Добрый день. Помогите разобраться в проблеме!?
Есть железка: cisco 871, два провайдера: "гига" и "мега"
С "гига" нужно в сеть (10 ПК) раздавать интернет.
При помощи "мега" пользователи слинкованы с др. офисом.Так вот, при данном конфиге очень странно работает интернет, любые странички открываются очень медленно (2-3 мин)... Почему так ?
Если ткнуть "гига"ой на прямую в ПК проблем нет...
proba#sh run
Building configuration...
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname proba
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
memory-size iomem 10
ip source-route
!
!
!
!
ip cef
ip domain name mbt.local
ip name-server 77.88.8.1
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Tunnel1
description office 1 - office 2
ip address 10.50.200.2 255.255.255.252
tunnel source FastEthernet4 Туннель через провайдера "мега"
tunnel mode ipip Провайдер даёт только ЛВС 100 м\бит.
tunnel destination 10.58.45.1 Интернета нет.
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
ip address 10.66.6.68 255.255.255.0 Линк "мега"
duplex auto
speed auto
!
interface Vlan1
ip address 10.70.74.5 255.255.255.0 ЛВС на 10 ПК(все пк прописанны статикой - dhcp нет)
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 85.x.x.x 255.255.255.252 Линк "гига" с которого надо раздавать интернет
ip nat outside
ip virtual-reassembly
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 1 interface Vlan2 overload
ip route 0.0.0.0 0.0.0.0 10.49.5.1
ip route 0.0.0.0 0.0.0.0 Vlan2 85.173.81.105
ip route 10.x.x.x 255.255.255.0 Tunnel1 ресурсы в удаленном офисе
ip route 10.x.x.x 255.255.255.0 Tunnel1 ресурсы в удаленном офисе!
access-list 1 permit 10.70.74.0 0.0.0.255
!
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 2 in
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh
!
end
а вот это :
ip route 0.0.0.0 0.0.0.0 10.49.5.1
зачем?
> а вот это :
> ip route 0.0.0.0 0.0.0.0 10.49.5.1
> зачем?Это шлюз "мега". Без него туннель не заводиться.
>> а вот это :
>> ip route 0.0.0.0 0.0.0.0 10.49.5.1
>> зачем?
> Это шлюз "мега". Без него туннель не заводиться.Простите, но я еще ошибся по запаре с моделькой железяки. Она 881я, я не 871
>[оверквотинг удален]
> no modem enable
> line aux 0
> line vty 0 4
> access-class 2 in
> exec-timeout 60 0
> privilege level 15
> logging synchronous
> transport input ssh
> !
> endПро второй дефолтовый маршрут уже написали. Я добавлю что dns server лучше вынести с С871. При нынешних сайтах лучше поставить хотя-бы "малинку" для этих целей, но не маршрутизатор такого уровня. Кстати можете проверить загрузку CPU.
И чтобы потом не было вопросов про медленный туннель: проверьте MTU/MSS на туннеле и поставьте нужные числа с обоих сторон. Это частая проблема при различных проблемах на тунельных интерфейсах.
>[оверквотинг удален]
>> transport input ssh
>> !
>> end
> Про второй дефолтовый маршрут уже написали. Я добавлю что dns server лучше
> вынести с С871. При нынешних сайтах лучше поставить хотя-бы "малинку" для
> этих целей, но не маршрутизатор такого уровня. Кстати можете проверить загрузку
> CPU.
> И чтобы потом не было вопросов про медленный туннель: проверьте MTU/MSS на
> туннеле и поставьте нужные числа с обоих сторон. Это частая проблема
> при различных проблемах на тунельных интерфейсах.С туннелем через "мегу" проблем нет вообще к стати...
Проблема только с интернетом (
"поставить хотя-бы "малинку"" это кто, что ?
>[оверквотинг удален]
>> Про второй дефолтовый маршрут уже написали. Я добавлю что dns server лучше
>> вынести с С871. При нынешних сайтах лучше поставить хотя-бы "малинку" для
>> этих целей, но не маршрутизатор такого уровня. Кстати можете проверить загрузку
>> CPU.
>> И чтобы потом не было вопросов про медленный туннель: проверьте MTU/MSS на
>> туннеле и поставьте нужные числа с обоих сторон. Это частая проблема
>> при различных проблемах на тунельных интерфейсах.
> С туннелем через "мегу" проблем нет вообще к стати...
> Проблема только с интернетом (
> "поставить хотя-бы "малинку"" это кто, что ?Простите, но я еще ошибся по запаре с моделькой железяки. Она 881я, я не 871
>[оверквотинг удален]
>> Про второй дефолтовый маршрут уже написали. Я добавлю что dns server лучше
>> вынести с С871. При нынешних сайтах лучше поставить хотя-бы "малинку" для
>> этих целей, но не маршрутизатор такого уровня. Кстати можете проверить загрузку
>> CPU.
>> И чтобы потом не было вопросов про медленный туннель: проверьте MTU/MSS на
>> туннеле и поставьте нужные числа с обоих сторон. Это частая проблема
>> при различных проблемах на тунельных интерфейсах.
> С туннелем через "мегу" проблем нет вообще к стати...
> Проблема только с интернетом (
> "поставить хотя-бы "малинку"" это кто, что ?
> Так вот, при данном конфиге очень странно работает интернет, любые странички открываются
> очень медленно (2-3 мин)... Почему так ?судя по симптомам проблема с MTU, хотя не вижу, чтобы инет через тоннели ходил. Если только у провайдера где то MTU <1500
Попробуйте на внешнем интерфейсе повесить
interface Vlan2
ip mtu 1400
ip tcp adj 1360Значения с потолка взяты.
>> Так вот, при данном конфиге очень странно работает интернет, любые странички открываются
>> очень медленно (2-3 мин)... Почему так ?
> судя по симптомам проблема с MTU, хотя не вижу, чтобы инет через
> тоннели ходил. Если только у провайдера где то MTU <1500
> Попробуйте на внешнем интерфейсе повесить
> interface Vlan2
> ip mtu 1400
> ip tcp adj 1360
> Значения с потолка взяты.возьму на заметку совет c MTU провайдера "гига" ( он к стати г.вно:)) Но, что дают, то и берём...
Интернет по тоннелю не ходит... Он только в ЛВС на 10пк должен раздаваться и всё.
>[оверквотинг удален]
>> тоннели ходил. Если только у провайдера где то MTU <1500
>> Попробуйте на внешнем интерфейсе повесить
>> interface Vlan2
>> ip mtu 1400
>> ip tcp adj 1360
>> Значения с потолка взяты.
> возьму на заметку совет c MTU провайдера "гига" ( он к стати
> г.вно:)) Но, что дают, то и берём...
> Интернет по тоннелю не ходит... Он только в ЛВС на 10пк должен
> раздаваться и всё.а я и не писал, что он ходит по тоннелю. Я писал касаемо исключительно инета.
Плюс ко всему замените маршрут ip route 0.0.0.0 0.0.0.0 10.49.5.1 на более точный. Два маршрута по умолчанию в разные, по назначению, сети будут только мешать друг другу.
Например
ip route 10.58.45.1 255.255.255.255 10.49.5.1Плюс ко всему № 2: в тоннеле настройте ip mtu и ip tcp adj. Вам провайдер канал дает с размером пакета не более 1500. Минус заголовки IP (тоннель). Вот и считайте.
>[оверквотинг удален]
> а я и не писал, что он ходит по тоннелю. Я писал
> касаемо исключительно инета.
> Плюс ко всему замените маршрут ip route 0.0.0.0 0.0.0.0 10.49.5.1 на более
> точный. Два маршрута по умолчанию в разные, по назначению, сети будут
> только мешать друг другу.
> Например
> ip route 10.58.45.1 255.255.255.255 10.49.5.1
> Плюс ко всему № 2: в тоннеле настройте ip mtu и ip
> tcp adj. Вам провайдер канал дает с размером пакета не более
> 1500. Минус заголовки IP (тоннель). Вот и считайте.Вот мне тоже кажется вся проблема тут: "ip route 0.0.0.0 0.0.0.0 10.49.5.1"
Пробую поменять маршрут на предложенный Вами.
>[оверквотинг удален]
>> Плюс ко всему замените маршрут ip route 0.0.0.0 0.0.0.0 10.49.5.1 на более
>> точный. Два маршрута по умолчанию в разные, по назначению, сети будут
>> только мешать друг другу.
>> Например
>> ip route 10.58.45.1 255.255.255.255 10.49.5.1
>> Плюс ко всему № 2: в тоннеле настройте ip mtu и ip
>> tcp adj. Вам провайдер канал дает с размером пакета не более
>> 1500. Минус заголовки IP (тоннель). Вот и считайте.
> Вот мне тоже кажется вся проблема тут: "ip route 0.0.0.0 0.0.0.0 10.49.5.1"
> Пробую поменять маршрут на предложенный Вами.результаты отпишите, думаю, есть люди кому тоже интересен данный вопрос
>[оверквотинг удален]
>>> точный. Два маршрута по умолчанию в разные, по назначению, сети будут
>>> только мешать друг другу.
>>> Например
>>> ip route 10.58.45.1 255.255.255.255 10.49.5.1
>>> Плюс ко всему № 2: в тоннеле настройте ip mtu и ip
>>> tcp adj. Вам провайдер канал дает с размером пакета не более
>>> 1500. Минус заголовки IP (тоннель). Вот и считайте.
>> Вот мне тоже кажется вся проблема тут: "ip route 0.0.0.0 0.0.0.0 10.49.5.1"
>> Пробую поменять маршрут на предложенный Вами.
> результаты отпишите, думаю, есть люди кому тоже интересен данный вопросЭксперименты будут проводиться 22,23.08.16... По результатам отпишусь обязательно
>[оверквотинг удален]
>>>> только мешать друг другу.
>>>> Например
>>>> ip route 10.58.45.1 255.255.255.255 10.49.5.1
>>>> Плюс ко всему № 2: в тоннеле настройте ip mtu и ip
>>>> tcp adj. Вам провайдер канал дает с размером пакета не более
>>>> 1500. Минус заголовки IP (тоннель). Вот и считайте.
>>> Вот мне тоже кажется вся проблема тут: "ip route 0.0.0.0 0.0.0.0 10.49.5.1"
>>> Пробую поменять маршрут на предложенный Вами.
>> результаты отпишите, думаю, есть люди кому тоже интересен данный вопрос
> Эксперименты будут проводиться 22,23.08.16... По результатам отпишусь обязательноЭксперемент затянулся немного :) Проблема решилась! Спасибо большое всем за помощь. Отдельно спасибо "rusadmin":
"Плюс ко всему замените маршрут ip route 0.0.0.0 0.0.0.0 10.49.5.1 на более точный. Два маршрута по умолчанию в разные, по назначению, сети будут только мешать друг другу.
Например
ip route 10.58.45.1 255.255.255.255 10.49.5.1"Это действительно решило проблему. Скорее всего "железка" тупила при двух одинаковых маршрутах вида:
ip route 0.0.0.0 0.0.0.0 10.49.5.1
ip route 0.0.0.0 0.0.0.0 Vlan2 85.173.81.105
> Это действительно решило проблему. Скорее всего "железка" тупила при двух одинаковых маршрутах
> вида:
> ip route 0.0.0.0 0.0.0.0 10.49.5.1
> ip route 0.0.0.0 0.0.0.0 Vlan2 85.173.81.105Она не тупила, она балансировала, половину потоков отправляла другим маршрутом.