The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Начали пропадать пакеты на одном канале."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Начали пропадать пакеты на одном канале."  +/
Сообщение от spawel email(??) on 31-Окт-12, 20:03 
Всем доброго времени суток!
Имеется роутер cisco 1841. В него входят два канала от провайдера и один канал в сеть. Провайдерские линии входят по тегированному порту от свитча (router-on stick). Один канал основной по нему офис ходит в Интернет, второй канал только для vpn c головной организацией. Второй канал широкий, но трафик там минимален, по впн ходит только rdp трафик от 1С, пользуются ей 4 человека бухгалтерии.
Около двух недель назад, когда даже меня не было в офисе всю бухгалтерию выкинуло из терминала. Оказалось что качество сигнала ухудшилось, пинги ходили ужасно, качество канала не давало создать rdp-соединение. Конфигурация оборудования и самой сети не менялась. Сетью занимаюсь только я, и если не менял я, то никто не мог. Подчеркиваю, что в тот момент меня даже в офисе не было.
Как пробовал выявить проблему:
1) Позвонил провайдеру и спросил об изменениях у них. Те конечно отмахнулись. Тут все очевидно.
2) Пробовал оставить роутер без нагрузки. Оставил в сети только его, свитч и комп для тестов, пинги также ходили плохо.
3) Думал, что пакеты уходят не в тот канал, делал зеркалку порта и снимал сниффером. ICMP пакеты как впрочем и ipsec трафик уходят и приходят через второй канал. Для этого прописана статическая запись в таблице роутинга.
4) В результате я пришел к следующему: Если я делаю shutdown основного интерфейса, то пинги и сам трафик начинают ходить идеально. Т.е. при выключенном первом канале, трафик во втором канале нормализуется. При этом каналы сами по себе независимые, на разных тарифах.

По сему хочу у Вас просить совета, что мне делать. Сейчас а завел впн на основной канал и временно решил проблему, но очень хочется добиться правды.
Я не могу наехать на провайдера потому что я не уверен что проблемы у него, но и у себя я все проверил.
Если вы подскажите, что может быть не так у провайдера или какие-то тесты для моей стороны я буду очень благодарен.

Прилагаю конфиг роутера, при котором появилась данная проблема. Я уберу из него списки доступа на интерфейсы, они очень большие и малоинтересные, т.к. я их выключал при расследовании.


version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
logging buffered 512000 debugging
enable secret 5 ХХХХХХХХХХХХХХХХХХХХХХХ
!
aaa new-model
!
!
aaa authentication attempts login 5
aaa authentication login default local group radius
aaa authorization exec default local group radius
aaa authorization network default local
!
aaa session-id common
clock timezone MSK 4
ip cef
!
!
!
!
ip flow-cache timeout active 1
ip name-server ХХ.ХХ.ХХ.ХХ
ip name-server ХХ.ХХ.ХХ.ХХ
ip inspect name traffic tcp timeout 3600
ip inspect name traffic udp timeout 15
ip inspect name traffic router
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
username root privilege 15 secret 5 YYYYYYYYYYYYYYYYYYY
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
crypto isakmp policy 1
  encr 3des
  authentication pre-share
  group 2
!
crypto isakmp policy 2
  encr aes 256
  authentication pre-share
  group 5
  lifetime 3600
crypto isakmp key SUPERKEY address 0.0.0.0 0.0.0.0
!
crypto isakmp client configuration group pgp-vpn-group
  key SUPERKEY2
  dns 192.168.1.1
  wins 192.168.1.1
  domain local.ru
  pool pgp-vpn-pool
  acl 150
  netmask 255.255.255.0
!
crypto isakmp client configuration group pgp-vpn-pool
  netmask 255.255.255.0
!
crypto ipsec security-association lifetime seconds 1800
!
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto ipsec transform-set mytrans2 esp-aes 256 esp-sha-hmac
  mode transport
!
crypto dynamic-map pgp-vpn-map 10
  set transform-set mytrans
  reverse-route
!
!
crypto map pgp-to-skm-map local-address FastEthernet0/1.44
crypto map pgp-to-skm-map 10 ipsec-isakmp
  set peer 1.2.3.4
  set security-association lifetime seconds 900
  set transform-set mytrans2
  set pfs group5
  match address 111
!
crypto map pgp-vpn-map client authentication list default
crypto map pgp-vpn-map isakmp authorization list default
crypto map pgp-vpn-map client configuration address respond
crypto map pgp-vpn-map 10 ipsec-isakmp dynamic pgp-vpn-map
!
!
!
interface Tunnel1
  description VPN to MAINOFFICE
  bandwidth 10000
  ip address 172.16.11.1 255.255.255.252
  tunnel source 2.2.2.2
  tunnel destination 1.2.3.4
!
interface FastEthernet0/0
  description LAN
  ip address 192.168.1.17 255.255.255.0
  ip flow ingress
  ip flow egress
  ip nat inside
  ip virtual-reassembly
  duplex auto
  speed auto
!
interface FastEthernet0/1
  description $ES_LAN$
  no ip address
  duplex auto
  speed auto
!
interface FastEthernet0/1.22
  encapsulation dot1Q 22
  ip address 1.1.1.2 255.255.255.0 secondary
  ip address 1.1.1.1 255.255.255.0
  no ip redirects
  no ip proxy-arp
  ip mtu 1200
  ip nbar protocol-discovery
  ip flow ingress
  ip flow egress
  ip nat outside
  ip inspect traffic out
  ip virtual-reassembly
  no ip mroute-cache
  no cdp enable
  crypto map pgp-vpn-map
!
interface FastEthernet0/1.44
  encapsulation dot1Q 44
  ip address 2.2.2.2 255.255.255.0
  no ip redirects
  no ip proxy-arp
  ip flow ingress
  ip flow egress
  ip virtual-reassembly
  no ip mroute-cache
  no cdp enable
  crypto map pgp-to-skm-map
!
router ospf 1
  log-adjacency-changes
  redistribute static route-map ospf-routes
  network 172.16.11.0 0.0.0.3 area 0
!
ip local pool pgp-vpn-pool 10.0.0.10 10.0.0.20
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 85.234.37.1
ip route 1.2.3.4 255.255.255.255 2.2.2.2
ip route 192.168.4.0 255.255.255.0 192.168.1.254
ip route 192.168.101.0 255.255.255.0 192.168.1.254
ip route 192.168.102.0 255.255.255.0 192.168.1.254
ip route 192.168.103.0 255.255.255.0 192.168.1.254
ip route 192.168.104.0 255.255.255.0 192.168.1.254
ip route 192.168.105.0 255.255.255.0 192.168.1.254
ip route 192.168.106.0 255.255.255.0 192.168.1.254
ip route 192.168.107.0 255.255.255.0 192.168.1.254
ip route 192.168.108.0 255.255.255.0 192.168.1.254
ip route 192.168.109.0 255.255.255.0 192.168.1.254
ip route 192.168.110.0 255.255.255.0 192.168.1.254
ip route 192.168.111.0 255.255.255.0 192.168.1.254
ip route 192.168.112.0 255.255.255.0 192.168.1.254
ip route 192.168.113.0 255.255.255.0 192.168.1.254
ip route 192.168.114.0 255.255.255.0 192.168.1.254
ip route 192.168.115.0 255.255.255.0 192.168.1.254
!
ip flow-export version 5
ip flow-export destination 192.168.1.19 9996
ip flow-top-talkers
  top 10
  sort-by bytes
  cache-timeout 100
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map pnz-nat interface FastEthernet0/1.22 overload
ip nat inside source static tcp 192.168.1.18 443 1.1.1.2 443 route-map nonat extendable
ip nat inside source static tcp 192.168.1.18 25 1.1.1.1 25 route-map nonat extendable
ip nat inside source static tcp 192.168.66.1 80 1.1.1.1 80 route-map nonat-vpn extendable
ip nat inside source static tcp 192.168.1.10 2100 1.1.1.1 2100 extendable
ip nat inside source static udp 192.168.1.10 2100 1.1.1.1 2100 extendable
ip nat inside source static tcp 192.168.1.35 8059 1.1.1.1 8059 extendable
!
ip access-list extended lan-pnz
  deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.0.0.255
  deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.0.255
  permit ip 192.168.0.0 0.0.255.255 any
  permit ip host 192.168.66.1 any
ip access-list extended lan-skm
  permit tcp 192.168.105.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 3389
  permit tcp 192.168.110.0 0.0.0.255 192.168.0.0 0.0.0.255 eq 3389
  permit ip 192.168.114.0 0.0.0.255 192.168.0.0 0.0.0.255

!
kron occurrence backup-daily at 23:00 recurring
  policy-list backup_daily
!
kron occurrence backup-weekly at 23:00 Sun recurring
  policy-list backup_weekly
!
kron policy-list backup_daily
  cli show run | redirect tftp://192.168.1.11/running-config-daily.cfg
!
kron policy-list backup_weekly
  cli show run | redirect tftp://192.168.1.11/running-config-weekly.cfg
!
logging 192.168.114.8
access-list 23 permit 192.168.114.0 0.0.0.255
access-list 111 remark VPN to SKM
access-list 111 permit gre host 2.2.2.2 host 1.2.3.4
access-list 150 permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.4.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.101.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.102.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.103.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.104.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.105.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.106.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.107.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.108.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.109.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.110.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.111.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.112.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.113.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.114.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.115.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 150 permit ip 192.168.66.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 167 permit ip host 192.168.114.5 any
access-list 167 permit ip any host 192.168.114.5
snmp-server community public RO 15
snmp-server location Sector IT
snmp-server contact Pawel Sulin
!
route-map pnz-nat permit 10
  match ip address lan-pnz
  match interface FastEthernet0/1.22
!
route-map nonat permit 20
  match ip address nonat-vpn
!
!
radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key 7 XXXXXXXXXXXX
!
control-plane
!
!
!
line con 0
line aux 0
  no motd-banner
  no exec-banner
line vty 0 4
  access-class 23 in
  exec-timeout 0 0
  transport input ssh
line vty 5
  access-class 23 in
  transport input ssh
!
scheduler allocate 20000 1000
ntp clock-period 17178326
ntp master 5
ntp update-calendar
ntp server 62.117.76.130 source FastEthernet0/1.22 prefer
end

Заранее спасибо за любую помощь.

P.S. Тема этого поста http://www.opennet.me/openforum/vsluhforumID6/233.html ничего общего с описанной тут проблемой не имеет. Это я уже искал обходное решение.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Начали пропадать пакеты на одном канале."  +/
Сообщение от McS555 (ok) on 01-Ноя-12, 13:07 
Как то "криво" порезал конфиг

Тяжело разобраться че куда и откуда

> ip route 0.0.0.0 0.0.0.0 85.234.37.1

Это на 1-й или на 2-й (а первый это interface FastEthernet0/1.22 ?)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Начали пропадать пакеты на одном канале."  +/
Сообщение от McS555 (ok) on 01-Ноя-12, 13:14 
И с маршрутизацией на удаленные офисы  не понятно (там где rdp и т.п) , какая там сеть? (192.168.0.0 -192.168.0.254 ???)
Какие у тебя маршруты через tunn 1?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Начали пропадать пакеты на одном канале."  +/
Сообщение от spawel email(??) on 04-Ноя-12, 01:37 
Все верно. Прошу прощения за неясность конфига.
1) Дефолтный маршрут идет на гейт провайдера в FastEthernet0/1.22 - это основной канал для Интернета
2) В удаленной подсети адресация вида 192.168.0.0/24. Для этого я пишу путь во второй конец туннеля 172.16.11.2

ip route 192.168.0.0 255.255.255.0 172.16.11.2

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Начали пропадать пакеты на одном канале."  +/
Сообщение от McS555 (ok) on 05-Ноя-12, 12:22 
> Все верно. Прошу прощения за неясность конфига.
> 1) Дефолтный маршрут идет на гейт провайдера в FastEthernet0/1.22 - это основной
> канал для Интернета
> 2) В удаленной подсети адресация вида 192.168.0.0/24. Для этого я пишу путь
> во второй конец туннеля 172.16.11.2
> ip route 192.168.0.0 255.255.255.0 172.16.11.2
> Т.е. при выключенном первом канале, трафик во втором канале нормализуется.

А если не выключать первый канал, а просто убрать ip nat outside??

Пропадания на 2-м канале останутся??

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Начали пропадать пакеты на одном канале."  +/
Сообщение от kiu on 05-Ноя-12, 21:43 
Коллизии, несогласование скоростей, ошибки на интерфейсе смотрели?
Загрузка интерфейса, загрузка процессора.
sh int и т.п.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру