
!
!
!
line con 0
line aux 0
no motd-banner
no exec-banner
line vty 0 4
access-class 23 in
exec-timeout 0 0
transport input ssh
line vty 5
access-class 23 in
transport input ssh
!
scheduler allocate 20000 1000
ntp clock-period 17178326
ntp master 5
ntp update-calendar
ntp server 62.117.76.130 source FastEthernet0/1.22 prefer
endЗаранее спасибо за любую помощь.
P.S. Тема этого поста http://www.opennet.me/openforum/vsluhforumID6/233.html ничего общего с описанной тут проблемой не имеет. Это я уже искал обходное решение.
Как то "криво" порезал конфигТяжело разобраться че куда и откуда
> ip route 0.0.0.0 0.0.0.0 85.234.37.1
Это на 1-й или на 2-й (а первый это interface FastEthernet0/1.22 ?)
И с маршрутизацией на удаленные офисы не понятно (там где rdp и т.п) , какая там сеть? (192.168.0.0 -192.168.0.254 ???)
Какие у тебя маршруты через tunn 1?
Все верно. Прошу прощения за неясность конфига.
1) Дефолтный маршрут идет на гейт провайдера в FastEthernet0/1.22 - это основной канал для Интернета
2) В удаленной подсети адресация вида 192.168.0.0/24. Для этого я пишу путь во второй конец туннеля 172.16.11.2ip route 192.168.0.0 255.255.255.0 172.16.11.2
> Все верно. Прошу прощения за неясность конфига.
> 1) Дефолтный маршрут идет на гейт провайдера в FastEthernet0/1.22 - это основной
> канал для Интернета
> 2) В удаленной подсети адресация вида 192.168.0.0/24. Для этого я пишу путь
> во второй конец туннеля 172.16.11.2
> ip route 192.168.0.0 255.255.255.0 172.16.11.2
> Т.е. при выключенном первом канале, трафик во втором канале нормализуется.А если не выключать первый канал, а просто убрать ip nat outside??
Пропадания на 2-м канале останутся??
Коллизии, несогласование скоростей, ошибки на интерфейсе смотрели?
Загрузка интерфейса, загрузка процессора.
sh int и т.п.