The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipsec vpn cisco 1841 и dlink di-804hv"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"ipsec vpn cisco 1841 и dlink di-804hv"  +/
Сообщение от se000 email(ok) on 10-Авг-09, 22:37 
вот такой вот site to site vpn
при этом он завязывается но потери при
передаче 40-70 процентов. при этом если пинг с самой cisco
ping 192.168.3.1 source vlan1 то он 100% доходит.
просто ping 192.168.3.1 с cisco не один не доходит. т.е. 100% потерь.
помогите понять причину.
acl 100, 104 , 107 , 110 пробовал вовсе выключать, убирать. результат тот же.


crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 12345678 address 10.200.8.1 no-xauth

crypto ipsec transform-set ESP_3DES/MD5 esp-3des esp-md5-hmac

crypto map IPsec_branch 3 ipsec-isakmp
set peer 10.200.8.1
set security-association lifetime seconds 28800
set transform-set ESP_3DES/MD5
set pfs group2
match address eight_acl


interface FastEthernet0/0
description ext-real ip address on cisco
ip address 10.200.7.54 255.255.255.252
ip access-group 104 in
ip access-group 107 out
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
crypto map IPsec_branch

interface Vlan1
description internal cisco ip
ip address 192.168.20.3 255.255.255.0
ip access-group 100 in
ip access-group 110 out
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow


ip route 0.0.0.0 0.0.0.0 10.200.7.53
ip route 192.168.3.0 255.255.255.0 FastEthernet0/0
ip route 192.168.20.0 255.255.255.0 Vlan1

ip access-list extended eight_acl
permit ip 192.168.20.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.20.0 0.0.0.255

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipsec vpn cisco 1841 и dlink di-804hv"  +/
Сообщение от Eduard_k (ok) on 11-Авг-09, 17:32 
>вот такой вот site to site vpn
>при этом он завязывается но потери при
>передаче 40-70 процентов. при этом если пинг с самой cisco
>ping 192.168.3.1 source vlan1 то он 100% доходит.
>просто ping 192.168.3.1 с cisco не один не доходит. т.е. 100% потерь.
>
>помогите понять причину.

причина простая, когда вы запускаете просто пинг, не указывая source interface, роутер смотрит RIB, и видит, что данная сеть доступна через интерфейс FastEthernet0/0, поэтому пакеты уходят с source IP=10.200.7.54 и в ваш впн не попадают.
уберите строчки ip route 192.168.20.0 255.255.255.0 Vlan1 (она у вас и так директли коннектед)
ip route 192.168.3.0 255.255.255.0 FastEthernet0/0 (в широковещательных сетях маршруты прописываются не на интерфейс , а на next hop), кроме того пакеты в данную сеть и так уйдут правильно по default route
в ip access-list extended eight_acl уберите вторую строчку. не то, чтобы она мешается, просто она тут нахрен не нужна.

40-70 процентов потерь какого трафика? как определяли? если это tcp трафик, возможно проблема с размером MTU.
какова загрузка CPU на цыске?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру