https://mobile.opennet.me/openforum/vsluhforumID6/14738.html Друзья помогите разобраться в том, как лучше организовать разделение функций между двумя 871 роутерами. Схема подсоединения примено такая:<br>LAN - Cisco#2 - Cisco#1 - WAN/VPN<br><br>Есть удаленный офис, который связан с тремя другими офисами по VPN. <br>Суть разделения в том, что бы обеспечить надежное соединение со всеми тремя точками.<br><br>Сейчас стоит один 871 на котором крутится все вместе - VPN, NAT, NetFlow, Policing, WCCP, external dynamic vpn connections. При этом VPN-ны падают очень часто от нескольких секунд до пренудительного восстановления через reset канала. При условии что их три, и каждый из них переодически падает, создается впечатление очень ненадежной сети.<br><br>Есть предположение, что проблема именно в том, что все вместе крутится на одном девайсе. Как вариант, поставить два последовательно:<br>Cisco#1 - только VPN, NAT и external dynamic VPN connections<br>Cisco#2 - Policing, NetFlow, WCCP и все остальное.<br><br>Как по вашему мнению, это решит проблему?<br><br>Вопрос - можно ли элегантно разместить оба раутера https://mobile.opennet.me/openforum/vsluhforumID6/14738.html#7 Thu, 01 Nov 2007 10:23:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Включайте debug crypto isakmp ... и т.п. <br>&gt;&gt;и смотрите. <br>&gt;привожу выдержку из конфига ниже.. <br>&gt;<br>&gt;&gt;<br>&gt;&gt;У клиентов VPN тоже обязательно смотреть, что происходит. <br>&gt;<br>&gt;с клиентами сложнее - доступа на обратный конец нет - только через <br>&gt;тамошних админов по аське типа "спросил-написали", но это не надежно :))) <br><br>Заведите своего VPN клиента для моделирования ситуации.<br><br>Можно включить <br>crypto isakmp keepalive 600 periodic<br><br>К сожалению многие acl не приведены, а они могут служить источником ошибок.<br>На что надо обратить внимание в вашем конфиге.<br><br>&gt;crypto isakmp client configuration group vpnclient<br>&gt;key xxxxxxxxxxxxxxxx<br>&gt;dns xxxxxxxxxxxxxxxx<br>&gt;wins xxxxxxxxxxxxxxxx<br>&gt;domain khar<br>&gt;pool vpnpool<br><br>acl здесь нет. Весь internet трафик из машины клиента Вы пропускаете по VPN<br>через свой роутер.<br><br>Далее<br><br>&gt;interface FastEthernet4<br><br>...<br>&gt;ip wccp web-cache redirect out<br><br>...<br>&gt;ip nat outside<br><br>...<br>&gt;crypto map VPNCryptoMap<br><br>...<br>&gt;ip local pool vpnpool xxxxxxxxxxxx xxxxxxxxxx https://mobile.opennet.me/openforum/vsluhforumID6/14738.html#6 Fri, 26 Oct 2007 15:35:39 GMT &gt;[оверквотинг удален]<br>&gt;Во, во! <br>&gt;<br>&gt;Есть ли keepalive? <br>&gt;crypto isakmp keepalive ??? <br>&gt;<br>&gt;Включайте debug crypto isakmp ... и т.п. <br>&gt;и смотрите. <br>&gt;<br>&gt;Еще crypto isakmp policy , crypto isakmp client, <br>&gt;crypto dynamic-map надо посмотреть внимательно. <br><br>привожу выдержку из конфига ниже..<br><br>&gt;<br>&gt;У клиентов VPN тоже обязательно смотреть, что происходит. <br><br>с клиентами сложнее - доступа на обратный конец нет - только через тамошних админов по аське типа "спросил-написали", но это не надежно :)))<br><br>Конфиг --<br>==================<br>Building configuration...<br><br>Current configuration : 24926 bytes<br>!<br>! Last configuration change at 17:15:43 EEST Wed Oct 24 2007 by michel<br>!<br>version 12.4<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec localtime show-timezone<br>service timestamps log datetime msec localtime show-timezone<br>service password-encryption<br>service sequence-numbers<br>!<br>hostname cisco<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>security authe https://mobile.opennet.me/openforum/vsluhforumID6/14738.html#5 Thu, 25 Oct 2007 12:20:32 GMT &gt;Иногда попадаются такие: <br>&gt;IKE message from xxx.xxx.xxx.xxx has no SA and is not an initialization <br>&gt;offer <br>&gt;<br>&gt;это уже по теме, но что исправить не знаю. <br><br>Во, во!<br><br>Есть ли keepalive? <br>crypto isakmp keepalive ???<br><br>Включайте debug crypto isakmp ... и т.п.<br>и смотрите.<br><br>Еще crypto isakmp policy , crypto isakmp client, <br>crypto dynamic-map надо посмотреть внимательно.<br><br>У клиентов VPN тоже обязательно смотреть, что происходит.<br> https://mobile.opennet.me/openforum/vsluhforumID6/14738.html#4 Thu, 25 Oct 2007 11:48:59 GMT <br>&gt;Для начала надо выяснить причину падения VPN ? Может это связано совсем <br>&gt;не <br>&gt;с нагрузкой на девайс, а есть какая-то другая причина. <br>&gt;VPN у Вас на базе IPSec ? <br><br>Да на IPsec. <br><br>&gt;Посмотрите какой процесс сильно грузит cisco. <br><br>Не грузит совсем...<br><br>&gt;Включите debug для VPN и постарайтесь выяснить причину падения <br>&gt;VPN соединений. <br><br>Дело в том, что если выключить все и оставить только VPN и NAT, то на глаз становится все лучше...<br><br>В логах много таких warnings:<br>getting agressive, count (182/500) current 1-min rate:501<br>calming down, count (124/400) current 1-min rate:382<br><br>но это не в тему наверно..<br><br>Иногда попадаются такие:<br>IKE message from xxx.xxx.xxx.xxx has no SA and is not an initialization offer<br><br>это уже по теме, но что исправить не знаю.<br> https://mobile.opennet.me/openforum/vsluhforumID6/14738.html#3 Thu, 25 Oct 2007 11:41:53 GMT &gt;Была у нас похожая проблема! Залили новый IOS на cisco871 и <br>&gt;все заработало как нужно. Попробуй. <br><br>Новый это какой? У меня сейчас 12.4T, до этого был 12.3YI ничего не поменялось.<br> https://mobile.opennet.me/openforum/vsluhforumID6/14738.html#2 Thu, 25 Oct 2007 10:02:56 GMT Была у нас похожая проблема! Залили новый IOS на cisco871 и все заработало как нужно. Попробуй.<br><br> https://mobile.opennet.me/openforum/vsluhforumID6/14738.html#1 Thu, 25 Oct 2007 09:32:23 GMT &gt;LAN - Cisco#2 - Cisco#1 - WAN/VPN <br>&gt;Есть удаленный офис, который связан с тремя другими офисами по VPN. <br>&gt;Суть разделения в том, что бы обеспечить надежное соединение со всеми тремя <br>&gt;точками. <br>&gt;Есть предположение, что проблема именно в том, что все вместе крутится на <br>&gt;одном девайсе. Как вариант, поставить два последовательно: <br>&gt;Cisco#1 - только VPN, NAT и external dynamic VPN connections <br>&gt;Cisco#2 - Policing, NetFlow, WCCP и все остальное. <br>&gt;<br>&gt;Как по вашему мнению, это решит проблему? <br><br>Для начала надо выяснить причину падения VPN ? Может это связано совсем не<br>с нагрузкой на девайс, а есть какая-то другая причина.<br>VPN у Вас на базе IPSec ?<br>Посмотрите какой процесс сильно грузит cisco.<br>Включите debug для VPN и постарайтесь выяснить причину падения <br>VPN соединений.<br> <br>После этого можно будет принять решение о разносе сервисов на два устройства.<br><br>&gt;Вопрос - можно ли элегантно разместить оба раутера в одной подсетке или <br>&gt;их таки нужно будет разносить по разным? Если да, то как?