Имеем ситуацию: Два маршрутизатора 2800, по два интерфейса на каждом
Один итерфейс смотрит в публичную сеть, другой смотрит в приватную сеть.
И соответственно подняты по два туннельных интерфейса один поверх публичной сети другой поверх канала точка-точка.interface Tunnel0
ip address 172.16.6.1 255.255.255.0
tunnel source XXX.XXX.239.59
tunnel destination XXX.XXX.20.242
tunnel protection ipsec profile T1interface Tunnel1
bandwidth 256
ip address 172.16.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
tunnel source 172.16.12.1
tunnel destination 172.16.13.1
tunnel protection ipsec profile T2crypto ipsec profile T1
set transform-set mysetcrypto isakmp policy 1
encr 3des
hash md5
group 2
lifetime 2800crypto ipsec transform-set myset esp-3des esp-md5-hmac
Абсолютно одинаковая конфигурация на обоих маршрутизаторах
ISAKMP аутентифицирует друг друга при помощи сертификатов.
После загрузки маршрутизаторов туннели поднимаются и все работает нормально, работает протокол динамической маршрутизации и все здорово.
Но через какое-то время (от нескольких часов до пары дней) туннель через канал точка-точка падает.
Причем никаких ошибок IPSEC или ISAKMP нет, выглядит так, как будто все ок, но при этом пакеты не проходят.
Очистка всех возможных SA не помогает, а помогает только перезагрузка маршрутизаторов, причем обоих. После этого опять какое-то время все работает нормально.
В чем могут быть грабли? На канале точка-точка бывают потери (радиоканал) но они не критические. Как только делаешь no tunnel protection ipsec на интерфейсе - сразу пакеты проходят.
"раздуваются" таблицы nat-а?
>"раздуваются" таблицы nat-а?Нат вообще не влияет, т.е. было и до того как был прописан нат.
Собственно этот нат начинает использоваться, когда падает основной канал на одной из площадок, для доступа в инет через резервный канал и канал второй площадки.Не знаю в этом ли дело, но я сделал "no ip cef" и вот уже третий день канал в UP, может ли быть дело в этом?