https://slinkov.ru/openforum/vsluhforumID6/22098.html Добрый день! Всех с наступающим 2011г.!<br>Помогите разобраться с "новогодней" проблемой, которая уже извлекла:<br>Есть циска 2811 в головном офисе на ней много туннелей (GRE+IPsec)<br>с филиалами (локальные адреса 10.х.х.х), в которых разнообразное оборудование <br>(в основном циски). Провайдер нам предоставляет СПД с "серыми" (172.16.х.х) адресам<br>все работало норма до последнего времени.<br><br>С некоторых пор в одном офисе (там Cisco 1841) происходят потери пакетов, причем если пинговать "внешние" адреса то все просто отлично:<br>#ping 172.16.2.1 rep 300<br>Type escape sequence to abort.<br>Sending 300, 100-byte ICMP Echos to 172.16.2.1, timeout is 2 seconds:<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<br>!!!!!!!!!!!!!!!!!!!!<br>Success rate is 100 percent (300/300), round-trip min/avg/m https://slinkov.ru/openforum/vsluhforumID6/22098.html#9 Tue, 04 Jan 2011 13:02:04 GMT &gt; а на транспорте между хостами потерь нет? время замены ключа одно? <br><br>время замены нигде явно не задано - надо думать значение по умолчанию одинаково.<br>сейчас провел эксперимент:<br>грохнул криптомап для этого узла с обоих концов, оставив чистый туннель gre без<br>шифрования - все замечательно! никаких потерь!<br><br>проблема именно с ipsec. может у провайдера как-то ipsec трафик обрабатываться?<br> https://slinkov.ru/openforum/vsluhforumID6/22098.html#8 Tue, 04 Jan 2011 08:18:32 GMT &gt;[оверквотинг удален]<br>&gt; area <br>&gt; Last update from 10.0.2.1 on Tunnel2, 00:00:19 ago <br>&gt; Routing Descriptor Blocks: <br>&gt; * 10.0.2.1, from 172.16.2.1, 00:00:19 ago, via Tunnel2 <br>&gt; Route metric is 11121, traffic share <br>&gt; count is 1 <br>&gt; через минуту опять: <br>&gt; #sh ip route 10.0.2.0 <br>&gt; % Subnet not in table <br>&gt; Что еще посмотреть я просто не знаю. В логах ничего....<br><br> а на транспорте между хостами потерь нет? время замены ключа одно?<br> https://slinkov.ru/openforum/vsluhforumID6/22098.html#7 Tue, 04 Jan 2011 07:22:21 GMT &gt;&gt; Добрый день! Всех с наступающим 2011г.!<br>&gt;&gt; Помогите разобраться с "новогодней" проблемой, которая уже извлекла: <br>&gt;&gt; Есть циска 2811 в головном офисе на ней много туннелей (GRE+IPsec) <br>&gt; А какая загрузка этой 2811 циски? (sh proc) Например нам пришлось перейти <br>&gt; на 3845, т.к. 2811 уже не справлялась? Более 3,5Мбит IPSEC трафика <br>&gt; и всё, задыхалась.<br><br>Ну и зря деньги выкинули, если только для этого..<br>AIM-VPN/SSL-2 ей добавить, чтоб снять с ЦП загрузку по шифрованию..<br> https://slinkov.ru/openforum/vsluhforumID6/22098.html#6 Mon, 03 Jan 2011 20:48:55 GMT &gt; А какая загрузка этой 2811 циски? (sh proc) Например нам пришлось перейти <br>&gt; на 3845, т.к. 2811 уже не справлялась? Более 3,5Мбит IPSEC трафика <br>&gt; и всё, задыхалась.<br><br>Да никакая загрузка<br>например в данный момент:<br><br>CPU utilization for five seconds: 0%/0%; one minute: 1%; five minutes: 1%<br><br>(выходной типа, трафик минимальный)<br>и все равно именно этот 1 конкретный туннель теряет пакеты.<br><br>&gt; И ещё вопрос, если вы ospf используете, зачем статические маршруты туда же прописываете? <br>&gt; У Вас в сетке случайно нет одинаковых подсетей? Может traceroute попробовать? Или sh ip &gt; route, вдруг что меняется время от времени.<br><br>ммм... нет у меня статических маршрутов "туда же"...<br>на 2811 (в ЦО) для 10.0.2.0 статического маршрута нет<br>на 1841 (в отделении) есть только default route на туннель, т.к. требуется маршруты <br>не только в 10.х.х.х но и в инет кое-когда.<br><br>Вот только сейчас смотрел на 2811:<br>туннель в очередной раз затупил, маршрут в 10.0.2.0 вообще исчез!<br>потом его отпустило и он появился как и положено https://slinkov.ru/openforum/vsluhforumID6/22098.html#5 Mon, 03 Jan 2011 18:05:27 GMT &gt;&gt; Добрый день! Всех с наступающим 2001г.!<br>&gt; Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011 <br>&gt; наступает <br><br>И ещё вопрос, если вы ospf используете, зачем статические маршруты туда же прописываете? У Вас в сетке случайно нет одинаковых подсетей? Может traceroute попробовать? Или sh ip route, вдруг что меняется время от времени.<br> https://slinkov.ru/openforum/vsluhforumID6/22098.html#4 Mon, 03 Jan 2011 17:53:59 GMT &gt; Добрый день! Всех с наступающим 2011г.!<br>&gt; Помогите разобраться с "новогодней" проблемой, которая уже извлекла: <br>&gt; Есть циска 2811 в головном офисе на ней много туннелей (GRE+IPsec) <br><br>А какая загрузка этой 2811 циски? (sh proc) Например нам пришлось перейти на 3845, т.к. 2811 уже не справлялась? Более 3,5Мбит IPSEC трафика и всё, задыхалась.<br> https://slinkov.ru/openforum/vsluhforumID6/22098.html#3 Fri, 31 Dec 2010 15:13:04 GMT &gt;&gt;&gt; Добрый день! Всех с наступающим 2001г.!<br>&gt;&gt; Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011 <br>&gt;&gt; наступает <br>&gt; Сегодня у меня нет чувства юмора.<br>&gt; Просто опечатка, поправил.<br><br>лучше лог предоставьте, оно интересней будет<br> https://slinkov.ru/openforum/vsluhforumID6/22098.html#2 Fri, 31 Dec 2010 11:56:07 GMT &gt;&gt; Добрый день! Всех с наступающим 2001г.!<br>&gt; Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011 <br>&gt; наступает <br><br>Сегодня у меня нет чувства юмора.<br>Просто опечатка, поправил.<br> https://slinkov.ru/openforum/vsluhforumID6/22098.html#1 Fri, 31 Dec 2010 11:53:11 GMT &gt; Добрый день! Всех с наступающим 2001г.!<br><br>Вы, товарищ, совсем во времени потерялись со своими цисками, нынче уже 2011 наступает<br>