forum.opennet.ru - "NetFlow И tunnel" (18)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"NetFlow И tunnel"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NetFlow И tunnel"	+/–
Сообщение от genialen (ok) on 07-Окт-13, 10:26
Привет всем! не могу понять в чем косяк. Есть у меня две циски 891 и 1800 между ними тунель, точнее два тунеля ipsec. Два тунеля от того что два провайдера на одной из цисок. Собственно косяк в том что если я на cisco включаю netflow то у меня падают оба тунеля. И дебаг пишет что не удается авторизоваться типо не подходит пароль в первом этапе. конфиг циски там где первым делом включал netflow это 891 на ней два провайдера ! ! Last configuration change at 12:32:14 UTC Fri Oct 4 2013 by ! version 15.0 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname rf ! boot-start-marker boot system flash:c890-universalk9-mz.150-1.M9.bin boot-end-marker ! logging buffered 4096 informational no logging console enable secret 5 . enable password 7 ! aaa new-model ! aaa session-id common crypto pki trustpoint TP-self-signed-809994845 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-809994845 revocation-check none rsakeypair TP-self-signed-809994845 ! ! crypto pki certificate chain TP-self-signed-809994845 certificate self-signed 01 30820246 308201AF A0030201 02020101 300D0609 2A864886 2A1F695A 88562BC4 E3E3B6A1 350AC9B9 F0BCB767 E7F9AA92 F7A587C3 4C22BB17 2AA6F3D3 9850AED2 C5E5 quit ip source-route ip auth-proxy max-login-attempts 5 ip admission max-login-attempts 5 ! ! ! ! ip cef ip flow-cache timeout active 1 no ip domain lookup ip domain name 123.RU no ipv6 cef ! ! multilink bundle-name authenticated track 11 ip sla 1 reachability ! ! crypto isakmp policy 1 authentication pre-share ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key password address xx.xx.xx.116 no-xauth crypto isakmp keepalive 60 5 ! ! crypto ipsec transform-set MYSET ah-sha-hmac esp-des mode transport ! crypto ipsec profile PROFILE set transform-set MYSET ! ! ! ! ! ! interface Loopback0 ip address 10.0.10.4 255.255.255.0 ! ! interface Tunnel0 bandwidth 10000 ip address 192.168.2.1 255.255.255.0 ip mtu 1400 ip flow ingress keepalive 10 3 tunnel source FastEthernet8 tunnel mode ipsec ipv4 tunnel destination xxx.xx.xx.116 tunnel protection ipsec profile PROFILE ! ! interface Tunnel1 bandwidth 10000 ip address 192.168.3.1 255.255.255.0 ip mtu 1400 ip flow ingress delay 5200 keepalive 10 3 tunnel source GigabitEthernet0 tunnel mode ipsec ipv4 tunnel destination xxx.xx.xx.116 tunnel protection ipsec profile PROFILE ! ! interface BRI0 no ip address encapsulation hdlc shutdown isdn termination multidrop interface FastEthernet8 description === Prov2 === ip address xxx.xxx.xx.121 255.255.255.240 ip access-group FW_IN in ip access-group WF_OUT out ip flow ingress ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! ! interface GigabitEthernet0 description === Prov1 === ip address xx.xxx.xxx.181 255.255.255.128 ip access-group FW_IN in ip access-group WF_OUT out ip flow ingress ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! ! interface Vlan1 description === LAN === ip address 10.200.1.5 255.255.255.0 ip flow ingress ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ! ! router eigrp 1 network 10.0.0.0 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 passive-interface default no passive-interface Tunnel0 no passive-interface Tunnel1 ! ip forward-protocol nd no ip http server ip http authentication local ip http secure-server ! ip flow-export source Vlan1 ip flow-export version 9 ip flow-export destination 10.200.1.204 9996 ! ip nat pool Pool_Prov1 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128 ip nat pool Pool_Prov2 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240 ip nat inside source route-map ISP_Prov2 pool Pool_Prov2 overload ip nat inside source route-map ISP_Prov1 pool Pool_Prov1 overload ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 track 11 ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 50 ! ip access-list extended FW_IN permit tcp host xxx.xx.xx.116 host xxx.xxx.xx.121 eq 22 permit icmp host xxx.xx.xx.116 host xxx.xxx.xx.121 permit udp host xxx.xx.xx.116 host xxx.xxx.xx.121 eq isakmp permit ahp host xxx.xx.xx.116 host xxx.xxx.xx.121 permit icmp host 8.8.8.8 host xxx.xxx.xx.121 permit icmp host xxx.xxx.xx.113 host xxx.xxx.xx.121 permit tcp host xxx.xx.xx.116 host xx.xxx.xxx.181 eq 22 permit icmp host xxx.xx.xx.116 host xx.xxx.xxx.181 permit udp host xxx.xx.xx.116 host xx.xxx.xxx.181 eq isakmp permit ahp host xxx.xx.xx.116 host xx.xxx.xxx.181 permit icmp host 8.8.8.8 host xx.xxx.xxx.181 permit icmp host xxx.xxx.xx.113 host xx.xxx.xxx.181 permit icmp any host xx.xxx.xxx.181 permit icmp any host xxx.xxx.xx.121 ip access-list extended FW_OUT permit ip any any ! ip sla 1 icmp-echo 8.8.8.8 frequency 20 ip sla schedule 1 life forever start-time now no cdp run ! ! ! ! route-map ISP_Prov1 permit 10 match interface GigabitEthernet0 ! route-map ISP_Prov2 permit 10 match interface FastEthernet8 ! snmp-server ifindex persist ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 60 0 privilege level 15 password 7 03175F0D150B270F0A4C5A4144 logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 end
Ответить \| Правка \| Cообщить модератору

Оглавление

NetFlow И tunnel, QRSa, 22:08 , 07-Окт-13, (1) +1

NetFlow И tunnel, genialen, 12:39 , 08-Окт-13, (2)

NetFlow И tunnel, QRSa, 13:16 , 08-Окт-13, (3) +1

NetFlow И tunnel, genialen, 13:26 , 08-Окт-13, (4)

NetFlow И tunnel, QRSa, 13:32 , 08-Окт-13, (5)

NetFlow И tunnel, genialen, 14:00 , 08-Окт-13, (6)

NetFlow И tunnel, genialen, 14:10 , 08-Окт-13, (7)

NetFlow И tunnel, QRSa, 20:50 , 08-Окт-13, (8)

NetFlow И tunnel, genialen, 12:48 , 09-Окт-13, (9)

NetFlow И tunnel, genialen, 13:56 , 09-Окт-13, (10)
NetFlow И tunnel, QRSa, 14:47 , 09-Окт-13, (11)

NetFlow И tunnel, genialen, 15:52 , 09-Окт-13, (12)

NetFlow И tunnel, genialen, 10:41 , 10-Окт-13, (13)
Текущий конфиг, QRSa, 13:18 , 10-Окт-13, (14)
NetFlow И tunnel, genialen, 14:19 , 10-Окт-13, (15)
NetFlow И tunnel, genialen, 14:30 , 10-Окт-13, (16)
NetFlow И tunnel, genialen, 14:35 , 10-Окт-13, (17)
NetFlow И tunnel, genialen, 15:35 , 10-Окт-13, (18)

Сообщения по теме [Сортировка по времени | RSS]

1. "NetFlow И tunnel" +1 +/–

Сообщение от QRSa (ok) on 07-Окт-13, 22:08

Добрый день.
Вижу лог только 891.
На туннеле keepalive, что фатально, если на другом конце стоит tunnel mode ipsec ipv4, а не crypto map (было бы неплохо увидеть конфиг с 1800).
Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, что оба туннеля терминируются на одном destination (кстати, если это так, то работать одновременно туннели не будут).

А можно лог того, как это происходит, т.е.
ter mon
show ip int br - туннели up
show crypto isakmp sa
включаем netflow
show ip int br - туннели down
show crypto isakmp sa

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 08-Окт-13, 12:39

>[оверквотинг удален]
> Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление,
> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).
> А можно лог того, как это происходит, т.е.
> ter mon
> show ip int br - туннели up
> show crypto isakmp sa
> включаем netflow
> show ip int br - туннели down
> show crypto isakmp sa
Нет все верно вы поняли на двух тунелях у меня один и тот же дистинейшон так как на удаленной циске один провайдер.
crypto map я не использую, работает на профилях.
С нет флов ошибочка вышла тунели сами по себе глючат. Как только настроил, без нет флов все завелось, пока настраивал нет флов, все упало и так пару раз было, отсюда и грешил на него. Теперь понимаю что, не из за него, так как тунели опять при выключенном нет флов лежат.
> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).
Почему? Почему тогда с начало оба тунеля работали до пары довремени? и как тогда нужно?

ЭТО 1800
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
  logging enable
  hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
shutdown
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip access-group FW_IN in
ip access-group FW_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!
ip access-list extended FW_IN
permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116
permit icmp any host xxx.xx.xx.116
deny   ip any any
ip access-list extended FW_OUT
permit ip any any
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

rf#show ip int brief   Это 891
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet6              unassigned      YES unset  up                    up
FastEthernet8              xxx.xxx.xx.121  YES NVRAM  up                    up
GigabitEthernet0           xx.xxx.xxx.181  YES NVRAM  up                    up
Loopback0                  10.0.10.4       YES NVRAM  up                    up
NVI0                       xxx.xxx.xx.121  YES unset  up                    up
Tunnel0                    192.168.2.1     YES NVRAM  up                    down
Tunnel1                    192.168.3.1     YES NVRAM  up                    down
Vlan1                      10.200.1.5      YES NVRAM  up                    up
dm#sh ip int brief это 1800
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              xxx.xx.xx.116   YES NVRAM  up                    up
FastEthernet7              unassigned      YES unset  up                    up
Vlan1                      10.200.2.5      YES NVRAM  up                    up
Tunnel1                    192.168.3.2     YES NVRAM  up                    down
Tunnel0                    192.168.2.2     YES NVRAM  up                    down
Loopback0                  22.22.22.22     YES NVRAM  up                    up
NVI0                       unassigned      NO  unset  up                    up
rf#show crypto isakmp sa    Это 891
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
xxx.xxx.xxx.181  xxx.xx.xx.116   MM_NO_STATE          0 ACTIVE (deleted)
xxx.xx.xx.116   xx.xxx.xxx.181  QM_IDLE           2001 ACTIVE
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2002 ACTIVE
dm#show crypto isakmp sa     Это 1800
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2002    0 ACTIVE
xxx.xx.xx.116   xxx.xxx.xx.121  QM_IDLE           2001    0 ACTIVE
xx.xxx.xxx.181  xxx.xx.xx.116   MM_NO_STATE          0    0 ACTIVE

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "NetFlow И tunnel" +1 +/–

Сообщение от QRSa (ok) on 08-Окт-13, 13:16

> Нет все верно вы поняли на двух тунелях у меня один и
> тот же дистинейшон так как на удаленной циске один провайдер.
> crypto map я не использую, работает на профилях.
> С нет флов ошибочка вышла тунели сами по себе глючат. Как только
> настроил, без нет флов все завелось, пока настраивал нет флов, все
> упало и так пару раз было, отсюда и грешил на него.
> Теперь понимаю что, не из за него, так как тунели опять
> при выключенном нет флов лежат.
Уберите с туннелей keepalive, т.к. в случае mode ipsec ipv4 используется isakmp keepalive. Кстати, не увидел строки crypto isakmp invalid-spi-recovery (она нужна!)
>> что оба туннеля терминируются на одном destination (кстати, если это так,
>> то работать одновременно туннели не будут).
> Почему? Почему тогда с начало оба тунеля работали до пары довремени? и
> как тогда нужно?
Проблема с двумя туннелями на разных интерфейсах в том, что роутер не знает, через какой физический интерфейс нужно отправлять пакет в destination.
Если Вы хотите сделать 2 туннеля на один и тот же destination, то один из физических интерфейсов нужно поместить в VRF.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 08-Окт-13, 13:26

> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
> знает, через какой физический интерфейс нужно отправлять пакет в destination.
> Если Вы хотите сделать 2 туннеля на один и тот же destination,
> то один из физических интерфейсов нужно поместить в VRF.
Я полагал выбирает в зависимости от работы SLA

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "NetFlow И tunnel" +/–

Сообщение от QRSa (ok) on 08-Окт-13, 13:32

>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>> то один из физических интерфейсов нужно поместить в VRF.
> Я полагал выбирает в зависимости от работы SLA
Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два туннеля одновременно!

