The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"При добавлении нового Tunnel, отвалились все остальные тонне..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"При добавлении нового Tunnel, отвалились все остальные тонне..."  
Сообщение от Vova Joker (ok) on 24-Фев-08, 17:24 
Здравствуйте!
Подскажите, пожалуйста, что могло стать причиной "отваливания" тоннелей?
Примерная схема такая:

                                                   ______IPSec_____ Cisco 2801 (Саратов)
                                                  /
                                                 / ______IPSec_____ Cisco 2801 (Тюмень)
                              GRE          / /
Cisco 7604 ============== Pix _______IPSec____ Cisco 2801 (Вологда)
                                                \ \
                                                 \ \_____IPSec_____ Cisco 2801 (Казань)
                                                  \
                                                   \_____IPSec_____ Cisco 2801 (Пермь)

На Cisco 7604 созданы GRE-тоннели. На PIX'ах GRE трафик шифруется в IPSec.
На региональных Cisco 2801

Надо было создать еще один тоннель с Мурманском
И я сделал так:
interface Tunnel20
description VPN Murmansk
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.20
tunnel vrf inet

Тоннели сразу "отвалились"
На PIX'е еще ничего не было сделано.


На Cisco 7604 тоннели выглядели точно также так:
--------------
interface Tunnel29
description VPN Saratov
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.29
tunnel vrf inet
!
interface Tunnel31
description VPN Tumen
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.31
tunnel vrf inet
!
interface Tunnel32
description VPN Vologda
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.32
tunnel vrf inet
!
interface Tunnel35
description VPN Kazan
bandwidth 1000
ip vrf forwarding inet
ip unnumbered Loopback2
ip mtu 1400
ip ospf cost 390
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.35
tunnel vrf inet
!
interface Tunnel54
description VPN perm
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.54
tunnel vrf inet
!
interface Loopback2
ip vrf forwarding inet
ip address 10.0.0.11 255.255.255.255
!
interface Loopback15
ip vrf forwarding inet
ip address 123.123.123.15 255.255.255.255

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "При добавлении нового Tunnel, отвалились все остальные тонне..."  
Сообщение от zaikini email(??) on 25-Фев-08, 16:26 
можно увидеть полный конфиг 7604 и нового маршрутизатора. что "выбрасывает" маршрутизатор в лог при "падении" интерфейсов?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "При добавлении нового Tunnel, отвалились все остальные тонне..."  
Сообщение от Vova Joker (ok) on 25-Фев-08, 16:44 
>можно увидеть полный конфиг 7604 и нового маршрутизатора. что "выбрасывает" маршрутизатор в
>лог при "падении" интерфейсов?

Полный конфиг 7604 я предоставить не смогу - он очень большой и там много "наколбашено" того, что я бы не хотел показывать. Скажите, какие куски Вас интересуют?

Вот лог 7604 на момент падения:
Feb 22 11:08:31.425: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (10.200.0.73)
Feb 22 11:11:47.656: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.54 on Tunnel54 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:47.764: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.29 on Tunnel29 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:48.892: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.32 on Tunnel32 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:52.804: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.31 on Tunnel31 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:55.336: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.35 on Tunnel35 from FULL to DOWN, Neighbor Down: Dead timer expired

Сами интерфейсы оставались в UP'е, а вот трафик по ним уже не бегал. Наверное, дело в IPSec'ах PIX'a.
На новом маршрутизаторе (в Мурманске) ничего нет и быть не могло, т.к. до него так я добраться не успел.

У меня есть предположение, что надо было сначало создать IPSec между PIX и Мурманском, а потом туда засунуть GRE-трафик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "При добавлении нового Tunnel, отвалились все остальные тонне..."  
Сообщение от zaikini email(??) on 25-Фев-08, 17:36 
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру