The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"периодически перестают работать IPSec туннели"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"периодически перестают работать IPSec туннели"  +/
Сообщение от rashuf (ok) on 27-Апр-12, 12:58 
Здравствуйте!
Никак не могу решить проблему с (ни с того, ни с сего :) ) периодическим крахом туннельных интерфейсов.
В организации настроены туннели между подразделениями - гл. здание <-> 1 подразделение, гл. здание <-> 2 подразделение, 1 подразделение <-> 2 подразделение. Оборудование - cisco 2811 (12.4 C2800NM-ADVIPSERVICESK9-M) (гл.) + cisco 1841 (15.1 C1841-ADVIPSERVICESK9-M (подразд.)
Проблема в том, что периодически пропадает связь по внутренним номерам между гл. зданием и подразделениями, при этом связь между подразделениями 1-2 сохраняется, поэтому делаю вывод о проблеме в главном маршрутизаторе (2811). Оба туннеля падают с ошибкой %CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. После этого пинг перестает ходить. Помогает только reload [confirm] :) Shut - no shut - эффект нулевой. Uptime бывает и 7 дней, и 20 дней. Туннели падают в ночное время, поэтому идею о нехватке ресурсов маршрутизатора отмёл. Смена IOS проблемы не решила. Чешу репу уже который 3 месяц.

sh run

Current configuration : 4905 bytes
!
version 12.4
...
crypto logging session
crypto logging ezvpn
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key keychain address 10.10.10.10
crypto isakmp key keychain address 2.2.2.2
crypto isakmp key keychain address 3.3.3.3
!
!
crypto ipsec transform-set keychain esp-3des esp-md5-hmac
!
crypto map keychain 10 ipsec-isakmp
set peer 10.10.10.10
set peer 2.2.2.2
set peer 3.3.3.3
set transform-set keychain
match address 110
!
!
!
!
!
interface Tunnel0
bandwidth inherit
ip address 192.168.255.2 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 10.10.10.10
crypto map keychain
!
interface Tunnel1
bandwidth inherit
ip address 192.168.255.5 255.255.255.252
tunnel source FastEthernet0/1
tunnel destination 2.2.2.2
crypto map keychain
!
interface Tunnel2
bandwidth inherit
ip address 192.168.99.2 255.255.255.252
ip mtu 1350
tunnel source FastEthernet0/1
tunnel destination 3.3.3.3
crypto map keychain
!
interface FastEthernet0/0
ip address 192.168.3.7 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 1.1.1.1 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map keychain
!
interface FastEthernet0/0/0
switchport access vlan 22
!
interface FastEthernet0/0/1
switchport access vlan 22
!
interface FastEthernet0/0/2
switchport access vlan 22
!
interface FastEthernet0/0/3
switchport access vlan 121
!
interface Vlan1
no ip address
!
interface Vlan22
description VIDEOCONFERENCING VLAN
ip address 192.168.21.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan121
description VOIP TELEPHONY VLAN
ip address 192.168.121.1 255.255.255.0
!
router eigrp 10
network 192.168.3.0 0.0.0.31
network 192.168.3.148 0.0.0.3
network 192.168.3.160 0.0.0.31
network 192.168.21.0
network 192.168.98.0 0.0.0.3
network 192.168.99.0 0.0.0.3
network 192.168.121.0
network 192.168.122.0 0.0.0.3
network 192.168.253.0 0.0.0.3
network 192.168.255.0 0.0.0.3
network 192.168.255.4 0.0.0.3
auto-summary
!
ip route 0.0.0.0 0.0.0.0 1.0.0.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list 21 interface FastEthernet0/1 overload
ip nat inside source list 122 interface FastEthernet0/1 overload
!
logging trap debugging
logging facility local0
logging 192.168.3.1
access-list 21 permit 192.168.3.253
access-list 21 permit 192.168.3.183
access-list 21 permit 192.168.3.149
access-list 110 permit gre host 1.1.1.1 host 10.10.10.10
access-list 110 permit gre host 1.1.1.1 host 2.2.2.2
access-list 110 permit gre host 1.1.1.1 host 3.3.3.3
snmp-server group organiz v3 auth
snmp-server host 192.168.3.1 organiz
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login local
transport input telnet ssh
line vty 5 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
!
!
end

Отловил на syslog debug (debug crypto engine, debug crypto ipsec, debug crypto isakmp, и, если не ошибаюсь, debug crypto ipsec client ezvpn). Там наверняка много мусора, но выложить информация до и во время падения туннельных интерфейсов могу выложить (просто из-за незнания меня смущают некоторые сообщения, к примеру, вот такое

Apr 27 05:26:46 administrator 155119: *Apr 26 23:20:24: ISAKMP:(0): IPSec policy invalidated proposal with error 32
Apr 27 05:26:46 administrator 155120: *Apr 26 23:20:24: ISAKMP:(0): phase 2 SA policy not acceptable! (local 1.1.1.1 remote 2.2.2.2)

ЗЫ - подскажите, пожалуйста, где можно посмотреть, как анализировать отладочные сообщения?  Подробное описание технологии, как происходит соединение, какие этапы.. Спасибо огромное заранее.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "периодически перестают работать IPSec туннели"  +/
Сообщение от rashuf (ok) on 01-Май-12, 22:40 
Эх-хехе.. :( Подскажете?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "периодически перестают работать IPSec туннели"  +/
Сообщение от Gromophon (ok) on 04-Май-12, 06:47 
> Эх-хехе.. :( Подскажете?

crypto isakmp invalid-spi-recovery

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "периодически перестают работать IPSec туннели"  +/
Сообщение от rashuf (ok) on 22-Май-12, 12:16 
>> Эх-хехе.. :( Подскажете?
> crypto isakmp invalid-spi-recovery

Спасибо огромное! Правда, команду еще не пробовал. Только из отпуска вышел. Думаю, на днях возникнет возможность проверить команду ;)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру