 проблема с ipsec туннелями,  PuffNutty, 19-Фев-09, 17:15 [смотреть все]Есть несколько объектов в Москве, которые связаны с офисом через ipsec туннели. Среди них на 2-х каналах существует проблема: перестают ходить пакеты внутри туннелей, при этом внешний адрес маршрутизатора пингуется. Ошибок на интерфейсах нет, ни на внешнем, ни на туннелях. Туннели не падают. После какого-то времени само восстанавливается. Конфигурация стандартна более чем на 20-ти объектах, проблема на 2-х.
Со стороны объекта Cisco 871 c870-advsecurityk9-mz.124-15.T4
crypto ipsec transform-set sm_set esp-3des esp-md5-hmac
!
crypto ipsec profile sm_profile
set transform-set sm_set
!
interface Tunnel0
description Connect to Office (Master)
bandwidth 256
ip unnumbered Vlan1
ip access-group guard_out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1500
ip route-cache flow
no ip mroute-cache
keepalive 5 2
tunnel source FastEthernet4
tunnel destination 62.141.x.x
tunnel mode ipsec ipv4
tunnel protection ipsec profile s_profile
service-policy output Tunnel256со стороны офиса Cisco 3825 c3825-adventerprisek9-mz.124-5a interface Tunnel149
bandwidth 256
ip unnumbered GigabitEthernet0/1
ip access-group inside in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1500
ip nat inside
ip virtual-reassembly
ip route-cache flow
no ip mroute-cache
keepalive 5 2
tunnel source FastEthernet1/0
tunnel destination x.x.x.x
tunnel mode ipsec ipv4
tunnel protection ipsec profile s_profile
service-policy output Tunnel256Oracle |
- проблема с ipsec туннелями, visaversa, 19:30 , 20-Фев-09 (1)
- проблема с ipsec туннелями, zzzzzak, 20:42 , 21-Фев-09 (2)
- проблема с ipsec туннелями, bokl, 23:53 , 22-Фев-09 (3)
- проблема с ipsec туннелями, zzzzzak, 15:28 , 23-Фев-09 (4)
- проблема с ipsec туннелями, bokl, 16:11 , 23-Фев-09 (5)
- проблема с ipsec туннелями, zzzzzak, 17:09 , 23-Фев-09 (6)
- проблема с ipsec туннелями, PuffNutty, 08:34 , 24-Фев-09 (7)
>Вопрос автору: Внутри тунеля ни один пакет не проходит, даже ICMP?да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает. был такой у нас объект в свое время, так решили переходом на ipvpn. каналы там ненагруженные.
- проблема с ipsec туннелями, ilya, 07:35 , 25-Фев-09 (9)
- проблема с ipsec туннелями, PuffNutty, 09:28 , 25-Фев-09 (10)
>[оверквотинг удален]
>>
>>да, вообще ничего не ходит внутри туннелей, внешний адрес при этом отвечает.
>>был такой у нас объект в свое время, так решили переходом
>>на ipvpn. каналы там ненагруженные.
>
>1. если после падения тунеля его пересоздать, т.е. удалить SA и почистить
>IKE. Что будет? Тунель поднимится сразу или будет задержка? Есть среднее
>время восстановления тунеля?
>2. Если попробовать на этих двух точках сделать тунель только через криптомапу
>? пакеты начинают ходить сразу же после shut/no shut на туннеле со стороны объекта. на криптомап переходить не решение, мы от него отказались, т.к. со стороны объекта у нас 2 туннеля, второй резервный. они приходят в 2 офиса на разные маршрутизаторы по 2 каналам разных провайдеров. замена иоса не помогла, кстати, зато помогло (пока только предположительно) переключение на резервный туннель, он от другого провайдера.
- проблема с ipsec туннелями, PuffNutty, 10:49 , 24-Фев-09 (8)
нагрузка 1% во время возникновения проблемы. туннели не падают. вообщем поменял ИОС на c870-advsecurityk9-mz.124-15.T7.bin (он стоит на непроблемных роутерах), сижу мониторю.
- проблема с ipsec туннелями, RET, 23:06 , 16-Мрт-09 (12)
- проблема с ipsec туннелями, PuffNutty, 12:47 , 19-Мрт-09 (13)
>Что-то получилось с туннелями? На днях попали точь-в-точь такую же ситуацию? помогает
>ли смена ИОСа на новый? решили тем, что переключились на канал другого провайдера со стороны офиса (соответственно на резервный туннель). а теперь постепенно переводим на ipvpn, чтобы туннелей вообще не было. вообщем, так и не разобрались в чем дело было.
|
Версия для распечатки
