The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NetFlow И tunnel"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 07-Окт-13, 10:26 
Привет всем! не могу понять в чем косяк.
Есть у меня две циски 891 и 1800 между ними тунель, точнее два тунеля ipsec.
Два тунеля от того что два провайдера на одной из цисок.
Собственно косяк в том что если я на cisco включаю netflow то у меня падают оба тунеля.
И дебаг пишет что не удается авторизоваться типо не подходит пароль в первом этапе.

конфиг циски там где первым делом включал netflow это 891 на ней два провайдера


!
! Last configuration change at 12:32:14 UTC Fri Oct 4 2013 by
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname rf
!
boot-start-marker
boot system flash:c890-universalk9-mz.150-1.M9.bin
boot-end-marker
!
logging buffered 4096 informational
no logging console
enable secret 5 .
enable password 7 !
aaa new-model
!

aaa session-id common

crypto pki trustpoint TP-self-signed-809994845
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-809994845
revocation-check none
rsakeypair TP-self-signed-809994845
!
!
crypto pki certificate chain TP-self-signed-809994845
certificate self-signed 01
  30820246 308201AF A0030201 02020101 300D0609 2A864886   2A1F695A 88562BC4 E3E3B6A1 350AC9B9 F0BCB767 E7F9AA92 F7A587C3 4C22BB17
  2AA6F3D3 9850AED2 C5E5
      quit
ip source-route
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
ip cef
ip flow-cache timeout active 1
no ip domain lookup
ip domain name 123.RU
no ipv6 cef
!
!
multilink bundle-name authenticated

track 11 ip sla 1 reachability
!
!
crypto isakmp policy 1
authentication pre-share
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key password address xx.xx.xx.116 no-xauth
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
!
interface Loopback0
ip address 10.0.10.4 255.255.255.0
!
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.1 255.255.255.0
ip mtu 1400
ip flow ingress
keepalive 10 3
tunnel source FastEthernet8
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.1 255.255.255.0
ip mtu 1400
ip flow ingress
delay 5200
keepalive 10 3
tunnel source GigabitEthernet0
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop


interface FastEthernet8
description === Prov2 ===
ip address xxx.xxx.xx.121 255.255.255.240
ip access-group FW_IN in
ip access-group WF_OUT out
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface GigabitEthernet0
description === Prov1 ===
ip address xx.xxx.xxx.181 255.255.255.128
ip access-group FW_IN in
ip access-group WF_OUT out
ip flow ingress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface Vlan1
description === LAN ===
ip address 10.200.1.5 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
!
!
router eigrp 1
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
ip flow-export source Vlan1
ip flow-export version 9
ip flow-export destination 10.200.1.204 9996
!
ip nat pool Pool_Prov1 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128
ip nat pool Pool_Prov2 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240
ip nat inside source route-map ISP_Prov2 pool Pool_Prov2 overload
ip nat inside source route-map ISP_Prov1 pool Pool_Prov1 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 track 11
ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 50
!
ip access-list extended FW_IN
permit tcp host xxx.xx.xx.116 host xxx.xxx.xx.121 eq 22
permit icmp host xxx.xx.xx.116 host xxx.xxx.xx.121
permit udp host xxx.xx.xx.116 host xxx.xxx.xx.121 eq isakmp
permit ahp host xxx.xx.xx.116 host xxx.xxx.xx.121
permit icmp host 8.8.8.8 host xxx.xxx.xx.121
permit icmp host xxx.xxx.xx.113 host xxx.xxx.xx.121
permit tcp host xxx.xx.xx.116 host xx.xxx.xxx.181 eq 22
permit icmp host xxx.xx.xx.116 host xx.xxx.xxx.181
permit udp host xxx.xx.xx.116 host xx.xxx.xxx.181 eq isakmp
permit ahp host xxx.xx.xx.116 host xx.xxx.xxx.181
permit icmp host 8.8.8.8 host xx.xxx.xxx.181
permit icmp host xxx.xxx.xx.113 host xx.xxx.xxx.181
permit icmp any host xx.xxx.xxx.181
permit icmp any host xxx.xxx.xx.121
ip access-list extended FW_OUT
permit ip any any
!
ip sla 1
icmp-echo 8.8.8.8
frequency 20
ip sla schedule 1 life forever start-time now
no cdp run

!
!
!
!
route-map ISP_Prov1 permit 10
match interface GigabitEthernet0
!
route-map ISP_Prov2 permit 10
match interface FastEthernet8
!
snmp-server ifindex persist
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7 03175F0D150B270F0A4C5A4144
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
end

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NetFlow И tunnel"  +1 +/
Сообщение от QRSa (ok) on 07-Окт-13, 22:08 
Добрый день.

Вижу лог только 891.
На туннеле keepalive, что фатально, если на другом конце стоит tunnel mode ipsec ipv4, а не crypto map (было бы неплохо увидеть конфиг с 1800).

Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, что оба туннеля терминируются на одном destination (кстати, если это так, то работать одновременно туннели не будут).


А можно лог того, как это происходит, т.е.
ter mon
show ip int br - туннели up
show crypto isakmp sa
включаем netflow
show ip int br - туннели down
show crypto isakmp sa

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 08-Окт-13, 12:39 
>[оверквотинг удален]
> Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление,
> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).
> А можно лог того, как это происходит, т.е.
> ter mon
> show ip int br - туннели up
> show crypto isakmp sa
> включаем netflow
> show ip int br - туннели down
> show crypto isakmp sa

Нет все верно вы поняли на двух тунелях у меня один и тот же дистинейшон так как на удаленной циске один провайдер.

crypto map я не использую, работает на профилях.
С нет флов ошибочка вышла тунели сами по себе глючат. Как только настроил, без нет флов все завелось, пока настраивал нет флов, все упало и так пару раз было, отсюда и грешил на него. Теперь понимаю что, не из за него, так как тунели опять при выключенном нет флов лежат.

> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).

Почему? Почему тогда с начало оба тунеля работали до пары довремени? и как тогда нужно?


ЭТО 1800
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational

!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
  logging enable
  hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
shutdown
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip access-group FW_IN in
ip access-group FW_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!

!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!
ip access-list extended FW_IN
permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116
permit icmp any host xxx.xx.xx.116
deny   ip any any
ip access-list extended FW_OUT
permit ip any any
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end


rf#show ip int brief   Это 891

Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet6              unassigned      YES unset  up                    up
FastEthernet8              xxx.xxx.xx.121  YES NVRAM  up                    up
GigabitEthernet0           xx.xxx.xxx.181  YES NVRAM  up                    up
Loopback0                  10.0.10.4       YES NVRAM  up                    up
NVI0                       xxx.xxx.xx.121  YES unset  up                    up
Tunnel0                    192.168.2.1     YES NVRAM  up                    down
Tunnel1                    192.168.3.1     YES NVRAM  up                    down
Vlan1                      10.200.1.5      YES NVRAM  up                    up

dm#sh ip int brief это 1800
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              xxx.xx.xx.116   YES NVRAM  up                    up
FastEthernet7              unassigned      YES unset  up                    up
Vlan1                      10.200.2.5      YES NVRAM  up                    up
Tunnel1                    192.168.3.2     YES NVRAM  up                    down
Tunnel0                    192.168.2.2     YES NVRAM  up                    down
Loopback0                  22.22.22.22     YES NVRAM  up                    up
NVI0                       unassigned      NO  unset  up                    up

rf#show crypto isakmp sa    Это 891
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
xxx.xxx.xxx.181  xxx.xx.xx.116   MM_NO_STATE          0 ACTIVE (deleted)
xxx.xx.xx.116   xx.xxx.xxx.181  QM_IDLE           2001 ACTIVE
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2002 ACTIVE

dm#show crypto isakmp sa     Это 1800
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2002    0 ACTIVE
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2001    0 ACTIVE
xx.xxx.xxx.181  xxx.xx.xx.116   MM_NO_STATE          0    0 ACTIVE

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "NetFlow И tunnel"  +1 +/
Сообщение от QRSa (ok) on 08-Окт-13, 13:16 
> Нет все верно вы поняли на двух тунелях у меня один и
> тот же дистинейшон так как на удаленной циске один провайдер.
> crypto map я не использую, работает на профилях.
> С нет флов ошибочка вышла тунели сами по себе глючат. Как только
> настроил, без нет флов все завелось, пока настраивал нет флов, все
> упало и так пару раз было, отсюда и грешил на него.
> Теперь понимаю что, не из за него, так как тунели опять
> при выключенном нет флов лежат.

Уберите с туннелей keepalive, т.к. в случае mode ipsec ipv4 используется isakmp keepalive. Кстати, не увидел строки crypto isakmp invalid-spi-recovery (она нужна!)

>> что оба туннеля терминируются на одном destination (кстати, если это так,
>> то работать одновременно туннели не будут).
> Почему? Почему тогда с начало оба тунеля работали до пары довремени? и
> как тогда нужно?

Проблема с двумя туннелями на разных интерфейсах в том, что роутер не знает, через какой физический интерфейс нужно отправлять пакет в destination.
Если Вы хотите сделать 2 туннеля на один и тот же destination, то один из физических интерфейсов нужно поместить в VRF.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 08-Окт-13, 13:26 
> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
> знает, через какой физический интерфейс нужно отправлять пакет в destination.
> Если Вы хотите сделать 2 туннеля на один и тот же destination,
> то один из физических интерфейсов нужно поместить в VRF.

Я полагал выбирает в зависимости от работы SLA

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "NetFlow И tunnel"  +/
Сообщение от QRSa (ok) on 08-Окт-13, 13:32 
>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>> то один из физических интерфейсов нужно поместить в VRF.
> Я полагал выбирает в зависимости от работы SLA

Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два туннеля одновременно!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 08-Окт-13, 14:00 
>>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>>> то один из физических интерфейсов нужно поместить в VRF.
>> Я полагал выбирает в зависимости от работы SLA
> Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два
> туннеля одновременно!

Одновременно ненужно. при работе основного канала tunnel0 при резервном tunnel1

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 08-Окт-13, 14:10 
В данный момент перестал работать один из провайдеров, как раз основной.
SLA постоянно пробует проверяет основной канал на работоспособность и при этом рвет резервный.
Так и должно быть?
Можно как то иначе сконфигурировать?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "NetFlow И tunnel"  +/
Сообщение от QRSa (ok) on 08-Окт-13, 20:50 
Если дело только в туннелях, то я бы сделал, чтобы оба работали одновременно, а протокол маршрутизации выбирал куда кидать трафик.

Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы ведь не описали, что значит: "рвет").

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 09-Окт-13, 12:48 
> Если дело только в туннелях, то я бы сделал, чтобы оба работали
> одновременно, а протокол маршрутизации выбирал куда кидать трафик.

не она еще и натить офис будет. в интернет всех выпускать

> Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы
> ведь не описали, что значит: "рвет").

Отключаю основной канал связи

b вот лог
сейчас циска на резерве g0

Oct  9 12:35:11.382: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to down
Oct  9 12:35:12.382: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to down
Oct  9 12:35:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:36:51.050: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to up
Oct  9 12:36:52.050: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to up
Oct  9 12:37:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:37:16.514: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:37:20.766: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:37:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:37:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:37:58.506: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:38:03.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:38:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:38:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:40:08.042: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:40:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:40:10.986: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:40:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:40:39.630: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:40:44.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:40:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:40:53.090: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
Oct  9 12:40:53.090: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: interface down
Oct  9 12:41:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:41:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:41:43.098: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
Oct  9 12:41:44.278: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:41:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:41:59.330: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:42:03.930: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:42:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:42:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct  9 12:42:37.482: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct  9 12:42:42.422: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
Oct  9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct  9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up

Мало того постоянно скачит то включает то выключает

Oct  9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct  9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up

Так еще каким то Макаром если включить основной канал то интернет начинает работать с основного и при этом тунель "поднимается". Сейчас эксперементирую с одним тунелем закрепленным на интерфейс интернета резерв g0

включил интернет на основном канале

Oct  9 12:47:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct  9 12:47:18.402: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct  9 12:47:22.286: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
S*    0.0.0.0/0 [1/0] via xxx.xxx.xx.113
      10.0.0.0/8 is variably subnetted, 5 subnets, 3 masks
D        10.0.0.0/8 [90/1538560] via 192.168.2.2, 00:00:39, Tunnel0
C        10.0.10.0/24 is directly connected, Loopback0
L        10.0.10.4/32 is directly connected, Loopback0
C        10.200.1.0/24 is directly connected, Vlan1
L        10.200.1.5/32 is directly connected, Vlan1
      xx.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        xx.xxx.xxx.128/25 is directly connected, GigabitEthernet0
L       xx.xxx.xxx.181/32 is directly connected, GigabitEthernet0
      192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.2.0/24 is directly connected, Tunnel0
L        192.168.2.1/32 is directly connected, Tunnel0
      xxx.xxx.xx.0/24 is variably subnetted, 2 subnets, 2 masks
C        xxx.xxx.xx.112/28 is directly connected, FastEthernet8
L        xxx.xxx.xx.121/32 is directly connected, FastEthernet8

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 09-Окт-13, 13:56 

> Так еще каким то Макаром если включить основной канал то интернет начинает
> работать с основного и при этом тунель "поднимается".

поправлюсь. Ненадолго.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "NetFlow И tunnel"  +/
Сообщение от QRSa (ok) on 09-Окт-13, 14:47 
Добрый день.

А у Вас local PBR случайно нет (это могло бы объяснить такие скачки track object)?
У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8?

Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8?
В sh ip route не увидел туннеля N1.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 09-Окт-13, 15:52 
> Добрый день.
> А у Вас local PBR случайно нет (это могло бы объяснить такие
> скачки track object)?

local PBR не припоминаю чтоб что то похожее настраивал, конфиг весь выложил выше, изменение лиш (удалил тунель 1)
> У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8?

да пингуется

> Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8?

Пока да
у меня сети 1-я 10.200.1.0 вторая 10.200.2.0 когда добавляю их в eigrp получаю это 10.0.0.0/8

> В sh ip route не увидел туннеля N1.

я уточнил сейчас убрал тунель 1 так как выявил проблему еще и с sla с ней решу дальше буду думать что делать с тунелями.  

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 10-Окт-13, 10:41 
Кстати если делать по это http://www.opennet.ru/base/cisco/ip_sla.txt.html статье с двумя sla то вообще еще хуже
Oct 10 10:29:31.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down

sla 2 не ответил и все оба канала легли
sh track
sh track br
оба в down

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Текущий конфиг"  +/
Сообщение от QRSa (ok) on 10-Окт-13, 13:18 
Добрый день.

Вы часто меняете конфиг, не публикуя его.
Рекомендую выложить текущий конфиг (полностью, но без паролей) и описать (с командами show ...) что не работает.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 10-Окт-13, 14:19 
>[оверквотинг удален]
> Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
> Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is down: Interface PEER-TERMINATION received
> Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is up: new adjacency
> Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
> sla 2 не ответил и все оба канала легли
> sh track
> sh track br
> оба в down

Проблему решил

ip sla 1
  icmp-echo Gate(ISP1) Host (ipH) Если необходимо проверять хост за провайдером то необходимо добавить маршрут например пинги на 8.8.8.8 добавить маршрут  
8.8.8.8 255.255.255.255 через шлюз проверяемого провайдера Gate  (ISP1)
ip sla schedule 1 start now life forever
track 11 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 Gate(ISP1) track 11
"ip route 8.8.8.8 255.255.255.255 Gate(ISP1) 200"


Готов вернуться к вопросу почему у меня не работают два тунеля поочереди в зависимости от доступного провайдера.

rf(config-if)#
Oct 10 14:01:31.843: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:01:41.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:01:45.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:02:15.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:02:33.975: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:02:45.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:03:05.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:03:11.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:03:34.879: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:03:41.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:03:45.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:04:05.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:04:25.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
Oct 10 14:04:25.775: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:04:58.799: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:05:12.415: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:06:00.907: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:06:01.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:06:05.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:06:41.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:06:45.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:06:55.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:07:02.215: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:07:45.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:08:05.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:08:06.251: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:08:45.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:09:05.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:09:06.547: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:09:11.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:09:41.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:09:45.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:10:05.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:10:06.851: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:10:45.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:05.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:11:10.591: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:11:25.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:28.875: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:12:07.275: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:12:11.031: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:12:35.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:12:45.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:01.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:13:05.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:13:13.551: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:13:25.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:27.279: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:13:41.611: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:14:13.767: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:14:23.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#end
rf#
Oct 10 14:14:51.483: %SYS-5-CONFIG_I: Configured from console by epashkov on vty0 (10.200.1.3)
rf#

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 10-Окт-13, 14:30 
891 Циска там где два провайдера


version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname rf
!
boot-start-marker
boot system flash:c890-universalk9-mz.150-1.M9.bin
boot-end-marker
!
logging buffered 4096 informational
no logging console
enable secret 5
enable password 0
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
!
!
!
c
ip source-route
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
ip cef
no ip domain lookup
ip domain name
no ipv6 cef
!
!
multilink bundle-name authenticated

!
!
archive
log config
  logging enable
  hidekeys
username user privilege 15 password 7
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
track 11 ip sla 1 reachability
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key pass address xxx.xx.xx.116 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
!
interface Loopback0
ip address 10.0.10.4 255.255.255.0
!
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.1 255.255.255.0
ip mtu 1400
tunnel source FastEthernet8
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.1 255.255.255.0
ip mtu 1400
delay 52000
tunnel source GigabitEthernet0
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!

interface FastEthernet8
description === 1 ===
ip address xxx.xxx.xx.121 255.255.255.240
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface GigabitEthernet0
description === 2 ===
ip address xx.xxx.xxx.181 255.255.255.128
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface Vlan1
description === LAN ===
ip address 10.200.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
!
!
router eigrp 1
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
!
ip forward-protocol nd
no ip http server
ip http authentication local
no ip http secure-server
!
!
ip nat pool Pool_2 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128
ip nat pool Pool_1 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240
ip nat inside source route-map ISP_1 pool Pool_1 overload
ip nat inside source route-map ISP_2 pool Pool_2 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 50 track 11
ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 100
ip route 8.8.4.4 255.255.255.255 xxx.xxx.xx.113 200
!

!
ip sla 1
icmp-echo 8.8.4.4 source-ip xxx.xxx.xx.121
frequency 20
ip sla schedule 1 life forever start-time now
no cdp run

!
!
!
!
route-map ISP_2 permit 10
match interface GigabitEthernet0
!
route-map ISP_1 permit 10
match interface FastEthernet8
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
end


1800 ---------------------------------------------------

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational

!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
  logging enable
  hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!

!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!

control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 10-Окт-13, 14:35 
show даже и незнаю в какой момент снимать так как лог подтверждает что состояние вывода таких как
sh ip int brief
sh crypto session detail
sh ip route

постоянно меняется.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "NetFlow И tunnel"  +/
Сообщение от genialen (ok) on 10-Окт-13, 15:35 
> show даже и незнаю в какой момент снимать так как лог подтверждает
> что состояние вывода таких как
> sh ip int brief
> sh crypto session detail
> sh ip route
> постоянно меняется.

фуууууух я уже устал сегодня наверное.
в общем проблему решил пока еще не понял до конца для чего эта команда но работает
ip bandwidth-percent eigrp 50 50 на тунели и все ок.

теперь если обрывается основной канал все начинает работать на резервном, при восстановлении все возвращается обратно как и изначально. Выпил чаю вздохнул.

И тут в голову влетела мысль а что если выключить резервный. "№;;""
И как вы думаете что произошло???? конечно же каким то Макаром шлюз по умолчанию включился от резервного канала и все упало............

Как так???? что за ????

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру