forum.opennet.ru

Составление сообщения

Исходное сообщение

"NetFlow И tunnel"
Отправлено genialen, 08-Окт-13 12:39

>[оверквотинг удален]
> Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление,
> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).
> А можно лог того, как это происходит, т.е.
> ter mon
> show ip int br - туннели up
> show crypto isakmp sa
> включаем netflow
> show ip int br - туннели down
> show crypto isakmp sa
Нет все верно вы поняли на двух тунелях у меня один и тот же дистинейшон так как на удаленной циске один провайдер.
crypto map я не использую, работает на профилях.
С нет флов ошибочка вышла тунели сами по себе глючат. Как только настроил, без нет флов все завелось, пока настраивал нет флов, все упало и так пару раз было, отсюда и грешил на него. Теперь понимаю что, не из за него, так как тунели опять при выключенном нет флов лежат.
> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).
Почему? Почему тогда с начало оба тунеля работали до пары довремени? и как тогда нужно?

ЭТО 1800
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
  logging enable
  hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
shutdown
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip access-group FW_IN in
ip access-group FW_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!
ip access-list extended FW_IN
permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116
permit icmp any host xxx.xx.xx.116
deny   ip any any
ip access-list extended FW_OUT
permit ip any any
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

rf#show ip int brief   Это 891
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet6              unassigned      YES unset  up                    up
FastEthernet8              xxx.xxx.xx.121  YES NVRAM  up                    up
GigabitEthernet0           xx.xxx.xxx.181  YES NVRAM  up                    up
Loopback0                  10.0.10.4       YES NVRAM  up                    up
NVI0                       xxx.xxx.xx.121  YES unset  up                    up
Tunnel0                    192.168.2.1     YES NVRAM  up                    down
Tunnel1                    192.168.3.1     YES NVRAM  up                    down
Vlan1                      10.200.1.5      YES NVRAM  up                    up
dm#sh ip int brief это 1800
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              xxx.xx.xx.116   YES NVRAM  up                    up
FastEthernet7              unassigned      YES unset  up                    up
Vlan1                      10.200.2.5      YES NVRAM  up                    up
Tunnel1                    192.168.3.2     YES NVRAM  up                    down
Tunnel0                    192.168.2.2     YES NVRAM  up                    down
Loopback0                  22.22.22.22     YES NVRAM  up                    up
NVI0                       unassigned      NO  unset  up                    up
rf#show crypto isakmp sa    Это 891
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
xxx.xxx.xxx.181  xxx.xx.xx.116   MM_NO_STATE          0 ACTIVE (deleted)
xxx.xx.xx.116   xx.xxx.xxx.181  QM_IDLE           2001 ACTIVE
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2002 ACTIVE
dm#show crypto isakmp sa     Это 1800
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2002    0 ACTIVE
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2001    0 ACTIVE
xx.xxx.xxx.181  xxx.xx.xx.116   MM_NO_STATE          0    0 ACTIVE

Исходное сообщение
"NetFlow И tunnel" Отправлено genialen, 08-Окт-13 12:39
>[оверквотинг удален] > Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, > что оба туннеля терминируются на одном destination (кстати, если это так, > то работать одновременно туннели не будут). > А можно лог того, как это происходит, т.е. > ter mon > show ip int br - туннели up > show crypto isakmp sa > включаем netflow > show ip int br - туннели down > show crypto isakmp sa Нет все верно вы поняли на двух тунелях у меня один и тот же дистинейшон так как на удаленной циске один провайдер. crypto map я не использую, работает на профилях. С нет флов ошибочка вышла тунели сами по себе глючат. Как только настроил, без нет флов все завелось, пока настраивал нет флов, все упало и так пару раз было, отсюда и грешил на него. Теперь понимаю что, не из за него, так как тунели опять при выключенном нет флов лежат. > что оба туннеля терминируются на одном destination (кстати, если это так, > то работать одновременно туннели не будут). Почему? Почему тогда с начало оба тунеля работали до пары довремени? и как тогда нужно? ЭТО 1800 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname dm ! boot-start-marker boot-end-marker ! logging buffered 4096 informational ! aaa new-model ! ! ! aaa session-id common ! resource policy ! memory-size iomem 5 ! ! ip cef ! ! ip domain name test.RU ! ! ! username user privilege 15 password 7 archive log config logging enable hidekeys ! ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth crypto isakmp keepalive 10 periodic ! ! crypto ipsec transform-set MYSET ah-sha-hmac esp-des mode transport ! crypto ipsec profile PROFILE set transform-set MYSET ! ! ! ! ! interface Tunnel1 bandwidth 10000 ip address 192.168.3.2 255.255.255.0 ip mtu 1400 delay 5200 tunnel source FastEthernet0 tunnel destination xx.xxx.xxx.181 tunnel mode ipsec ipv4 tunnel protection ipsec profile PROFILE ! interface Tunnel0 bandwidth 10000 ip address 192.168.2.2 255.255.255.0 ip mtu 1400 shutdown tunnel source FastEthernet0 tunnel destination xxx.xxx.xx.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile PROFILE ! interface Loopback0 ip address 22.22.22.22 255.255.255.0 ! interface FastEthernet0 ip address xxx.xx.xx.116 255.255.255.248 ip access-group FW_IN in ip access-group FW_OUT out ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface BRI0 no ip address encapsulation hdlc shutdown ! ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! interface Vlan1 description === LAN === ip address 10.200.2.5 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! router eigrp 1 passive-interface default no passive-interface Tunnel1 no passive-interface Tunnel0 network 10.0.0.0 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 auto-summary ! ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113 ! ! no ip http server no ip http secure-server ! ip access-list extended FW_IN permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116 permit icmp any host xxx.xx.xx.116 deny ip any any ip access-list extended FW_OUT permit ip any any ! ! ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 60 0 privilege level 15 password 7 logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end rf#show ip int brief Это 891 Interface IP-Address OK? Method Status Protocol FastEthernet6 unassigned YES unset up up FastEthernet8 xxx.xxx.xx.121 YES NVRAM up up GigabitEthernet0 xx.xxx.xxx.181 YES NVRAM up up Loopback0 10.0.10.4 YES NVRAM up up NVI0 xxx.xxx.xx.121 YES unset up up Tunnel0 192.168.2.1 YES NVRAM up down Tunnel1 192.168.3.1 YES NVRAM up down Vlan1 10.200.1.5 YES NVRAM up up dm#sh ip int brief это 1800 Interface IP-Address OK? Method Status Protocol FastEthernet0 xxx.xx.xx.116 YES NVRAM up up FastEthernet7 unassigned YES unset up up Vlan1 10.200.2.5 YES NVRAM up up Tunnel1 192.168.3.2 YES NVRAM up down Tunnel0 192.168.2.2 YES NVRAM up down Loopback0 22.22.22.22 YES NVRAM up up NVI0 unassigned NO unset up up rf#show crypto isakmp sa Это 891 IPv4 Crypto ISAKMP SA dst src state conn-id status xxx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 ACTIVE (deleted) xxx.xx.xx.116 xx.xxx.xxx.181 QM_IDLE 2001 ACTIVE xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 ACTIVE dm#show crypto isakmp sa Это 1800 IPv4 Crypto ISAKMP SA dst src state conn-id slot status xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 0 ACTIVE xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2001 0 ACTIVE xx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 0 ACTIVE

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>[оверквотинг удален] >> Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, >> что оба туннеля терминируются на одном destination (кстати, если это так, >> то работать одновременно туннели не будут). >> А можно лог того, как это происходит, т.е. >> ter mon >> show ip int br - туннели up >> show crypto isakmp sa >> включаем netflow >> show ip int br - туннели down >> show crypto isakmp sa > Нет все верно вы поняли на двух тунелях у меня один и > тот же дистинейшон так как на удаленной циске один провайдер. > crypto map я не использую, работает на профилях. > С нет флов ошибочка вышла тунели сами по себе глючат. Как только > настроил, без нет флов все завелось, пока настраивал нет флов, все > упало и так пару раз было, отсюда и грешил на него. > Теперь понимаю что, не из за него, так как тунели опять > при выключенном нет флов лежат. >> что оба туннеля терминируются на одном destination (кстати, если это так, >> то работать одновременно туннели не будут). > Почему? Почему тогда с начало оба тунеля работали до пары довремени? и > как тогда нужно? > ЭТО 1800 > ! > version 12.4 > service timestamps debug datetime msec > service timestamps log datetime msec > service password-encryption > ! > hostname dm > ! > boot-start-marker > boot-end-marker > ! > logging buffered 4096 informational > ! > aaa new-model > ! > ! > ! > aaa session-id common > ! > resource policy > ! > memory-size iomem 5 > ! > ! > ip cef > ! > ! > ip domain name test.RU > ! > ! > ! > username user privilege 15 password 7 > archive > log config > logging enable > hidekeys > ! > ! > ! > crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share > group 2 > crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth > crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth > crypto isakmp keepalive 10 periodic > ! > ! > crypto ipsec transform-set MYSET ah-sha-hmac esp-des > mode transport > ! > crypto ipsec profile PROFILE > set transform-set MYSET > ! > ! > ! > ! > ! > interface Tunnel1 > bandwidth 10000 > ip address 192.168.3.2 255.255.255.0 > ip mtu 1400 > delay 5200 > tunnel source FastEthernet0 > tunnel destination xx.xxx.xxx.181 > tunnel mode ipsec ipv4 > tunnel protection ipsec profile PROFILE > ! > interface Tunnel0 > bandwidth 10000 > ip address 192.168.2.2 255.255.255.0 > ip mtu 1400 > shutdown > tunnel source FastEthernet0 > tunnel destination xxx.xxx.xx.121 > tunnel mode ipsec ipv4 > tunnel protection ipsec profile PROFILE > ! > interface Loopback0 > ip address 22.22.22.22 255.255.255.0 > ! > interface FastEthernet0 > ip address xxx.xx.xx.116 255.255.255.248 > ip access-group FW_IN in > ip access-group FW_OUT out > ip nat outside > ip virtual-reassembly > duplex auto > speed auto > no cdp enable > ! > interface BRI0 > no ip address > encapsulation hdlc > shutdown > ! > ! > interface ATM0 > no ip address > shutdown > no atm ilmi-keepalive > dsl operating-mode auto > ! > interface Vlan1 > description === LAN === > ip address 10.200.2.5 255.255.255.0 > ip nat inside > ip virtual-reassembly > ip tcp adjust-mss 1452 > ! > router eigrp 1 > passive-interface default > no passive-interface Tunnel1 > no passive-interface Tunnel0 > network 10.0.0.0 > network 192.168.1.0 > network 192.168.2.0 > network 192.168.3.0 > auto-summary > ! > ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113 > ! > ! > no ip http server > no ip http secure-server > ! > ip access-list extended FW_IN > permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116 > permit icmp any host xxx.xx.xx.116 > deny ip any any > ip access-list extended FW_OUT > permit ip any any > ! > ! > ! > ! > ! > ! > ! > control-plane > ! > ! > line con 0 > line aux 0 > line vty 0 4 > exec-timeout 60 0 > privilege level 15 > password 7 > logging synchronous > transport input telnet ssh > ! > scheduler max-task-time 5000 > ! > webvpn context Default_context > ssl authenticate verify all > ! > no inservice > ! > end > rf#show ip int brief Это 891 > Interface > IP-Address > OK? Method Status > Protocol > FastEthernet6 > unassigned YES unset > up > up > FastEthernet8 > xxx.xxx.xx.121 YES NVRAM up > > up > GigabitEthernet0 xx.xxx.xxx.181 > YES NVRAM up > > up > Loopback0 > 10.0.10.4 > YES NVRAM up > > up > NVI0 > > xxx.xxx.xx.121 YES unset up > > up > Tunnel0 > 192.168.2.1 > YES NVRAM up > > down > Tunnel1 > 192.168.3.1 > YES NVRAM up > > down > Vlan1 > 10.200.1.5 > YES NVRAM up > > up > dm#sh ip int brief это 1800 > Interface > IP-Address > OK? Method Status > Protocol > FastEthernet0 > xxx.xx.xx.116 YES NVRAM up > > up > FastEthernet7 > unassigned YES unset > up > up > Vlan1 > 10.200.2.5 > YES NVRAM up > > up > Tunnel1 > 192.168.3.2 > YES NVRAM up > > down > Tunnel0 > 192.168.2.2 > YES NVRAM up > > down > Loopback0 > 22.22.22.22 > YES NVRAM up > > up > NVI0 > > unassigned NO unset up > > up > rf#show crypto isakmp sa Это 891 > IPv4 Crypto ISAKMP SA > dst > src > state > conn-id status > xxx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE > 0 ACTIVE (deleted) > xxx.xx.xx.116 xx.xxx.xxx.181 QM_IDLE > 2001 ACTIVE > xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE > 2002 ACTIVE > dm#show crypto isakmp sa Это 1800 > IPv4 Crypto ISAKMP SA > dst > src > state > conn-id slot status > xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE > 2002 0 ACTIVE > xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE > 2001 0 ACTIVE > xx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE > 0 0 ACTIVE
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру