The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ASA 5520 не пропускает более одного тунеля"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Cisco ASA 5520 не пропускает более одного тунеля"  +/
Сообщение от PASHU email(ok) on 08-Июл-14, 09:42 
Проблема следующего характера - имеется схема

Филиалы (Cisco 1921) R1-R10 <-> ASA (5520) <-> Cisco 1921 (R11)

Суть в следующем, ASA пропустила только один туннель и стабильно с ним работает. Все остальные соединяются, обмен OSPF таблицами производится, вроде все через туннель ходит и трасировка правильная, но потом туннель через какое-то время отрубается (Время всегда разное до минуты максимум). Не стабильная связь исключена, так как до ввода ASA все туннели работали в нормальном режиме. Повторюсь один туннель, всегда стабильно подключен и работает.

Подскажите мудрейшие. Заранее всем спасибо)

Конфиг ASA

interface GigabitEthernet0/0
description INTERNET
nameif INT
security-level 0
ip address xxx.xxx.118.101 255.255.255.248
!
interface GigabitEthernet0/1
description LAN
nameif LAN
security-level 100
ip address 10.0.8.10 255.255.254.0
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list LOCAL extended permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0
access-list outs extended permit icmp any host xxx.xxx.118.100
access-list outs extended permit tcp any host xxx.xxx.118.100 eq pptp
access-list outs extended permit gre any host xxx.xxx.118.100
pager lines 24
logging enable
mtu INT 1500
mtu LAN 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (INT) 1 interface
nat (LAN) 0 access-list LOCAL
nat (LAN) 1 10.0.8.0 255.255.254.0
static (LAN,INT) xxx.xxx.118.100 10.0.8.1 netmask 255.255.255.255
access-group outs in interface INT
route INT 0.0.0.0 0.0.0.0 xxx.xxx.118.97 1
route LAN 10.0.0.0 255.0.0.0 10.0.8.1 1

Конфиг R11 Который за ASA

interface Tunnel16 - этот один из 10, который подключается OSPF обменивается и через какоето время переходит в статус down
ip unnumbered Vlan108
no ip redirects
no ip proxy-arp
ip mtu 1400
ip route-cache same-interface
no ip route-cache
ip tcp adjust-mss 1360
ip ospf 1 area 0
qos pre-classify
keepalive 5 4
tunnel source Vlan108
tunnel destination xxx.xxx.7.254
tunnel checksum
!
interface Tunnel12 - Тот с которым установилось соединение и у него все гуд
ip unnumbered Vlan108
no ip redirects
no ip proxy-arp
ip mtu 1400
ip route-cache same-interface
no ip route-cache
ip tcp adjust-mss 1360
ip ospf 1 area 0
qos pre-classify
keepalive 5 4
tunnel source Vlan108
tunnel destination xxx.xxx.116.250
tunnel checksum
!
interface Vlan108
description VLAN LAN
ip address 10.0.8.1 255.255.254.0
ip helper-address 10.0.114.21
no ip redirects
no ip proxy-arp
ip virtual-reassembly in
ip route-cache same-interface
ip route-cache policy
!
ip route 0.0.0.0 0.0.0.0 10.0.8.10

R1 - в филиале, все настройки на всех одинаковые. С другими площадками соединение есть и они между собой работают стабильно

interface Tunnel8
ip unnumbered Vlan116
no ip redirects
no ip proxy-arp
ip mtu 1400
ip route-cache same-interface
no ip route-cache
ip tcp adjust-mss 1360
ip ospf 1 area 0
keepalive 5 4
tunnel source Vlan216
tunnel destination xxx.xxx.118.100
tunnel checksum
!
interface Vlan116
description VLAN LAN
ip address 10.0.16.2 255.255.255.0 secondary
ip address 10.0.16.1 255.255.255.0
ip helper-address 10.0.116.21
ip nat inside
ip virtual-reassembly in
ip policy route-map rmTO_PROXY
!
interface Vlan216
description VLAN INT
ip address xxx.xxx.31.206 255.255.255.252
ip access-group INT_TO_LAN in
ip nat outside
ip inspect FW out
ip virtual-reassembly in
!
router ospf 1
router-id 10.0.16.1
network 10.0.16.0 0.0.0.255 area 1
network 10.0.116.0 0.0.0.255 area 2
!
ip nat inside source list NAT interface Vlan216 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.31.205

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA 5520 не пропускает более одного тунеля"  +/
Сообщение от karnomol on 08-Июл-14, 15:02 
дайте полный конфиг АСЫ и логи.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ASA 5520 не пропускает более одного тунеля"  +/
Сообщение от ShyLion (ok) on 11-Июл-14, 08:49 
> Проблема следующего характера - имеется схема
> Филиалы (Cisco 1921) R1-R10 <-> ASA (5520) <-> Cisco 1921 (R11)

Плохой дизайн сети. Натить тунельный траффик - бред.
На АСУ свой внешний адрес, на роутер свой, отдельный, между ними линк c OSPF. АСА будет выпускать пользователей в инет, а роутер туннели обеспечивать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру