форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Проблема с IPSEC. Нагрузка на процессор"

Сообщение от KanycTa (??) on 14-Ноя-08, 10:54

Проблема такая, настроил тунель IPSEC с роутером Dlink-Di804HV Но есть пролема, большая нагрузка на процессор. Причину я выяснил - это в этой строчке access-list 102 permit ip any any log А именно в логах. Если приписывать это без логов access-list 102 permit ip any any То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется загадкой. Что можно сделать с IPSEC, чтобы не юзать логи? Вот конфиг --------------------------------------------------------------------------------- router#sh run Building configuration... Current configuration : 3067 bytes ! version 12.4 service config service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service single-slot-reload-enable ! hostname router ! boot-start-marker boot-end-marker ! ! redundancy enable secret 5 ******** ! aaa new-model ! ! aaa authentication ppp default group radius ! aaa session-id common ! ! ip cef ip domain name cisco.organization.ru ! ! vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin   protocol pptp   virtual-template 1 ! ! username root password 0 ******** ! ! ip ssh time-out 60 ip ssh authentication-retries 2 ! ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key key address 172.0.0.2 ! ! crypto ipsec transform-set SAMPLE_SET esp-3des ! crypto map DI-804HV 4 ipsec-isakmp set peer 172.0.0.2 set security-association lifetime seconds 28800 set transform-set SAMPLE_SET set pfs group2 match address 101 ! ! ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface FastEthernet0/0/0 ip address 172.0.0.1 255.255.255.0 ip access-group 102 in ip nat outside ip virtual-reassembly half-duplex crypto map DI-804HV ! interface FastEthernet0/1/0 ip address 192.168.0.49 255.255.240.0 ip access-group 102 in ip nat inside ip virtual-reassembly half-duplex ! interface FastEthernet2/0/0 no ip address shutdown half-duplex ! interface FastEthernet2/1/0 ip address 10.0.0.1 255.255.255.0 ip access-group 102 in ip nat inside ip virtual-reassembly half-duplex ! interface Virtual-Template1 ip unnumbered FastEthernet0/0/0 no ip proxy-arp peer default ip address pool DHCP-VPN ppp authentication ms-chap ! ip local pool DHCP-VPN 192.168.14.1 192.168.14.254 ip forward-protocol nd ip route 192.168.255.0 255.255.255.0 FastEthernet0/0/0 ! no ip http server no ip http secure-server ! ip nat inside source list NAT interface FastEthernet0/0/0 overload ip nat inside source static tcp 1.1.1.1 23 172.0.0.1 23 extendable ip nat inside source static tcp 1.1.1.1 1723 172.0.0.1 1723 extendable ! ! ip access-list extended NAT deny   ip 192.168.0.0 0.0.15.255 192.168.255.0 0.0.0.255 deny   ip 10.0.0.0 0.0.0.255 192.168.255.0 0.0.0.255 deny   ip 192.168.0.0 0.0.15.255 192.168.254.0 0.0.0.255 permit ip any any access-list 101 permit ip 192.168.0.0 0.0.15.255 192.168.255.0 0.0.0.255 access-list 102 permit ip any any log ! ! radius-server host 192.168.0.252 auth-port 1812 acct-port 1813 timeout 5 radius-server key key ! control-plane ! line con 0 line aux 0 line vty 0 4 password ******** transport input ssh ! ! end ---------------------------------------------------------------------------------

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблема с IPSEC. Нагрузка на процессор"

Сообщение от CrAzOiD (ok) on 14-Ноя-08, 12:11

>Проблема такая, настроил тунель IPSEC с роутером Dlink-Di804HV >Но есть пролема, большая нагрузка на процессор. >Причину я выяснил - это в этой строчке >access-list 102 permit ip any any log >А именно в логах. Если приписывать это без логов >access-list 102 permit ip any any >То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется >загадкой. >Что можно сделать с IPSEC, чтобы не юзать логи? Показать sh ver Были какие-то баги на тему log

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от momo (??) on 14-Ноя-08, 12:52
	>[оверквотинг удален] >>Причину я выяснил - это в этой строчке >>access-list 102 permit ip any any log >>А именно в логах. Если приписывать это без логов >>access-list 102 permit ip any any >>То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется >>загадкой. >>Что можно сделать с IPSEC, чтобы не юзать логи? > >Показать sh ver >Были какие-то баги на тему log а зачем у тебя там настроено l2tp подключение?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от KanycTa (??) on 14-Ноя-08, 14:10
	>Показать sh ver >Были какие-то баги на тему log sh version Cisco IOS Software, RSP Software (RSP-JK9SV-M), Version 12.4(21), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 14:00 by prod_rel_team ROM: System Bootstrap, Version 11.1(8)CA1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) BOOTLDR: RSP Software (RSP-BOOT-M), Version 12.2(31), RELEASE SOFTWARE (fc2) router uptime is 5 hours, 18 minutes System returned to ROM by reload at 04:22:17 UTC Thu Nov 13 2008 System image file is "disk0:rsp-jk9sv-mz.124-21.bin" Last reload reason: Unknown reason This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco RSP4 (R5000) processor with 262144K/2072K bytes of memory. R5000 CPU at 200MHz, Implementation 35, Rev 2.1, 512KB L2 Cache Last reset from power-on Chassis Interface. 1 VIP2 controller (2 FastEthernet). 1 VIP2 R5K controller (2 FastEthernet). 4 FastEthernet interfaces 123K bytes of NVRAM. 62720K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes). 8192K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x2102 PPTP тоже нужен. Он на это никак не влияет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от KanycTa (??) on 14-Ноя-08, 17:07
	Ну поможет мне кто-нибудь? гугл уже исчерпал себя.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от Eduard_k (??) on 14-Ноя-08, 20:34
	>Ну поможет мне кто-нибудь? гугл уже исчерпал себя. попробуйте no ip cef если заработает - меняйте ios смысл 102 списка доступа в чем? может вообще убрать его с интерфейса interface FastEthernet2/1/0 no ip access-group 102 in т.к. он все равно ничего не запрещает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от KanycTa (??) on 14-Ноя-08, 21:28
	>[оверквотинг удален] >попробуйте >no ip cef >если заработает - меняйте ios > >смысл 102 списка доступа в чем? может вообще убрать его с интерфейса > > >interface FastEthernet2/1/0 >no ip access-group 102 in > т.к. он все равно ничего не запрещает. Вот именно, что если его убрать, то перестает по тунелю перестают ходить пакеты, а сам туннель поднимается без проблем. и почему то именно нужно прописывать с log, без него не работает
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от Eduard_k (??) on 14-Ноя-08, 21:41
	>[оверквотинг удален] >> >> >>interface FastEthernet2/1/0 >>no ip access-group 102 in >> т.к. он все равно ничего не запрещает. > >Вот именно, что если его убрать, то перестает по тунелю перестают ходить >пакеты, а сам туннель поднимается без проблем. >и почему то именно нужно прописывать с log, без него не работает > когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно проблема данной версии ios-а. попробуйте отключить ip cef, это не решение проблемы , но может помочь ее локализовать. посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка доступа, вдруг яснее станет в чем прблема.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от KanycTa (??) on 17-Ноя-08, 07:45
	>когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно >проблема данной версии ios-а. попробуйте отключить ip cef, это не решение >проблемы , но может помочь ее локализовать. >посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка >доступа, вдруг яснее станет в чем прблема. Отключение cef ничем не помогло. в deb ip packet 101  при пинге через тунель, превышен интервал ожидания. *Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F astEthernet0/0/0), g=192.168.255.1, len 60, forward *Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1 68.255.1 (FastEthernet0/0/0), routed via RIB Попробую сменить иос, может поможет. А версию иоса никто не подскажет. У меня был один иос, дак там с крашем ребуталась циска при поднятии ипсек тунеля
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Проблема с IPSEC. Нагрузка на процессор"
	Сообщение от Eduard_k (ok) on 17-Ноя-08, 11:20
	>[оверквотинг удален] >ожидания. > >*Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F >astEthernet0/0/0), g=192.168.255.1, len 60, forward >*Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1 >68.255.1 (FastEthernet0/0/0), routed via RIB > >Попробую сменить иос, может поможет. >А версию иоса никто не подскажет. У меня был один иос, дак >там с крашем ребуталась циска при поднятии ипсек тунеля rsp-jk9o3sv-mz.124-23.bin - последний. Однако насколько стабилен не подскажу, не пробовал.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]