forum.opennet.ru - "потеря пакетов в ipsec тунеле" (17)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"потеря пакетов в ipsec тунеле"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"потеря пакетов в ipsec тунеле"	+/–
Сообщение от zzzzzak (ok) on 08-Сен-10, 15:31
Всем привет!!! До вчерашнего дня имели сеть, смаршрутизированную провайдером к нам, в которой находилась циска, она держала ипсек с другим городом, там стоял д-линк. ипсек работал идеально, всех все устраивало. Вчера перенесли циску на границу подключения к провайдеру без смены адресации на циске(так поменяли схему подключения к провайдеру, иными словами всего лишь избавились от лишнего хопа в маршрутизации). т.е. ни на той. ни на другой стороне настройки ипсек вообще не меняли. в итоге в ипсеке при тестировании пингами - 50% потеря пакетов. один пинг проходит, второй - нет. внешний адрес того д-линка виден, никаких потерь, ипсек сессия не сбрасывается, постоянно находится в апе. Люди добрые, подскажите плиз, в чем может быть проблема, кто встречался с подобным?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

потеря пакетов в ipsec тунеле, lumenous, 17:11 , 08-Сен-10, (1)

потеря пакетов в ipsec тунеле, zzzzzak, 08:15 , 09-Сен-10, (2)

потеря пакетов в ipsec тунеле, zxc, 09:19 , 09-Сен-10, (3)

потеря пакетов в ipsec тунеле, zzzzzak, 10:30 , 09-Сен-10, (4)

потеря пакетов в ipsec тунеле, BJ, 13:35 , 09-Сен-10, (5)

потеря пакетов в ipsec тунеле, zzzzzak, 16:01 , 09-Сен-10, (6)

потеря пакетов в ipsec тунеле, zxc, 05:42 , 10-Сен-10, (7)

потеря пакетов в ipsec тунеле, zxc, 05:43 , 10-Сен-10, (8)

потеря пакетов в ipsec тунеле, zzzzzak, 12:49 , 10-Сен-10, (9)

потеря пакетов в ipsec тунеле, BJ, 13:26 , 10-Сен-10, (10)

потеря пакетов в ipsec тунеле, zzzzzak, 16:41 , 10-Сен-10, (11)

потеря пакетов в ipsec тунеле, BJ, 16:57 , 10-Сен-10, (12)
потеря пакетов в ipsec тунеле, AlexDv, 17:02 , 10-Сен-10, (13)
потеря пакетов в ipsec тунеле, zzzzzak, 09:59 , 13-Сен-10, (14)
потеря пакетов в ipsec тунеле, Serb, 11:52 , 13-Сен-10, (15)
потеря пакетов в ipsec тунеле, zzzzzak, 16:55 , 13-Сен-10, (16)
потеря пакетов в ipsec тунеле, BJ, 21:25 , 13-Сен-10, (17)

Сообщения по теме [Сортировка по времени | RSS]

1. "потеря пакетов в ipsec тунеле" +/–

Сообщение от lumenous (ok) on 08-Сен-10, 17:11

>[оверквотинг удален]
>находилась циска, она держала ипсек с другим городом, там стоял д-линк.
>ипсек работал идеально, всех все устраивало. Вчера перенесли циску на границу
>подключения к провайдеру без смены адресации на циске(так поменяли схему подключения
>к провайдеру, иными словами всего лишь избавились от лишнего хопа в
>маршрутизации). т.е. ни на той. ни на другой стороне настройки ипсек
>вообще не меняли. в итоге в ипсеке при тестировании пингами -
>50% потеря пакетов. один пинг проходит, второй - нет. внешний адрес
>того д-линка виден, никаких потерь, ипсек сессия не сбрасывается, постоянно находится
>в апе. Люди добрые, подскажите плиз, в чем может быть проблема,
>кто встречался с подобным?
Стабильно пинг идет через раз? То есть это не совпадение а системно?
Если так, то возможно где то по середине есть два маршрута с равной метрикой и роутер их чередует, в то время как правильным является только один маршрут.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zzzzzak (ok) on 09-Сен-10, 08:15

Дело в том,что внешний адрес той стороны стабильно доступен. На конечных точках дублирования маршрутов точно нет - по предыдущей схеме с лишним хопом же все работало без потерь. Я уже голову сломал, что может быть. Вот посмотрите, как работает трейс:

Трассировка маршрута к 192.168.0.3 с максимальным числом прыжков 30
  1    18 ms     1 ms     1 ms  192.168.21.9
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *       39 ms     *     192.168.0.3
  5    39 ms     *       39 ms  192.168.0.3
Почему достигнув конечной точки трейс опять на нее прыгает?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zxc (??) on 09-Сен-10, 09:19

Попробуйте на время отключить ip cef и проверьте, ушла ли проблема.
Ну, и конфиг касательно IPSEC приведите, пожалуйста, с маршрутами на удаленную сеть.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zzzzzak (ok) on 09-Сен-10, 10:30

crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
!
crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key KEY address ADDRESS
!
!
crypto ipsec transform-set SET esp-3des esp-sha-hmac
!
!
crypto map MAP 10 ipsec-isakmp
set peer ADDRESS
description IPSEC_CISCO_DLINK
set transform-set SET
match address IPSEC
ip access-list extended IPSEC
permit ip 192.168.21.0 0.0.0.255 192.168.0.0 0.0.0.255

interface FastEthernet2/1
ip address 192.168.21.9
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip mroute-cache
shutdown
duplex auto
speed auto
no cdp enable
crypto map MAP
ip route ADDRESS 255.255.255.255 PROVIDER
ip route 192.168.0.0 255.255.255.0 FastEthernet2/1
Соответственно, ADDRESS и PROVIDER - это внешний адрес на той стороне и адрес на стороне провайдера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "потеря пакетов в ipsec тунеле" +/–

Сообщение от BJ (ok) on 09-Сен-10, 13:35

>ip route 192.168.0.0 255.255.255.0 FastEthernet2/1
замените на
ip route 192.168.0.0 255.255.255.0 PROVIDER
где вы только такой синкаксис находите

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zzzzzak (ok) on 09-Сен-10, 16:01

дело то не в синтаксисе, а в нахождении причины потери пакетов!!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zxc (??) on 10-Сен-10, 05:42

Вы ip cef отключили? Какие результаты?
строку
ip route 192.168.0.0 255.255.255.0 FastEthernet2/1
замените на
ip route 192.168.0.0 255.255.255.0 192.168.0.x (это внутренний адрес удаленной железки)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zxc (??) on 10-Сен-10, 05:43

кстати, почему у вас интерфейс FastEthernet2/1 в shutdown?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zzzzzak (ok) on 10-Сен-10, 12:49

>кстати, почему у вас интерфейс FastEthernet2/1 в shutdown?
Ошибка правки конфига
Всем спасибо, отключил cef на интерфейсе к провайдеру - все заработало на ура!!!!
Огромное всем спасибо!!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "потеря пакетов в ipsec тунеле" +/–

Сообщение от BJ (ok) on 10-Сен-10, 13:26

а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?

>Всем спасибо, отключил cef на интерфейсе к провайдеру - все заработало на
>ура!!!!
>Огромное всем спасибо!!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zzzzzak (ok) on 10-Сен-10, 16:41

>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?
Да! Я думаю, это нормальная практика

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "потеря пакетов в ipsec тунеле" +/–

Сообщение от BJ (ok) on 10-Сен-10, 16:57

>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?
>
>Да! Я думаю, это нормальная практика
Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете  почему у Вас не работал CEF.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "потеря пакетов в ipsec тунеле" +/–

Сообщение от AlexDv (??) on 10-Сен-10, 17:02

>>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?
>>
>>Да! Я думаю, это нормальная практика
>
>Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете  почему
>у Вас не работал CEF.
И еще интересно посмотреть на загрузку CPU после выключения CEF.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zzzzzak (ok) on 13-Сен-10, 09:59

>>Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете  почему
>>у Вас не работал CEF.
Там мак интерфейса на стороне провайдера. А что-то еще должно быть? Кстати, действительно, каково теоретическое объяснения неработы cef?
>И еще интересно посмотреть на загрузку CPU после выключения CEF.
9%

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "потеря пакетов в ipsec тунеле" +/–

Сообщение от Serb on 13-Сен-10, 11:52

>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде?
>
>Да! Я думаю, это нормальная практика
prekratite "dumat" i slushaite chto vam govoryat
sdelaite noramlnii default marshrut i vkluchite cef a potom pochitaite teoriuu pochemu vsetaki tak dolzhno bit!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "потеря пакетов в ipsec тунеле" +/–

Сообщение от zzzzzak (ok) on 13-Сен-10, 16:55

написал маршрут на уделенную сеть через хоп провайдера - cef заработал корректно. Но что то я про cef исчерпывающей информации не могу найти, все что то вкратце написано, поэтому не могу понять причину потери пакетов, как это связано с написанием маршрутом через интерфейс, а не через адрес?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "потеря пакетов в ipsec тунеле" +/–

Сообщение от BJ (ok) on 13-Сен-10, 21:25

Если на пальцах, у тебя обработка всех пакетов на сеть 192.168.0.0 шла через ARP таблицу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "потеря пакетов в ipsec тунеле"	+/–
Сообщение от lumenous (ok) on 08-Сен-10, 17:11
>[оверквотинг удален] >находилась циска, она держала ипсек с другим городом, там стоял д-линк. >ипсек работал идеально, всех все устраивало. Вчера перенесли циску на границу >подключения к провайдеру без смены адресации на циске(так поменяли схему подключения >к провайдеру, иными словами всего лишь избавились от лишнего хопа в >маршрутизации). т.е. ни на той. ни на другой стороне настройки ипсек >вообще не меняли. в итоге в ипсеке при тестировании пингами - >50% потеря пакетов. один пинг проходит, второй - нет. внешний адрес >того д-линка виден, никаких потерь, ипсек сессия не сбрасывается, постоянно находится >в апе. Люди добрые, подскажите плиз, в чем может быть проблема, >кто встречался с подобным? Стабильно пинг идет через раз? То есть это не совпадение а системно? Если так, то возможно где то по середине есть два маршрута с равной метрикой и роутер их чередует, в то время как правильным является только один маршрут.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zzzzzak (ok) on 09-Сен-10, 08:15
	Дело в том,что внешний адрес той стороны стабильно доступен. На конечных точках дублирования маршрутов точно нет - по предыдущей схеме с лишним хопом же все работало без потерь. Я уже голову сломал, что может быть. Вот посмотрите, как работает трейс: Трассировка маршрута к 192.168.0.3 с максимальным числом прыжков 30 1 18 ms 1 ms 1 ms 192.168.21.9 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * 39 ms * 192.168.0.3 5 39 ms * 39 ms 192.168.0.3 Почему достигнув конечной точки трейс опять на нее прыгает?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zxc (??) on 09-Сен-10, 09:19
	Попробуйте на время отключить ip cef и проверьте, ушла ли проблема. Ну, и конфиг касательно IPSEC приведите, пожалуйста, с маршрутами на удаленную сеть.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zzzzzak (ok) on 09-Сен-10, 10:30
	crypto isakmp policy 1 encr 3des hash md5 authentication pre-share ! crypto isakmp policy 2 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key KEY address ADDRESS ! ! crypto ipsec transform-set SET esp-3des esp-sha-hmac ! ! crypto map MAP 10 ipsec-isakmp set peer ADDRESS description IPSEC_CISCO_DLINK set transform-set SET match address IPSEC ip access-list extended IPSEC permit ip 192.168.21.0 0.0.0.255 192.168.0.0 0.0.0.255 interface FastEthernet2/1 ip address 192.168.21.9 no ip proxy-arp ip nat outside ip virtual-reassembly no ip mroute-cache shutdown duplex auto speed auto no cdp enable crypto map MAP ip route ADDRESS 255.255.255.255 PROVIDER ip route 192.168.0.0 255.255.255.0 FastEthernet2/1 Соответственно, ADDRESS и PROVIDER - это внешний адрес на той стороне и адрес на стороне провайдера.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от BJ (ok) on 09-Сен-10, 13:35
	>ip route 192.168.0.0 255.255.255.0 FastEthernet2/1 замените на ip route 192.168.0.0 255.255.255.0 PROVIDER где вы только такой синкаксис находите
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zzzzzak (ok) on 09-Сен-10, 16:01
	дело то не в синтаксисе, а в нахождении причины потери пакетов!!!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zxc (??) on 10-Сен-10, 05:42
	Вы ip cef отключили? Какие результаты? строку ip route 192.168.0.0 255.255.255.0 FastEthernet2/1 замените на ip route 192.168.0.0 255.255.255.0 192.168.0.x (это внутренний адрес удаленной железки)
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zxc (??) on 10-Сен-10, 05:43
	кстати, почему у вас интерфейс FastEthernet2/1 в shutdown?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zzzzzak (ok) on 10-Сен-10, 12:49
	>кстати, почему у вас интерфейс FastEthernet2/1 в shutdown? Ошибка правки конфига Всем спасибо, отключил cef на интерфейсе к провайдеру - все заработало на ура!!!! Огромное всем спасибо!!!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от BJ (ok) on 10-Сен-10, 13:26
	а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде? >Всем спасибо, отключил cef на интерфейсе к провайдеру - все заработало на >ура!!!! >Огромное всем спасибо!!!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	11. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zzzzzak (ok) on 10-Сен-10, 16:41
	>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде? Да! Я думаю, это нормальная практика
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	12. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от BJ (ok) on 10-Сен-10, 16:57
	>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде? > >Да! Я думаю, это нормальная практика Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете почему у Вас не работал CEF.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	13. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от AlexDv (??) on 10-Сен-10, 17:02
	>>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде? >> >>Да! Я думаю, это нормальная практика > >Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете почему >у Вас не работал CEF. И еще интересно посмотреть на загрузку CPU после выключения CEF.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	14. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zzzzzak (ok) on 13-Сен-10, 09:59
	>>Вы ошибаетесь, посмотрите "sh ip arp FastEthernet2/1" и надеюсь поймете почему >>у Вас не работал CEF. Там мак интерфейса на стороне провайдера. А что-то еще должно быть? Кстати, действительно, каково теоретическое объяснения неработы cef? >И еще интересно посмотреть на загрузку CPU после выключения CEF. 9%
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	15. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от Serb on 13-Сен-10, 11:52
	>>а маршрут "ip route 192.168.0.0 255.255.255.0 FastEthernet2/1" остался в прежнем виде? > >Да! Я думаю, это нормальная практика prekratite "dumat" i slushaite chto vam govoryat sdelaite noramlnii default marshrut i vkluchite cef a potom pochitaite teoriuu pochemu vsetaki tak dolzhno bit!
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	16. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от zzzzzak (ok) on 13-Сен-10, 16:55
	написал маршрут на уделенную сеть через хоп провайдера - cef заработал корректно. Но что то я про cef исчерпывающей информации не могу найти, все что то вкратце написано, поэтому не могу понять причину потери пакетов, как это связано с написанием маршрутом через интерфейс, а не через адрес?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	17. "потеря пакетов в ipsec тунеле"	+/–
	Сообщение от BJ (ok) on 13-Сен-10, 21:25
	Если на пальцах, у тебя обработка всех пакетов на сеть 192.168.0.0 шла через ARP таблицу.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору