странные проблемы с маршрутизацией/dmvpm/3площадки, antrocon, 24-Дек-12, 11:38 [смотреть все]Доброго времени суток!Есть 3 площадки: цод dc (cisco3945), удаленные офисы loc1 (cisco3945) и loc2 (cisco1841). В цод один isp, в офисах - по два, причем из loc1 в dc через одного из провайдеров проброшен прямой vlan (l2-vpn, если не ошибаюсь). На всех площадках после цисок в дмз стоит шлюз/фаерволл, за которым уже своя локалка. Мне нужно соединить эти площадки - офисы должны подключатся к цоду gre+ipsec туннелями, между всеми площадками должен ходить траффик. Идея понятная - в цоде dm-vpn hub, loc2 - dm-vpn spoke + even-manager для переключения на другой isp в случае падения, loc1 - dm-vpn spoke + обычный gre+ipsec туннель через прямой vlan; по всем туннелям - eigrp для маршрутизации, сети за гейтами - через redistribute route. Конфиги я написал, собрал 1-в-1 стенд в gns3 и проверил все мельчайшие детали - в gns3 все работало замечательно. В реальности, как несложно догадаться, возникла непонятная мне проблема: Все туннели успешно поднялись, eigrp получил все маршруты - до сетей dc, до сетей loc1, до сетей loc2, но между собой пингуется все, но только вплоть до дмз интерфейса (192.168.5.1) циски loc2, т.е. внутренняя сеть loc2 или дмз интерфейс шлюза (192.168.5.2) недоступны ни из dc, ни из loc1. При этом с самой циски loc2 - все пингуется: и дмз, и локалка, и остальные площадки. Более того - tcpdump-ом на шлюзе я вижу входящие пинги и даже исходящие ответы, но debug ip icmp на циске этих ответов не показывает. Что самое странное - если с loc2 поднять туннель не до dc, а до loc1 (не важно, dm-vpn или обычный туннель) - то все работает, все площаки пингуют друг друга, траффик ходит. Но это плохой вариант, т.к. loc2 зависит от интернета в loc1. Прошу помощи разобраться в этих чудесах! конфиги цисок: dc:
! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname dc ! boot-start-marker boot-end-marker ! ip cef no ipv6 cef ! multilink bundle-name authenticated ! redundancy ! csdb tcp synwait-time 30 csdb tcp idle-time 3600 csdb tcp finwait-time 5 csdb tcp reassembly max-memory 1024 csdb tcp reassembly max-queue-length 16 csdb udp idle-time 30 csdb icmp idle-time 10 csdb session max-session 65535 ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key somekey address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac mode transport ! crypto ipsec profile myprofile set transform-set vpn1 set pfs group1 ! bridge irb ! interface Tunnel1 ip address 192.168.3.1 255.255.255.0 no ip redirects no ip next-hop-self eigrp 1020 ip nhrp map multicast dynamic ip nhrp network-id 111 no ip split-horizon eigrp 1020 tunnel source GigabitEthernet0/2.735 tunnel mode gre multipoint tunnel key 111 tunnel protection ipsec profile myprofile ! interface Tunnel2 ip address 192.168.4.1 255.255.255.252 no ip split-horizon eigrp 1020 tunnel source 192.168.1.1 tunnel destination 192.168.1.2 tunnel key 222 tunnel protection ipsec profile myprofile ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.11 encapsulation dot1Q 11 bridge-group 1 ! interface GigabitEthernet0/0.12 encapsulation dot1Q 12 bridge-group 2 ! interface GigabitEthernet0/0.13 encapsulation dot1Q 13 bridge-group 3 ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.11 encapsulation dot1Q 11 bridge-group 1 ! interface GigabitEthernet0/1.12 encapsulation dot1Q 12 bridge-group 2 ! interface GigabitEthernet0/1.13 encapsulation dot1Q 13 bridge-group 3 ! interface GigabitEthernet0/2 no ip address duplex auto speed auto ! interface GigabitEthernet0/2.735 description <<<inet>>> encapsulation dot1Q 735 ip address xxx.xxx.xxx.xx2 255.255.255.224 secondary ip address xxx.xxx.xxx.xxx 255.255.255.224 ip nat outside ! interface GigabitEthernet0/2.970 description <<<dc-loc1-vlan>>> encapsulation dot1Q 970 ip address 192.168.1.1 255.255.255.252 ! interface BVI1 ip address 192.168.11.1 255.255.255.0 ! interface BVI2 ip address 192.168.7.1 255.255.255.0 ip nat inside ! interface BVI3 ip address 192.168.8.1 255.255.255.0 ip nat inside ! router eigrp 1020 variance 2 redistribute static route-map reigrp network 192.168.3.0 network 192.168.4.0 0.0.0.3 network 192.168.7.0 network 192.168.8.0 network 192.168.11.0 no auto-summary ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xgw ip route 192.168.10.0 255.255.255.0 192.168.7.2 ip route 192.168.160.0 255.255.224.0 192.168.8.2 ip nat translation timeout 900 ip nat translation tcp-timeout 900 ip nat inside source static 192.168.7.2 xxx.xxx.xxx.xx2 ! no ip http server no ip http secure-server ! ip sla responder access-list 10 remark <<<allowed to configure>>> access-list 10 permit 192.168.10.0 0.0.0.255 access-list 20 remark <<<redistribute routes>>> access-list 20 permit 192.168.10.0 0.0.0.255 access-list 20 permit 192.168.160.0 0.0.31.255 ! route-map reigrp permit 10 match ip address 20 ! control-plane ! bridge 1 protocol ieee bridge 1 route ip bridge 2 protocol ieee bridge 2 route ip bridge 3 protocol ieee bridge 3 route ip ! scheduler allocate 20000 1000 ! end
loc1:
! version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname loc1 ! boot-start-marker boot-end-marker ! crypto pki token default removal timeout 0 ! no ipv6 cef ip cef ! multilink bundle-name authenticated ! redundancy ! track 30 ip sla 3 reachability ! track 40 ip sla 4 reachability ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key somekey address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac mode transport ! crypto ipsec profile myprofile set transform-set vpn1 set pfs group1 ! interface Tunnel1 ip address 192.168.4.2 255.255.255.252 tunnel source 192.168.1.2 tunnel destination 192.168.1.1 tunnel key 222 tunnel protection ipsec profile myprofile ! interface Tunnel2 ip address 192.168.3.4 255.255.255.0 ip nhrp map 192.168.3.1 xxx.xxx.xxx.xxx ip nhrp map multicast xxx.xxx.xxx.xxx ip nhrp network-id 111 ip nhrp nhs 192.168.3.1 tunnel source GigabitEthernet0/2 tunnel mode gre multipoint tunnel key 111 tunnel protection ipsec profile myprofile ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.100 description <<< Lan-DMZ >>> encapsulation dot1Q 100 ip address 172.16.250.1 255.255.255.248 ip directed-broadcast ip nat inside ip virtual-reassembly in ip policy route-map inet ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.100 description <<< isp1 >>> encapsulation dot1Q 2312 ip address yyy.yyy.aaa.aaa 255.255.255.248 ip nat outside ip virtual-reassembly in ! interface GigabitEthernet0/1.101 description <<< loc1-dc-vlan >>> encapsulation dot1Q 970 ip address 192.168.1.2 255.255.255.252 ! interface GigabitEthernet0/2 description <<< isp2 >>> ip address yyy.yyy.bbb.bbb 255.255.255.240 ip nat outside ip virtual-reassembly in duplex auto speed auto ! router eigrp 1020 variance 2 network 172.16.250.0 255.255.255.248 network 192.168.4.0 255.255.255.252 network 192.168.3.0 255.255.255.0 redistribute static route-map reigrp ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat translation timeout 300 ip nat translation tcp-timeout 300 ip nat inside source route-map nat-eltel interface GigabitEthernet0/1.100 overload ip nat inside source route-map nat-mcom interface GigabitEthernet0/2 overload ip route 0.0.0.0 0.0.0.0 yyy.yyy.bbb.bgw 20 track 30 ip route 0.0.0.0 0.0.0.0 yyy.yyy.aaa.agw 10 track 40 ip route 10.0.0.0 255.0.0.0 172.16.250.2 ! ip sla responder ip sla 3 icmp-echo yyy.yyy.bbb.bgw source-interface GigabitEthernet0/2 threshold 100 frequency 5 ip sla schedule 3 life forever start-time now ip sla 4 icmp-echo yyy.yyy.aaa.agw source-interface GigabitEthernet0/1.100 threshold 100 frequency 5 ip sla schedule 4 life forever start-time now access-list 10 remark <<<full lan&dmz>>> access-list 10 permit 10.0.0.0 0.255.255.255 access-list 10 permit 172.16.250.0 0.0.0.7 access-list 20 remark <<<redistribute routes>>> access-list 20 permit 10.0.0.0 0.255.255.255 access-list 30 remark <<<route through isp2>>> access-list 30 permit 172.16.250.2 access-list 30 permit 10.0.13.0 0.0.0.255 access-list 30 permit 10.0.10.0 0.0.0.255 access-list 30 permit 10.0.7.0 0.0.0.255 access-list 30 permit 10.0.14.0 0.0.0.255 access-list 80 remark <<< exclude from isp2 list >>> access-list 80 permit 10.0.10.2 access-list 80 permit 10.0.10.19 access-list 80 permit 10.0.10.21 access-list 80 permit 10.0.7.59 access-list 150 remark <<<route through vpn>>> access-list 150 permit ip any 192.168.0.0 0.0.255.255 access-list 150 permit ip any 172.16.0.0 0.0.255.255 ! route-map inet deny 10 match ip address 150 ! route-map inet permit 20 match ip address 80 set ip next-hop yyy.yyy.aaa.agw ! route-map inet permit 30 match ip address 30 set ip next-hop verify-availability yyy.yyy.bbb.bgw 10 track 30 set ip next-hop verify-availability yyy.yyy.aaa.agw 20 track 40 ! route-map reigrp permit 10 match ip address 20 ! route-map nat-isp1 permit 10 match ip address 10 match interface GigabitEthernet0/1.100 ! route-map nat-isp2 permit 10 match ip address 10 match interface GigabitEthernet0/2 ! control-plane ! scheduler allocate 20000 1000 end
loc2:
! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname loc2 ! boot-start-marker boot-end-marker ! ip cef ! multilink bundle-name authenticated ! crypto isakmp policy 5 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key somekey address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac mode transport ! crypto ipsec profile myprofile set transform-set vpn1 set pfs group1 ! ! track 30 ip sla 3 reachability delay down 15 up 15 ! track 40 ip sla 4 reachability ! interface Tunnel1 ip address 192.168.3.2 255.255.255.0 ip nhrp map 192.168.3.1 xxx.xxx.xxx.xxx ip nhrp map multicast xxx.xxx.xxx.xxx ip nhrp network-id 111 ip nhrp nhs 192.168.3.1 tunnel source vlan2 tunnel mode gre multipoint tunnel key 111 tunnel protection ipsec profile myprofile ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/0/0 switchport access vlan 2 ! interface FastEthernet0/0/1 switchport access vlan 3 no cdp enable ! interface FastEthernet0/0/2 switchport access vlan 4 ! interface FastEthernet0/0/3 ! interface Vlan1 no ip address ! interface Vlan2 ip address zzz.zzz.aaa.aaa 255.255.255.248 ip nat outside ip virtual-reassembly ! interface Vlan3 ip address zzz.zzz.bbb.bbb 255.255.255.248 ip nat outside ip virtual-reassembly ! interface Vlan4 ip address 192.168.5.1 255.255.255.252 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1380 ip policy route-map out ! router eigrp 1020 no auto-summary network 192.168.3.0 255.255.255.0 network 192.168.5.0 255.255.255.252 redistribute static route-map reigrp variance 2 traffic-share balanced ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 zzz.zzz.aaa.agw ip route 0.0.0.0 0.0.0.0 zzz.zzz.bbb.bgw ip route 192.168.2.0 255.255.255.0 192.168.5.2 no ip http server no ip http secure-server ! ip nat translation timeout 900 ip nat translation tcp-timeout 900 ip nat inside source route-map nat-isp1 interface Vlan2 overload ip nat inside source route-map nat-isp2 interface Vlan3 overload ! ip sla 3 icmp-echo zzz.zzz.aaa.agw source-interface Vlan2 threshold 100 frequency 5 ip sla schedule 3 life forever start-time now ip sla 4 icmp-echo zzz.zzz.bbb.bgw source-interface Vlan3 threshold 100 frequency 5 ip sla schedule 4 life forever start-time now access-list 10 remark <<<redistribute through eigrp>>> access-list 10 permit 192.168.2.0 0.0.0.255 access-list 23 remark <<<full lan&dmz>>> access-list 23 permit 192.168.2.0 0.0.0.255 access-list 23 permit 192.168.5.0 0.0.0.3 access-list 150 remark <<<route through vpn>>> access-list 150 permit ip any 192.168.0.0 0.0.255.255 access-list 150 permit ip any 172.16.0.0 0.0.255.255 access-list 150 permit ip any 10.0.0.0 0.255.255.255 ! route-map mout deny 10 match ip address 150 ! route-map mout permit 20 set ip next-hop verify-availability zzz.zzz.aaa.agw 10 track 30 set ip next-hop verify-availability zzz.zzz.bbb.bgw 20 track 40 ! route-map nat-isp1 permit 10 match ip address 23 match interface Vlan2 ! route-map nat-isp2 permit 10 match ip address 23 match interface Vlan3 ! route-map reigrp permit 10 match ip address 10 ! control-plane ! event manager applet TUNNEL-ISP1 event track 30 state up action 1.0 cli command "enable" action 1.1 cli command "config t" action 1.2 cli command "interface Tunnel1" action 1.3 cli command "shutdown" action 1.4 cli command "tunnel source vlan2" action 1.5 cli command "ip address 192.168.3.2 255.255.255.0" action 1.6 cli command "no shutdown" action 1.7 cli command "do clear crypto isakmp" event manager applet TUNNEL-ISP2 event track 30 state down action 1.0 cli command "enable" action 1.1 cli command "config t" action 1.2 cli command "interface Tunnel1" action 1.3 cli command "shutdown" action 1.4 cli command "tunnel source vlan3" action 1.5 cli command "ip address 192.168.3.3 255.255.255.0" action 1.6 cli command "no shutdown" action 1.7 cli command "do clear crypto isakmp" ! scheduler allocate 20000 1000 end
|
- странные проблемы с маршрутизацией/dmvpm/3площадки, spiegel, 18:02 , 24-Дек-12 (1)
извне 192.168.5.1 пингуется, а 192.168.5.2 уже нет? Шлюз у последнего правильно прописан? на loc2: interface Vlan4 ip policy route-map out - где он? на туннелях я бы добавил ip mtu 1416
- странные проблемы с маршрутизацией/dmvpm/3площадки, antrocon, 18:55 , 24-Дек-12 (2)
> извне 192.168.5.1 пингуется, а 192.168.5.2 уже нет? Шлюз у последнего правильно прописан? да, из dc, loc1 - 192.168.5.1 пингуется, а 5.2 уже нет. шлюз у 5.2 правильный - 5.1, тспдамп на 5.2 видит пинги и даже реплаи. между собой 192.168.5.1 и 192.168.5.2 пингуются; в интернет 192.168.5.2 и локалка за ним - нормально выходят через 192.168.5.1 если туннель делать до loc1, а не до dc, не меняя ничего кроме этого - все работает, все пингуется отовсюду. > на loc2: > interface Vlan4 > ip policy route-map out - где он? эт я опечатался при "обсфукации", в реальности ip policy route map mout, роут мап mout там описан. > на туннелях я бы добавил ip mtu 1416 но банальные пинги 64-80 байт-то в любом случае должны проходить
- странные проблемы с маршрутизацией/dmvpm/3площадки, spiegel, 19:43 , 24-Дек-12 (3)
>[оверквотинг удален] > ним - нормально выходят через 192.168.5.1 > если туннель делать до loc1, а не до dc, не меняя ничего > кроме этого - все работает, все пингуется отовсюду. >> на loc2: >> interface Vlan4 >> ip policy route-map out - где он? > эт я опечатался при "обсфукации", в реальности ip policy route map mout, > роут мап mout там описан. >> на туннелях я бы добавил ip mtu 1416 > но банальные пинги 64-80 байт-то в любом случае должны проходить насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и trace с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но он не всегда все пакеты показывает. Есть возможность подключить на loc2 к f0/0/0 комп с программой типа Wireshark ? Что показывает sh ip rout в loc2?
- странные проблемы с маршрутизацией/dmvpm/3площадки, antrocon, 12:04 , 25-Дек-12 (4)
>>[оверквотинг удален] > насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с > обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и trace пинг проходит > с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но он затыкается после 192.168.5.1 > не всегда все пакеты показывает. Есть возможность подключить на loc2 к debug ip icmp пробовал включать - пинги до 5.1 он показывал, до 5.2 - уже нет, ни пинги, ни реплаи. > f0/0/0 комп с программой типа Wireshark ? Что показывает sh подключить комп возможности нет, площадка в другом городе, админов или хотя бы грамотных людей там нет. > ip rout в loc2? по памяти - 192.168.3.1 был directly connected, tunnel1, 10.0.0.0/8 и остальные сети - D EX via 192.168.3.1, tunnel1, 192.168.5.0/30 - directly connected, vlan4 сейчас чтобы хоть как-то работало у меня подняты туннели до loc1, поэтому точно не скажу, но когда изначально проблема была - я эти моменты смотрел. этой или следующей ночью снова попробую конфигурацию с туннелями до dc и отпишусь по точным результатам.
- странные проблемы с маршрутизацией/dmvpm/3площадки, antrocon, 10:32 , 27-Дек-12 (5)
>>[оверквотинг удален] сделал ночные тесты, результаты ниже > насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с > обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и trace > с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но он пинг с loc2:
loc2#ping 192.168.8.1 so 192.168.5.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.8.1, timeout is 2 seconds: Packet sent with a source address of 192.168.5.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/33/36 ms
пинг с dc:
dc#ping 192.168.5.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.5.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/36 ms dc#ping 192.168.5.2 so 192.168.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.5.2, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 ..... Success rate is 0 percent (0/5)
трейс и таблица маршрутизции с 5.2 (loc2-gw):
loc2-gw# traceroute -n 192.168.3.1 traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 40 byte packets 1 192.168.5.1 (192.168.5.1) 1.691 ms 1.623 ms 1.868 ms 2 * * * 3 * * * 4 *^CDestination Gateway Flags Refs Use Netif Expire default 192.168.5.1 UGS 16846 230707321 xl0 127.0.0.1 link#4 UH 0 3616796 lo0 192.168.2.0/24 link#2 U 3036 568740143 sk0 192.168.2.237 link#2 UHS 0 312317212 lo0 192.168.5.0/30 link#1 U 586 16392446 xl0 192.168.5.2 link#1 UHS 0 2720661 lo0
> не всегда все пакеты показывает. Есть возможность подключить на loc2 к > f0/0/0 комп с программой типа Wireshark ? Что показывает sh > ip rout в loc2? вполне правильную картину, на мой взгляд (tunnel3 - это tunnel1 из моего изначального конфига, просто сейчас там еще 2 туннеля tun1,tun2 до loc1 в shutdown-е):
Gateway of last resort is zzz.zzz.aaa.agw to network 0.0.0.0D EX 192.168.122.0/24 [170/28160256] via 192.168.3.1, 00:00:50, Tunnel3 D 192.168.8.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3 D EX 192.168.10.0/24 [170/27008000] via 192.168.3.1, 00:00:50, Tunnel3 172.16.0.0/29 is subnetted, 1 subnets D 172.16.250.0 [90/28160256] via 192.168.3.1, 00:00:50, Tunnel3 D 192.168.11.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3 192.168.4.0/30 is subnetted, 3 subnets D 192.168.4.8 [90/29440000] via 192.168.3.1, 00:00:50, Tunnel3 D 192.168.4.4 [90/29440000] via 192.168.3.1, 00:00:50, Tunnel3 D 192.168.4.0 [90/28160000] via 192.168.3.1, 00:00:50, Tunnel3 yyy.yyy.aaa.0/32 is subnetted, 1 subnets S yyy.yyy.aaa.aaa [1/0] via zzz.zzz.aaa.agw 192.168.5.0/30 is subnetted, 1 subnets C 192.168.5.0 is directly connected, Vlan4 D EX 10.0.0.0/8 [170/28160256] via 192.168.3.1, 00:00:50, Tunnel3 zzz.zzz.aaa.0/29 is subnetted, 1 subnets C zzz.zzz.aaa.aaa is directly connected, Vlan2 D 192.168.7.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3 zzz.zzz.bbb.0/29 is subnetted, 1 subnets C zzz.zzz.bbb.bbb is directly connected, Vlan3 yyy.yyy.bbb.0/32 is subnetted, 1 subnets S yyy.yyy.bbb.bbb [1/0] via zzz.zzz.bbb.bgw S 192.168.2.0/24 [1/0] via 192.168.5.2 C 192.168.3.0/24 is directly connected, Tunnel3 S* 0.0.0.0/0 [1/0] via zzz.zzz.aaa.agw [1/0] via zzz.zzz.bbb.bgw D EX 192.168.160.0/19 [170/27008000] via 192.168.3.1, 00:00:50, Tunnel3
для сравнения картина когда туннели подняты 2 туннеля до loc1 (каждый через своего провайдера):
Gateway of last resort is zzz.zzz.aaa.agw to network 0.0.0.0D EX 192.168.122.0/24 [170/26880256] via 192.168.4.9, 11:51:31, Tunnel1 [170/26880256] via 192.168.4.5, 11:51:31, Tunnel2 D 192.168.8.0/24 [90/28288000] via 192.168.4.9, 11:51:31, Tunnel1 [90/28288000] via 192.168.4.5, 11:51:31, Tunnel2 D EX 192.168.10.0/24 [170/28288000] via 192.168.4.9, 11:51:31, Tunnel1 [170/28288000] via 192.168.4.5, 11:51:31, Tunnel2 172.16.0.0/29 is subnetted, 1 subnets D 172.16.250.0 [90/26880256] via 192.168.4.9, 11:51:31, Tunnel1 [90/26880256] via 192.168.4.5, 11:51:31, Tunnel2 D 192.168.11.0/24 [90/28288000] via 192.168.4.9, 11:51:31, Tunnel1 [90/28288000] via 192.168.4.5, 11:51:31, Tunnel2 192.168.4.0/30 is subnetted, 3 subnets C 192.168.4.8 is directly connected, Tunnel1 C 192.168.4.4 is directly connected, Tunnel2 D 192.168.4.0 [90/28160000] via 192.168.4.9, 11:51:32, Tunnel1 [90/28160000] via 192.168.4.5, 11:51:32, Tunnel2 yyy.yyy.aaa.0/32 is subnetted, 1 subnets S yyy.yyy.aaa.aaa [1/0] via zzz.zzz.aaa.agw 192.168.5.0/30 is subnetted, 1 subnets C 192.168.5.0 is directly connected, Vlan4 D EX 10.0.0.0/8 [170/26880256] via 192.168.4.9, 11:51:32, Tunnel1 [170/26880256] via 192.168.4.5, 11:51:32, Tunnel2 zzz.zzz.aaa.0/29 is subnetted, 1 subnets C zzz.zzz.aaa.64 is directly connected, Vlan2 D 192.168.7.0/24 [90/28288000] via 192.168.4.9, 11:51:32, Tunnel1 [90/28288000] via 192.168.4.5, 11:51:32, Tunnel2 zzz.zzz.bbb.0/29 is subnetted, 1 subnets C zzz.zzz.bbb.bbb is directly connected, Vlan3 yyy.yyy.bbb.0/32 is subnetted, 1 subnets S yyy.yyy.bbb.bbb [1/0] via zzz.zzz.bbb.bgw S 192.168.2.0/24 [1/0] via 192.168.5.2 S* 0.0.0.0/0 [1/0] via zzz.zzz.aaa.agw [1/0] via zzz.zzz.bbb.bgw D EX 192.168.160.0/19 [170/28288000] via 192.168.4.9, 11:51:32, Tunnel1 [170/28288000] via 192.168.4.5, 11:51:32, Tunnel2
- странные проблемы с маршрутизацией/dmvpm/3площадки, spiegel, 23:11 , 27-Дек-12 (6)
> > loc2-gw# traceroute -n 192.168.3.1 > traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 40 byte packets > 1 192.168.5.1 (192.168.5.1) 1.691 ms 1.623 ms > 1.868 ms > 2 * * * > 3 * * * > 4 *^C Видно, что пакет нормально доходит до туннеля 3 на loc2. Дальше что-то не пускает. Выложите debug ip icmp на loc2 при loc2-gw#ping 192.168.3.1
- странные проблемы с маршрутизацией/dmvpm/3площадки, antrocon, 11:40 , 28-Дек-12 (8)
> Видно, что пакет нормально доходит до туннеля 3 на loc2. Дальше > что-то не пускает. Выложите debug ip icmp на loc2 при loc2-gw#ping > 192.168.3.1 в том-то и дело, что debug ip icmp ничего не показывает про пинг 192.168.5.2<->192.168.3.1, хотя про всякие пинги из инета или с loc1 - пишет
*Dec 28 06:31:09.800: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:09.876: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.210.251.163 *Dec 28 06:31:10.408: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 95.154.77.54 *Dec 28 06:31:11.036: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 91.194.201.16 *Dec 28 06:31:11.040: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:11.592: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 83.81.66.180 *Dec 28 06:31:11.644: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:12.156: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 84.25.53.76 *Dec 28 06:31:12.220: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:12.936: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 176.96.233.109 *Dec 28 06:31:13.076: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:13.608: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 195.82.154.13 *Dec 28 06:31:13.772: ICMP: echo reply rcvd, src zzz.zzz.bbb.bgw, dst zzz.zzz.bbb.bbb *Dec 28 06:31:13.996: ICMP: echo reply sent, src 192.168.5.1, dst 172.16.250.1 *Dec 28 06:31:14.360: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:14.520: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 109.172.53.24 *Dec 28 06:31:14.988: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:15.024: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54 *Dec 28 06:31:15.112: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.64.35.185 *Dec 28 06:31:15.572: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:15.884: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 77.163.207.16 *Dec 28 06:31:16.240: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:16.768: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:16.816: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 217.165.120.60 *Dec 28 06:31:17.432: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54 *Dec 28 06:31:17.492: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 91.194.201.16 *Dec 28 06:31:18.580: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 84.25.53.76 *Dec 28 06:31:18.772: ICMP: echo reply rcvd, src zzz.zzz.bbb.bgw, dst zzz.zzz.bbb.bbb *Dec 28 06:31:18.996: ICMP: echo reply sent, src 192.168.5.1, dst 172.16.250.1 *Dec 28 06:31:19.216: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:19.424: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.210.251.163 *Dec 28 06:31:19.768: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:20.232: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54 *Dec 28 06:31:20.976: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 109.172.15.1 *Dec 28 06:31:21.164: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117 *Dec 28 06:31:21.768: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 95.106.129.4
более того - когда туннель поднят до loc1 и все пинги проходят - debug ip icmp тоже не отображает пинги от 192.168.5.2
- странные проблемы с маршрутизацией/dmvpm/3площадки, spiegel, 23:12 , 27-Дек-12 (7)
|