Задал этот же вопрос на другом форуме. Здесь дублирую.Немного перистории. В маршрутизаторе стоял модуль HWIC-1ADSL, в интернете нашел кучу инфы, как с его помощью поднять РРРОЕ соеднение и подключиться к СТРИМ. Все работает. Сейчас заменил эту карту внешним модемом ADSL2+, примеров в инете не нашел и воспользовался программой Cisco Configuration Prof 2.6 для создания РРРОЕ соединения. Все работает в инет хожу, но возник ряд вопросов. Выкладываю конфиг.
version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname CISCO_2901
!
boot-start-marker
boot system flash0 c2900-universalk9-mz.SPA.151-4.M.bin
boot-end-marker
!
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200
logging console critical
enable secret 5 $1$QL59$6f1Nz/phOVZRORnWASgdq1
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login local_authen local
aaa authorization exec default local
aaa authorization exec local_author local
!
!
!
!
!
aaa session-id common
!
clock timezone Moscow 4 0
!
no ipv6 cef
no ip source-route
ip cef
!
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.3.1
ip dhcp excluded-address 192.168.168.1
ip dhcp excluded-address 192.168.168.10
ip dhcp excluded-address 192.168.168.11
!
ip dhcp pool $Vlan1$
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
netbios-name-server 192.168.0.1
netbios-node-type h-node
lease 0 12
!
ip dhcp pool $Vlan2$
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1
netbios-name-server 192.168.1.1
netbios-node-type h-node
lease 0 12
!
ip dhcp pool $Vlan3$
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 192.168.2.1
netbios-name-server 192.168.2.1
netbios-node-type h-node
lease 0 12
!
ip dhcp pool $Vlan4$
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 192.168.3.1
netbios-name-server 192.168.3.1
netbios-node-type h-node
lease 0 12
!
ip dhcp pool $Vlan169$
network 192.168.168.0 255.255.255.0
default-router 192.168.168.1
dns-server 192.168.168.1
netbios-name-server 192.168.168.1
netbios-node-type h-node
lease 0 12
!
!
no ip bootp server
ip domain name local
ip name-server 212.188.4.10
ip name-server 195.34.32.116
ip inspect name CCP_LOW dns
ip inspect name CCP_LOW ftp
ip inspect name CCP_LOW h323
ip inspect name CCP_LOW sip
ip inspect name CCP_LOW https
ip inspect name CCP_LOW icmp
ip inspect name CCP_LOW imap
ip inspect name CCP_LOW pop3
ip inspect name CCP_LOW netshow
ip inspect name CCP_LOW rcmd
ip inspect name CCP_LOW realaudio
ip inspect name CCP_LOW rtsp
ip inspect name CCP_LOW esmtp
ip inspect name CCP_LOW sqlnet
ip inspect name CCP_LOW streamworks
ip inspect name CCP_LOW tftp
ip inspect name CCP_LOW tcp
ip inspect name CCP_LOW udp
ip inspect name CCP_LOW vdolive
ip inspect name CCP_LOW http
!
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint tti
revocation-check crl
rsakeypair tti
!
crypto pki trustpoint TP-self-signed-714539355
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-714539355
revocation-check none
rsakeypair TP-self-signed-714539355
!
crypto pki trustpoint test_trustpoint_config_created_for_sdm
subject-name e=sdmtest@sdmtest.com
revocation-check crl
!
!
voice-card 0
!
!
!
!
!
!
!
license udi pid CISCO2901/K9 sn FCZ1540902Z
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
archive
log config
hidekeys
username R_KING privilege 15 secret 5 $1$E0eZ$9DX.uIy90aDCQXkfk.0iz0
!
redundancy
!
!
!
!
ip tcp synwait-time 10
ip ssh authentication-retries 5
ip ssh version 1
!
!
!
!
!
!
!
interface Null0
no ip unreachables
!
interface Embedded-Service-Engine0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
!
interface GigabitEthernet0/0
description $ETH-WAN$
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no mop enabled
!
interface GigabitEthernet0/1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/0/0
description $FOR NAS ONLY$
switchport access vlan 169
mtu 9000
no ip address
!
interface GigabitEthernet0/0/1
switchport access vlan 2
no ip address
!
interface GigabitEthernet0/0/2
description $FOR MAC ONLY$
switchport access vlan 169
mtu 9000
no ip address
!
interface GigabitEthernet0/0/3
description $FOR AIR-AP ONLY$
switchport trunk allowed vlan 1-4,1002-1005
switchport mode trunk
no ip address
!
interface Vlan1
description $FW_INSIDE$
ip address 192.168.0.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Vlan2
description $FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Vlan3
description $FW_INSIDE$
ip address 192.168.2.1 255.255.255.0
ip access-group 102 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Vlan4
description $FW_INSIDE$
ip address 192.168.3.1 255.255.255.0
ip access-group 103 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Vlan169
description $FW_INSIDE$
mtu 9000
ip address 192.168.168.1 255.255.255.0
ip access-group 104 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1412
!
interface Dialer1
description $FW_OUTSIDE$
ip mtu 1452
ip address negotiated
ip access-group 105 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip inspect CCP_LOW out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXXX
ppp chap password 7 XXXXXXXXXX
ppp pap sent-username XXXXXXXXXX password 7 XXXXXXXXX
no cdp enable
!
!
ip forward-protocol nd
!
ip http server
ip http access-class 1
ip http authentication local
ip http secure-server
!
ip dns server
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
logging esm config
logging trap debugging
access-list 1 remark HTTP Access-class list
access-list 1 remark CCP_ACL Category=19
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 192.168.168.0 0.0.0.255
access-list 1 deny any
access-list 100 remark auto generated by CCP firewall configuration
access-list 100 remark CCP_ACL Category=1
access-list 100 deny ip 192.168.168.0 0.0.0.255 any
access-list 100 deny ip 192.168.3.0 0.0.0.255 any
access-list 100 deny ip 192.168.2.0 0.0.0.255 any
access-list 100 deny ip 192.168.1.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by CCP firewall configuration
access-list 101 remark CCP_ACL Category=1
access-list 101 deny ip 192.168.168.0 0.0.0.255 any
access-list 101 deny ip 192.168.3.0 0.0.0.255 any
access-list 101 deny ip 192.168.2.0 0.0.0.255 any
access-list 101 deny ip 192.168.0.0 0.0.0.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 permit ip any any
access-list 102 remark auto generated by CCP firewall configuration
access-list 102 remark CCP_ACL Category=1
access-list 102 deny ip 192.168.168.0 0.0.0.255 any
access-list 102 deny ip 192.168.3.0 0.0.0.255 any
access-list 102 deny ip 192.168.1.0 0.0.0.255 any
access-list 102 deny ip 192.168.0.0 0.0.0.255 any
access-list 102 deny ip host 255.255.255.255 any
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 permit ip any any
access-list 103 remark auto generated by CCP firewall configuration
access-list 103 remark CCP_ACL Category=1
access-list 103 deny ip 192.168.168.0 0.0.0.255 any
access-list 103 deny ip 192.168.2.0 0.0.0.255 any
access-list 103 deny ip 192.168.1.0 0.0.0.255 any
access-list 103 deny ip 192.168.0.0 0.0.0.255 any
access-list 103 deny ip host 255.255.255.255 any
access-list 103 deny ip 127.0.0.0 0.255.255.255 any
access-list 103 permit ip any any
access-list 104 remark auto generated by CCP firewall configuration
access-list 104 remark CCP_ACL Category=1
access-list 104 deny ip 192.168.3.0 0.0.0.255 any
access-list 104 deny ip 192.168.2.0 0.0.0.255 any
access-list 104 deny ip 192.168.1.0 0.0.0.255 any
access-list 104 deny ip 192.168.0.0 0.0.0.255 any
access-list 104 deny ip host 255.255.255.255 any
access-list 104 deny ip 127.0.0.0 0.255.255.255 any
access-list 104 permit ip any any
access-list 105 remark auto generated by CCP firewall configuration
access-list 105 remark CCP_ACL Category=1
access-list 105 permit udp host 195.34.32.116 eq domain any
access-list 105 permit udp host 212.188.4.10 eq domain any
access-list 105 remark Auto generated by CCP for NTP (123) 62.149.0.30
access-list 105 permit udp host 62.149.0.30 eq ntp any eq ntp
access-list 105 remark Auto generated by CCP for NTP (123) 62.119.40.98
access-list 105 permit udp host 62.119.40.98 eq ntp any eq ntp
access-list 105 remark Auto generated by CCP for NTP (123) 192.36.143.150
access-list 105 permit udp host 192.36.143.150 eq ntp any eq ntp
access-list 105 deny ip 192.168.168.0 0.0.0.255 any
access-list 105 deny ip 192.168.3.0 0.0.0.255 any
access-list 105 deny ip 192.168.2.0 0.0.0.255 any
access-list 105 deny ip 192.168.1.0 0.0.0.255 any
access-list 105 deny ip 192.168.0.0 0.0.0.255 any
access-list 105 permit icmp any any echo-reply
access-list 105 permit icmp any any time-exceeded
access-list 105 permit icmp any any unreachable
access-list 105 deny ip 10.0.0.0 0.255.255.255 any
access-list 105 deny ip 172.16.0.0 0.15.255.255 any
access-list 105 deny ip 192.168.0.0 0.0.255.255 any
access-list 105 deny ip 127.0.0.0 0.255.255.255 any
access-list 105 deny ip host 255.255.255.255 any
access-list 105 deny ip host 0.0.0.0 any
access-list 105 deny ip any any log
dialer-list 1 protocol ip list 1
!
no cdp run
!
!
!
!
snmp-server ifindex persist
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
shutdown
!
!
banner login Authorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!
!
line con 0
exec-timeout 30 0
login authentication local_authen
transport output telnet
line aux 0
exec-timeout 30 0
login authentication local_authen
transport output telnet
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 30 0
authorization exec local_author
login authentication local_authen
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 192.36.143.150 prefer source Vlan1
ntp server 62.149.0.30 prefer source Vlan1
ntp server 62.119.40.98 prefer source Vlan1
end
Собственно вопросы -- почему ip tcp adjust-mss 1412 прописались на интерфейсах Vlan? И почему на интерфейсе Dialer 1 прописано ip mtu, а не mtu? Выкладываю из старого конфига Dialer, как все выглядело при наличии модуля HWIC-1ADSL, пример написания такого диалера взят из интернета, с разных ресурсов, но везде прописан mtu и везде mss прописан на интерфейсе Dialerinterface Dialer0
description $FW_OUTSIDE$
mtu 1492
ip address negotiated
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat outside
ip inspect CCP_LOW out
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 2
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname XXXXXXXXXXX
ppp chap password 7 XXXXXXXXXXXXXX
ppp pap sent-username XXXXXXX password 7 XXXXXXXXXXXXX
Вот что посоветовали сделать: Уберите все mtu, ip mtu со всех интерфейсов и никогда их не трогайте. На "внутреннем" vlan 1 сделайте ip tcp adjust-mss 1408. Всё.Но возник еще вопрос: Но мне на гигабитном интерфейсе необходим mtu 9000 и тогда на vlan 169 тоже нужен mtu 9000, поскольку гоняю много данных между NAS и рабочей станцией, со стандарным mtu сильно процессор грузится и время трансфера вырастает. И почему только на vlan 1p tcp adjust-mss 1408 применить, ведь у меня их несколько? И опять таки вопрос на гигибитных портах и vlan 169 писать mtu 9000 или ip mtu 9000? И нужно ли менять mtu в vlan database?
Заранее благодарен за помощь!
P.S. К сожалению не владею английским и почитать соответствующие документы на cisco.com не могу.
Еще раз заранее благодарен за помощь.
>[оверквотинг удален]
> и тогда на vlan 169 тоже нужен mtu 9000, поскольку гоняю
> много данных между NAS и рабочей станцией, со стандарным mtu сильно
> процессор грузится и время трансфера вырастает. И почему только на vlan
> 1p tcp adjust-mss 1408 применить, ведь у меня их несколько? И
> опять таки вопрос на гигибитных портах и vlan 169 писать mtu
> 9000 или ip mtu 9000? И нужно ли менять mtu в
> vlan database?
> Заранее благодарен за помощь!
> P.S. К сожалению не владею английским и почитать соответствующие документы на cisco.com
> не могу.1. команда mtu xxxx - задает размер пакета (датаграммы) любого протокола который проходит через интерфейс (IP, IPX и не только). Дайте команду sh interface ATM0 и увидите что размер пакета передаваемого через ATM0 равняется 4472 байта. Сколько в этой датаграмме будет передано пакетов IP - зависит от команды ip mtu
2. команда ip mtu - определяет размер _IP_ пакета. Стандартное значение для Ethernet 1500 байт. PPPoE заголовок - 8 байт. Отсюда ip mtu 1492.
3. MSS - максимальный размер данных передаваемых в IP пакете для протокола TCP. TCP заголовок равняется 40 байтам. Отсюда <ip mtu>-40байт = 1452 байта.
4. Все выше сказанное верно если вы работаете без туннелей. Для туннельных соединений добавляется заголовок GRE. Заголовок GRE дополнительно отнимает 20 байт. Т.е. IP пакет на входе в маршрутизатор чтобы не быть фрагментированным должен быть 1500-8(PPPoE)-20(GRE)-40(TCP)=1432 байта.
5. У вас в сети ходит несколько VLAN. Для того, чтобы маркировать пакеты VLAN тегами необходимо еще 4 байта. Получаем следующие значения для TCP пакетов: 1500-8-20-40-4=1428 байт.Тот, кто говорит "не трогать никогда MTU на интерфесах" недостоин работать с маршрутизаторами. Какое оборудование стоит у всех опрераторов связи через которые проходит ваш трафик вам не известно. Есть некоторые производители, которые создают маршрутизаторы неумеющие отвечать что IP пакет необходимо фрагментировать. Тогда остается только вручную подбирать размер пакета.
Для работы с NAS выделите отдельный сегмент VLAN и не заводите его на маршрутизатор если в этом нет серьезной необходимости. Дешевле поставить вторую карточку в сервер/компьютер чем грузить маршрутизатор.
Чрез гугл можно найти достаточно информации по этому вопросу на любых языках, которыми владеете.
На правильность всего изложенного не претендую. Возможно что-то упустил из вида.
>[оверквотинг удален]
> маршрутизаторами. Какое оборудование стоит у всех опрераторов связи через которые проходит
> ваш трафик вам не известно. Есть некоторые производители, которые создают маршрутизаторы
> неумеющие отвечать что IP пакет необходимо фрагментировать. Тогда остается только вручную
> подбирать размер пакета.
> Для работы с NAS выделите отдельный сегмент VLAN и не заводите его
> на маршрутизатор если в этом нет серьезной необходимости. Дешевле поставить вторую
> карточку в сервер/компьютер чем грузить маршрутизатор.
> Чрез гугл можно найти достаточно информации по этому вопросу на любых языках,
> которыми владеете.
> На правильность всего изложенного не претендую. Возможно что-то упустил из вида.Добрый день. Спасибо за ответ. Для работы с NAS сделан Vlan169 Вторую карточку в сервер не поставить, это маленький моноблок, а для того что бы не грузить CPU маршрутизатора как раз и прописывал MTU 9000, этот параметр прописан на двух свич-портах, на сетевой сервера и на сетевой NAS, это позволило снять 25% нагрузки на процессор.
Интерфейса АТМ уже нет, но вроде значение MTU там было почти, как вы указали, сейчас у меня внешний ADSL модем подключенный к Ethernet c pppoe .Повесил на ge0/0 c PPPoE (то есть на Dialer1) IP MTU 1492, но перед этим убрал вообще эту строчку из Dialer и запустил Cisco Configuration Pro -- тот упорно прописывал на Dialer IP MTU 1452, а на Int Vlan ip tcp ajust-mss 1412. Интересно почему прога уменьшает 1492 до 1452?
И еще подскажите -- ip tcp вешать на каждый интерфей Vlan или достаточно на Dialer1?