forum.opennet.ru

"IPSec tunnel"

Форум Маршрутизаторы CISCO и др. оборудование.
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

"IPSec tunnel"	+/–
Сообщение от Алексей (??), 22-Дек-10, 09:18
Добрый всем день. Проблема следующего характера. Имеем туннель между двумя маршрутизаторами. Все стандартно: interface Tunnel0 ip address 192.168.50.2 255.255.255.252 tunnel source xxxxxxxxxxxxxxxxx tunnel destination xxxxxxxxxxxxxxxxxx Ну и маршрутизвция в другую сеть ip route 192.168.100.0 255.255.255.0 Tunnel0 192.168.50.1 Все работает на "ура"... Далее щифрую туннель через ipsec profile Настройки: crypto isakmp policy 1 encr 3des authentication per-share group 2 crypto ipsec transform-set IPSEC esp-3des esp-sha-hmac mode transport crypto isakmp key 0 keykeykeykey address xxx.xxx.xxx.xxx crypto ipsec profile TUNNEL set transform-set IPSEC Далее на интерфейсе tunnel 0 tunnel protection ipsec profile TUNNEL ...на этом все.... Вот после включения шифрования начинаются тормоза. Допустим захожу на сервер через ssh в другую подсеть - сплошная ругань на тайм ауты... Копирую файл с ftp - тож самое. Ругань на тайм ауты, а после дает копировать. Скорость при этом максимально возможная через этот канал.. Если снова выключить шифрование - все работает опять без проблем. Куда копать, как промониторить?
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec tunnel, Алексей, 22-Дек-10, 09:18 [смотреть все]

gt оверквотинг удален Попробуй MTU на тунельном интерфейсе уменьшить до 1400Ну, Pve1, 22-Дек-10, 09:50 (1) //
- gt оверквотинг удален Железо - C870-ADVSECURITYK9-M с двух сторон MTU меня, Алексей, 22-Дек-10, 09:57 (2) //
  - 1 если dropped в sh int tu02 deb ip tcp tr, aZL, 22-Дек-10, 10:19 (3) //
    - 1 Input queue 0 75 0 0 size max drops flushes Total output drops 10 но з, Алексей, 22-Дек-10, 10:39 (5)
      - Ага, тогда ещё sh ip traffic 124 i fragmentи покажите конфиг интерфейсов fa и, aZL, 22-Дек-10, 12:10 (8)
  - debug crypto isakmpДумаю проблемы при изначальном и последующих выборах ключа ши, ShyLion, 24-Дек-10, 15:33 (29)
gt оверквотинг удален set peer в crypto map я у Вас не увидел Весь траффик в, Aleks305, 22-Дек-10, 10:38 (4) //
- gt оверквотинг удален Нет ни каких крипто мэпов , Алексей, 22-Дек-10, 11:27 (6)
- Удалил туннели и сделал крипто мэпыcrypto isakmp policy 10 encr aes 256 authenti, Алексей, 22-Дек-10, 11:51 (7) //
  - Прошло 10 минут После перестройки c профиля на crypto map все заработало как н, Алексей, 22-Дек-10, 12:14 (9) //
    - Вообще это оч странно А если попробовать настройках тунеля жестко указать тип, Pve1, 22-Дек-10, 15:48 (10)
      - GRE как правило используется с ipsec для передачи мультикаста в протоколах маршр, Aleks305, 22-Дек-10, 17:10 (11)
    - Рано поспешил закрыть тему Все равно тормоза Кстати, когда были tunnel-и ста, Алексей, 23-Дек-10, 09:29 (12)
      - Вот конфиг одной из сторон Last configuration change at 12 10 15 MSK Wed Dec , Алексей, 23-Дек-10, 09:34 (13)
      - Вы так и не показалиsh ip traffic 124 i fragment и конфиг tun0 , aZL, 23-Дек-10, 09:36 (14)
        
        sh ip traffic 124 include frag0 fragmented, 0 fragments, 0 couldn t fragmentС, Алексей, 23-Дек-10, 09:43 (15)
        
        О каг, у Вас уже всё координально поменялось Давайте попробуем так int vlan 1, aZL, 23-Дек-10, 11:49 (16)
        
        Поменял Все тож самое Сделал на обоих cisc-ах clear crypto saping 192 168 2 5, Алексей, 23-Дек-10, 12:15 (17)
        Да уж не знаю куда копать Пробую все варианты , Алексей, 23-Дек-10, 12:16 (18)
        
        Кстати, вот только что опять все заработало как надо Вчера тож самое 2-3 часа , Алексей, 23-Дек-10, 12:20 (19)
        
        Т е сейчас, например, по ftp всё нормально Ещё скачайте mturoute http www i, aZL, 23-Дек-10, 12:35 (20)
        
        Было нормально минут 15-20 Копировал на ftp 20Gbt файл Без проблем А сейчас, Алексей, 23-Дек-10, 12:41 (21)
        
        В sh ip traffic 124 i fragment что-нибудь появилось Давайте вернем на Dialer0, aZL, 23-Дек-10, 12:59 (22)
        sh ip traffic 124 i fragment19 fragmented, 38 fragments, 0 couldn t fragmentC, Алексей, 23-Дек-10, 13:02 (23)
        мда, совсем жесть А на физическом уровне ошибок нет кабеля и пр Ещё давайте , aZL, 23-Дек-10, 14:34 (24)
        Тут все красиво Device Motorola Talitos 1 0Location Onboard 0 St, Алексей, 23-Дек-10, 15:07 (25)
        В общем, сильно подозреваю, что всё дело в том, что кроме шифрования cisco прихо, aZL, 23-Дек-10, 15:23 (26)
        А не попробовать ли отключить просто шифрование И поверх чистого тунельного инте, Pve1, 24-Дек-10, 12:45 (27)
        топикстартер изначально сообщал , aZL, 24-Дек-10, 13:25 (28)
        В общем сейчас все работает нормально, причем только с определенными удаленными , Алексей, 27-Дек-10, 14:29 (30)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру