Привет всем! не могу понять в чем косяк.
Есть у меня две циски 891 и 1800 между ними тунель, точнее два тунеля ipsec.
Два тунеля от того что два провайдера на одной из цисок.
Собственно косяк в том что если я на cisco включаю netflow то у меня падают оба тунеля.
И дебаг пишет что не удается авторизоваться типо не подходит пароль в первом этапе.конфиг циски там где первым делом включал netflow это 891 на ней два провайдера
!
! Last configuration change at 12:32:14 UTC Fri Oct 4 2013 by
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname rf
!
boot-start-marker
boot system flash:c890-universalk9-mz.150-1.M9.bin
boot-end-marker
!
logging buffered 4096 informational
no logging console
enable secret 5 .
enable password 7 !
aaa new-model
!aaa session-id common
crypto pki trustpoint TP-self-signed-809994845
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-809994845
revocation-check none
rsakeypair TP-self-signed-809994845
!
!
crypto pki certificate chain TP-self-signed-809994845
certificate self-signed 01
30820246 308201AF A0030201 02020101 300D0609 2A864886 2A1F695A 88562BC4 E3E3B6A1 350AC9B9 F0BCB767 E7F9AA92 F7A587C3 4C22BB17
2AA6F3D3 9850AED2 C5E5
quit
ip source-route
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
ip cef
ip flow-cache timeout active 1
no ip domain lookup
ip domain name 123.RU
no ipv6 cef
!
!
multilink bundle-name authenticatedtrack 11 ip sla 1 reachability
!
!
crypto isakmp policy 1
authentication pre-share
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key password address xx.xx.xx.116 no-xauth
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
!
interface Loopback0
ip address 10.0.10.4 255.255.255.0
!
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.1 255.255.255.0
ip mtu 1400
ip flow ingress
keepalive 10 3
tunnel source FastEthernet8
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.1 255.255.255.0
ip mtu 1400
ip flow ingress
delay 5200
keepalive 10 3
tunnel source GigabitEthernet0
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
interface FastEthernet8
description === Prov2 ===
ip address xxx.xxx.xx.121 255.255.255.240
ip access-group FW_IN in
ip access-group WF_OUT out
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface GigabitEthernet0
description === Prov1 ===
ip address xx.xxx.xxx.181 255.255.255.128
ip access-group FW_IN in
ip access-group WF_OUT out
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface Vlan1
description === LAN ===
ip address 10.200.1.5 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
!
!
router eigrp 1
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
ip flow-export source Vlan1
ip flow-export version 9
ip flow-export destination 10.200.1.204 9996
!
ip nat pool Pool_Prov1 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128
ip nat pool Pool_Prov2 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240
ip nat inside source route-map ISP_Prov2 pool Pool_Prov2 overload
ip nat inside source route-map ISP_Prov1 pool Pool_Prov1 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 track 11
ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 50
!
ip access-list extended FW_IN
permit tcp host xxx.xx.xx.116 host xxx.xxx.xx.121 eq 22
permit icmp host xxx.xx.xx.116 host xxx.xxx.xx.121
permit udp host xxx.xx.xx.116 host xxx.xxx.xx.121 eq isakmp
permit ahp host xxx.xx.xx.116 host xxx.xxx.xx.121
permit icmp host 8.8.8.8 host xxx.xxx.xx.121
permit icmp host xxx.xxx.xx.113 host xxx.xxx.xx.121
permit tcp host xxx.xx.xx.116 host xx.xxx.xxx.181 eq 22
permit icmp host xxx.xx.xx.116 host xx.xxx.xxx.181
permit udp host xxx.xx.xx.116 host xx.xxx.xxx.181 eq isakmp
permit ahp host xxx.xx.xx.116 host xx.xxx.xxx.181
permit icmp host 8.8.8.8 host xx.xxx.xxx.181
permit icmp host xxx.xxx.xx.113 host xx.xxx.xxx.181
permit icmp any host xx.xxx.xxx.181
permit icmp any host xxx.xxx.xx.121
ip access-list extended FW_OUT
permit ip any any
!
ip sla 1
icmp-echo 8.8.8.8
frequency 20
ip sla schedule 1 life forever start-time now
no cdp run!
!
!
!
route-map ISP_Prov1 permit 10
match interface GigabitEthernet0
!
route-map ISP_Prov2 permit 10
match interface FastEthernet8
!
snmp-server ifindex persist
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7 03175F0D150B270F0A4C5A4144
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
end
Добрый день.Вижу лог только 891.
На туннеле keepalive, что фатально, если на другом конце стоит tunnel mode ipsec ipv4, а не crypto map (было бы неплохо увидеть конфиг с 1800).Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, что оба туннеля терминируются на одном destination (кстати, если это так, то работать одновременно туннели не будут).
А можно лог того, как это происходит, т.е.
ter mon
show ip int br - туннели up
show crypto isakmp sa
включаем netflow
show ip int br - туннели down
show crypto isakmp sa
>[оверквотинг удален]
> Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление,
> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).
> А можно лог того, как это происходит, т.е.
> ter mon
> show ip int br - туннели up
> show crypto isakmp sa
> включаем netflow
> show ip int br - туннели down
> show crypto isakmp saНет все верно вы поняли на двух тунелях у меня один и тот же дистинейшон так как на удаленной циске один провайдер.
crypto map я не использую, работает на профилях.
С нет флов ошибочка вышла тунели сами по себе глючат. Как только настроил, без нет флов все завелось, пока настраивал нет флов, все упало и так пару раз было, отсюда и грешил на него. Теперь понимаю что, не из за него, так как тунели опять при выключенном нет флов лежат.> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).Почему? Почему тогда с начало оба тунеля работали до пары довремени? и как тогда нужно?
ЭТО 1800
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
logging enable
hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
shutdown
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip access-group FW_IN in
ip access-group FW_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!
ip access-list extended FW_IN
permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116
permit icmp any host xxx.xx.xx.116
deny ip any any
ip access-list extended FW_OUT
permit ip any any
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
rf#show ip int brief Это 891Interface IP-Address OK? Method Status Protocol
FastEthernet6 unassigned YES unset up up
FastEthernet8 xxx.xxx.xx.121 YES NVRAM up up
GigabitEthernet0 xx.xxx.xxx.181 YES NVRAM up up
Loopback0 10.0.10.4 YES NVRAM up up
NVI0 xxx.xxx.xx.121 YES unset up up
Tunnel0 192.168.2.1 YES NVRAM up down
Tunnel1 192.168.3.1 YES NVRAM up down
Vlan1 10.200.1.5 YES NVRAM up updm#sh ip int brief это 1800
Interface IP-Address OK? Method Status Protocol
FastEthernet0 xxx.xx.xx.116 YES NVRAM up up
FastEthernet7 unassigned YES unset up up
Vlan1 10.200.2.5 YES NVRAM up up
Tunnel1 192.168.3.2 YES NVRAM up down
Tunnel0 192.168.2.2 YES NVRAM up down
Loopback0 22.22.22.22 YES NVRAM up up
NVI0 unassigned NO unset up uprf#show crypto isakmp sa Это 891
IPv4 Crypto ISAKMP SA
dst src state conn-id status
xxx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 ACTIVE (deleted)
xxx.xx.xx.116 xx.xxx.xxx.181 QM_IDLE 2001 ACTIVE
xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 ACTIVEdm#show crypto isakmp sa Это 1800
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 0 ACTIVE
xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2001 0 ACTIVE
xx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 0 ACTIVE
> Нет все верно вы поняли на двух тунелях у меня один и
> тот же дистинейшон так как на удаленной циске один провайдер.
> crypto map я не использую, работает на профилях.
> С нет флов ошибочка вышла тунели сами по себе глючат. Как только
> настроил, без нет флов все завелось, пока настраивал нет флов, все
> упало и так пару раз было, отсюда и грешил на него.
> Теперь понимаю что, не из за него, так как тунели опять
> при выключенном нет флов лежат.Уберите с туннелей keepalive, т.к. в случае mode ipsec ipv4 используется isakmp keepalive. Кстати, не увидел строки crypto isakmp invalid-spi-recovery (она нужна!)
>> что оба туннеля терминируются на одном destination (кстати, если это так,
>> то работать одновременно туннели не будут).
> Почему? Почему тогда с начало оба тунеля работали до пары довремени? и
> как тогда нужно?Проблема с двумя туннелями на разных интерфейсах в том, что роутер не знает, через какой физический интерфейс нужно отправлять пакет в destination.
Если Вы хотите сделать 2 туннеля на один и тот же destination, то один из физических интерфейсов нужно поместить в VRF.
> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
> знает, через какой физический интерфейс нужно отправлять пакет в destination.
> Если Вы хотите сделать 2 туннеля на один и тот же destination,
> то один из физических интерфейсов нужно поместить в VRF.Я полагал выбирает в зависимости от работы SLA
>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>> то один из физических интерфейсов нужно поместить в VRF.
> Я полагал выбирает в зависимости от работы SLAДа - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два туннеля одновременно!
>>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>>> то один из физических интерфейсов нужно поместить в VRF.
>> Я полагал выбирает в зависимости от работы SLA
> Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два
> туннеля одновременно!Одновременно ненужно. при работе основного канала tunnel0 при резервном tunnel1
В данный момент перестал работать один из провайдеров, как раз основной.
SLA постоянно пробует проверяет основной канал на работоспособность и при этом рвет резервный.
Так и должно быть?
Можно как то иначе сконфигурировать?
Если дело только в туннелях, то я бы сделал, чтобы оба работали одновременно, а протокол маршрутизации выбирал куда кидать трафик.Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы ведь не описали, что значит: "рвет").
> Если дело только в туннелях, то я бы сделал, чтобы оба работали
> одновременно, а протокол маршрутизации выбирал куда кидать трафик.не она еще и натить офис будет. в интернет всех выпускать
> Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы
> ведь не описали, что значит: "рвет").Отключаю основной канал связи
b вот лог
сейчас циска на резерве g0Oct 9 12:35:11.382: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to down
Oct 9 12:35:12.382: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to down
Oct 9 12:35:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:36:51.050: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to up
Oct 9 12:36:52.050: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to up
Oct 9 12:37:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:37:16.514: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:37:20.766: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:37:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:37:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:37:58.506: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:38:03.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:38:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:38:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:40:08.042: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:40:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:40:10.986: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:40:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:40:39.630: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:40:44.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:40:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:40:53.090: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
Oct 9 12:40:53.090: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: interface down
Oct 9 12:41:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:41:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:41:43.098: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
Oct 9 12:41:44.278: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:41:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:41:59.330: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:42:03.930: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:42:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:42:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct 9 12:42:37.482: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct 9 12:42:42.422: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
Oct 9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct 9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->UpМало того постоянно скачит то включает то выключает
Oct 9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct 9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->UpТак еще каким то Макаром если включить основной канал то интернет начинает работать с основного и при этом тунель "поднимается". Сейчас эксперементирую с одним тунелем закрепленным на интерфейс интернета резерв g0
включил интернет на основном канале
Oct 9 12:47:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct 9 12:47:18.402: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct 9 12:47:22.286: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
S* 0.0.0.0/0 [1/0] via xxx.xxx.xx.113
10.0.0.0/8 is variably subnetted, 5 subnets, 3 masks
D 10.0.0.0/8 [90/1538560] via 192.168.2.2, 00:00:39, Tunnel0
C 10.0.10.0/24 is directly connected, Loopback0
L 10.0.10.4/32 is directly connected, Loopback0
C 10.200.1.0/24 is directly connected, Vlan1
L 10.200.1.5/32 is directly connected, Vlan1
xx.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C xx.xxx.xxx.128/25 is directly connected, GigabitEthernet0
L xx.xxx.xxx.181/32 is directly connected, GigabitEthernet0
192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.2.0/24 is directly connected, Tunnel0
L 192.168.2.1/32 is directly connected, Tunnel0
xxx.xxx.xx.0/24 is variably subnetted, 2 subnets, 2 masks
C xxx.xxx.xx.112/28 is directly connected, FastEthernet8
L xxx.xxx.xx.121/32 is directly connected, FastEthernet8
> Так еще каким то Макаром если включить основной канал то интернет начинает
> работать с основного и при этом тунель "поднимается".поправлюсь. Ненадолго.
Добрый день.А у Вас local PBR случайно нет (это могло бы объяснить такие скачки track object)?
У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8?Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8?
В sh ip route не увидел туннеля N1.
> Добрый день.
> А у Вас local PBR случайно нет (это могло бы объяснить такие
> скачки track object)?local PBR не припоминаю чтоб что то похожее настраивал, конфиг весь выложил выше, изменение лиш (удалил тунель 1)
> У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8?да пингуется
> Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8?
Пока да
у меня сети 1-я 10.200.1.0 вторая 10.200.2.0 когда добавляю их в eigrp получаю это 10.0.0.0/8> В sh ip route не увидел туннеля N1.
я уточнил сейчас убрал тунель 1 так как выявил проблему еще и с sla с ней решу дальше буду думать что делать с тунелями.
Кстати если делать по это http://www.opennet.me/base/cisco/ip_sla.txt.html статье с двумя sla то вообще еще хуже
Oct 10 10:29:31.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Downsla 2 не ответил и все оба канала легли
sh track
sh track br
оба в down
Добрый день.Вы часто меняете конфиг, не публикуя его.
Рекомендую выложить текущий конфиг (полностью, но без паролей) и описать (с командами show ...) что не работает.
>[оверквотинг удален]
> Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
> Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is down: Interface PEER-TERMINATION received
> Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is up: new adjacency
> Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
> sla 2 не ответил и все оба канала легли
> sh track
> sh track br
> оба в downПроблему решил
ip sla 1
icmp-echo Gate(ISP1) Host (ipH) Если необходимо проверять хост за провайдером то необходимо добавить маршрут например пинги на 8.8.8.8 добавить маршрут
8.8.8.8 255.255.255.255 через шлюз проверяемого провайдера Gate (ISP1)
ip sla schedule 1 start now life forever
track 11 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 Gate(ISP1) track 11
"ip route 8.8.8.8 255.255.255.255 Gate(ISP1) 200"
Готов вернуться к вопросу почему у меня не работают два тунеля поочереди в зависимости от доступного провайдера.rf(config-if)#
Oct 10 14:01:31.843: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:01:41.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:01:45.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:02:15.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:02:33.975: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:02:45.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:03:05.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:03:11.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:03:34.879: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:03:41.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:03:45.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:04:05.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:04:25.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
Oct 10 14:04:25.775: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:04:58.799: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:05:12.415: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:06:00.907: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:06:01.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:06:05.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:06:41.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:06:45.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:06:55.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:07:02.215: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:07:45.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:08:05.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:08:06.251: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:08:45.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:09:05.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:09:06.547: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:09:11.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:09:41.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:09:45.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:10:05.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:10:06.851: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:10:45.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:05.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:11:10.591: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:11:25.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:28.875: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:12:07.275: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:12:11.031: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:12:35.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:12:45.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:01.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:13:05.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:13:13.551: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:13:25.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:27.279: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:13:41.611: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:14:13.767: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:14:23.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#end
rf#
Oct 10 14:14:51.483: %SYS-5-CONFIG_I: Configured from console by epashkov on vty0 (10.200.1.3)
rf#
891 Циска там где два провайдера
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname rf
!
boot-start-marker
boot system flash:c890-universalk9-mz.150-1.M9.bin
boot-end-marker
!
logging buffered 4096 informational
no logging console
enable secret 5
enable password 0
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
!
!
!
c
ip source-route
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
ip cef
no ip domain lookup
ip domain name
no ipv6 cef
!
!
multilink bundle-name authenticated!
!
archive
log config
logging enable
hidekeys
username user privilege 15 password 7
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
track 11 ip sla 1 reachability
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key pass address xxx.xx.xx.116 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
!
interface Loopback0
ip address 10.0.10.4 255.255.255.0
!
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.1 255.255.255.0
ip mtu 1400
tunnel source FastEthernet8
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.1 255.255.255.0
ip mtu 1400
delay 52000
tunnel source GigabitEthernet0
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!interface FastEthernet8
description === 1 ===
ip address xxx.xxx.xx.121 255.255.255.240
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface GigabitEthernet0
description === 2 ===
ip address xx.xxx.xxx.181 255.255.255.128
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface Vlan1
description === LAN ===
ip address 10.200.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
!
!
router eigrp 1
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
!
ip forward-protocol nd
no ip http server
ip http authentication local
no ip http secure-server
!
!
ip nat pool Pool_2 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128
ip nat pool Pool_1 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240
ip nat inside source route-map ISP_1 pool Pool_1 overload
ip nat inside source route-map ISP_2 pool Pool_2 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 50 track 11
ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 100
ip route 8.8.4.4 255.255.255.255 xxx.xxx.xx.113 200
!!
ip sla 1
icmp-echo 8.8.4.4 source-ip xxx.xxx.xx.121
frequency 20
ip sla schedule 1 life forever start-time now
no cdp run!
!
!
!
route-map ISP_2 permit 10
match interface GigabitEthernet0
!
route-map ISP_1 permit 10
match interface FastEthernet8
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
end
1800 ---------------------------------------------------version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
logging enable
hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
show даже и незнаю в какой момент снимать так как лог подтверждает что состояние вывода таких как
sh ip int brief
sh crypto session detail
sh ip routeпостоянно меняется.
> show даже и незнаю в какой момент снимать так как лог подтверждает
> что состояние вывода таких как
> sh ip int brief
> sh crypto session detail
> sh ip route
> постоянно меняется.фуууууух я уже устал сегодня наверное.
в общем проблему решил пока еще не понял до конца для чего эта команда но работает
ip bandwidth-percent eigrp 50 50 на тунели и все ок.теперь если обрывается основной канал все начинает работать на резервном, при восстановлении все возвращается обратно как и изначально. Выпил чаю вздохнул.
И тут в голову влетела мысль а что если выключить резервный. "№;;""
И как вы думаете что произошло???? конечно же каким то Макаром шлюз по умолчанию включился от резервного канала и все упало............Как так???? что за ????