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 08-Окт-13, 14:00

>>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>>> то один из физических интерфейсов нужно поместить в VRF.
>> Я полагал выбирает в зависимости от работы SLA
> Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два
> туннеля одновременно!
Одновременно ненужно. при работе основного канала tunnel0 при резервном tunnel1

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 08-Окт-13, 14:10

В данный момент перестал работать один из провайдеров, как раз основной.
SLA постоянно пробует проверяет основной канал на работоспособность и при этом рвет резервный.
Так и должно быть?
Можно как то иначе сконфигурировать?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "NetFlow И tunnel" +/–

Сообщение от QRSa (ok) on 08-Окт-13, 20:50

Если дело только в туннелях, то я бы сделал, чтобы оба работали одновременно, а протокол маршрутизации выбирал куда кидать трафик.
Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы ведь не описали, что значит: "рвет").

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 09-Окт-13, 12:48

> Если дело только в туннелях, то я бы сделал, чтобы оба работали
> одновременно, а протокол маршрутизации выбирал куда кидать трафик.
не она еще и натить офис будет. в интернет всех выпускать
> Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы
> ведь не описали, что значит: "рвет").
Отключаю основной канал связи
b вот лог
сейчас циска на резерве g0
Oct  9 12:35:11.382: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to down
Oct  9 12:35:12.382: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to down
Oct  9 12:35:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:36:51.050: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to up
Oct  9 12:36:52.050: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to up
Oct  9 12:37:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:37:16.514: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:37:20.766: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:37:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:37:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:37:58.506: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:38:03.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:38:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:38:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:40:08.042: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:40:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:40:10.986: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:40:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:40:39.630: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:40:44.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:40:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:40:53.090: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
Oct  9 12:40:53.090: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: interface down
Oct  9 12:41:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:41:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:41:43.098: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
Oct  9 12:41:44.278: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:41:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct  9 12:41:59.330: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct  9 12:42:03.930: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct  9 12:42:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct  9 12:42:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct  9 12:42:37.482: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct  9 12:42:42.422: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
Oct  9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct  9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Мало того постоянно скачит то включает то выключает
Oct  9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct  9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Так еще каким то Макаром если включить основной канал то интернет начинает работать с основного и при этом тунель "поднимается". Сейчас эксперементирую с одним тунелем закрепленным на интерфейс интернета резерв g0
включил интернет на основном канале
Oct  9 12:47:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct  9 12:47:18.402: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct  9 12:47:22.286: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
S*    0.0.0.0/0 [1/0] via xxx.xxx.xx.113
      10.0.0.0/8 is variably subnetted, 5 subnets, 3 masks
D        10.0.0.0/8 [90/1538560] via 192.168.2.2, 00:00:39, Tunnel0
C        10.0.10.0/24 is directly connected, Loopback0
L        10.0.10.4/32 is directly connected, Loopback0
C        10.200.1.0/24 is directly connected, Vlan1
L        10.200.1.5/32 is directly connected, Vlan1
      xx.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        xx.xxx.xxx.128/25 is directly connected, GigabitEthernet0
L       xx.xxx.xxx.181/32 is directly connected, GigabitEthernet0
      192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.2.0/24 is directly connected, Tunnel0
L        192.168.2.1/32 is directly connected, Tunnel0
      xxx.xxx.xx.0/24 is variably subnetted, 2 subnets, 2 masks
C        xxx.xxx.xx.112/28 is directly connected, FastEthernet8
L        xxx.xxx.xx.121/32 is directly connected, FastEthernet8

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 09-Окт-13, 13:56

> Так еще каким то Макаром если включить основной канал то интернет начинает
> работать с основного и при этом тунель "поднимается".
поправлюсь. Ненадолго.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "NetFlow И tunnel" +/–

Сообщение от QRSa (ok) on 09-Окт-13, 14:47

Добрый день.
А у Вас local PBR случайно нет (это могло бы объяснить такие скачки track object)?
У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8?
Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8?
В sh ip route не увидел туннеля N1.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 09-Окт-13, 15:52

> Добрый день.
> А у Вас local PBR случайно нет (это могло бы объяснить такие
> скачки track object)?
local PBR не припоминаю чтоб что то похожее настраивал, конфиг весь выложил выше, изменение лиш (удалил тунель 1)
> У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8?
да пингуется
> Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8?
Пока да
у меня сети 1-я 10.200.1.0 вторая 10.200.2.0 когда добавляю их в eigrp получаю это 10.0.0.0/8
> В sh ip route не увидел туннеля N1.
я уточнил сейчас убрал тунель 1 так как выявил проблему еще и с sla с ней решу дальше буду думать что делать с тунелями.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 10-Окт-13, 10:41

Кстати если делать по это http://www.opennet.ru/base/cisco/ip_sla.txt.html статье с двумя sla то вообще еще хуже
Oct 10 10:29:31.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
sla 2 не ответил и все оба канала легли
sh track
sh track br
оба в down

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Текущий конфиг" +/–

Сообщение от QRSa (ok) on 10-Окт-13, 13:18

Добрый день.
Вы часто меняете конфиг, не публикуя его.
Рекомендую выложить текущий конфиг (полностью, но без паролей) и описать (с командами show ...) что не работает.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 10-Окт-13, 14:19

>[оверквотинг удален]
> Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
> Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is down: Interface PEER-TERMINATION received
> Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is up: new adjacency
> Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
> sla 2 не ответил и все оба канала легли
> sh track
> sh track br
> оба в down
Проблему решил
ip sla 1
  icmp-echo Gate(ISP1) Host (ipH) Если необходимо проверять хост за провайдером то необходимо добавить маршрут например пинги на 8.8.8.8 добавить маршрут
8.8.8.8 255.255.255.255 через шлюз проверяемого провайдера Gate  (ISP1)
ip sla schedule 1 start now life forever
track 11 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 Gate(ISP1) track 11
"ip route 8.8.8.8 255.255.255.255 Gate(ISP1) 200"

Готов вернуться к вопросу почему у меня не работают два тунеля поочереди в зависимости от доступного провайдера.
rf(config-if)#
Oct 10 14:01:31.843: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:01:41.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:01:45.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:02:15.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:02:33.975: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:02:45.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:03:05.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:03:11.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:03:34.879: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:03:41.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:03:45.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:04:05.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:04:25.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
Oct 10 14:04:25.775: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:04:58.799: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:05:12.415: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:06:00.907: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:06:01.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:06:05.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:06:41.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:06:45.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:06:55.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:07:02.215: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:07:45.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:08:05.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:08:06.251: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:08:45.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:09:05.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:09:06.547: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:09:11.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:09:41.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:09:45.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:10:05.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:10:06.851: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:10:45.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:05.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:11:10.591: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:11:25.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:28.875: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:12:07.275: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:12:11.031: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:12:35.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:12:45.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:01.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:13:05.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:13:13.551: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:13:25.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:27.279: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:13:41.611: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:14:13.767: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:14:23.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#end
rf#
Oct 10 14:14:51.483: %SYS-5-CONFIG_I: Configured from console by epashkov on vty0 (10.200.1.3)
rf#

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 10-Окт-13, 14:30

891 Циска там где два провайдера

version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname rf
!
boot-start-marker
boot system flash:c890-universalk9-mz.150-1.M9.bin
boot-end-marker
!
logging buffered 4096 informational
no logging console
enable secret 5
enable password 0
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
!
!
!
c
ip source-route
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
ip cef
no ip domain lookup
ip domain name
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
archive
log config
  logging enable
  hidekeys
username user privilege 15 password 7
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
track 11 ip sla 1 reachability
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key pass address xxx.xx.xx.116 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
!
interface Loopback0
ip address 10.0.10.4 255.255.255.0
!
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.1 255.255.255.0
ip mtu 1400
tunnel source FastEthernet8
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.1 255.255.255.0
ip mtu 1400
delay 52000
tunnel source GigabitEthernet0
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface FastEthernet8
description === 1 ===
ip address xxx.xxx.xx.121 255.255.255.240
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface GigabitEthernet0
description === 2 ===
ip address xx.xxx.xxx.181 255.255.255.128
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface Vlan1
description === LAN ===
ip address 10.200.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
!
!
router eigrp 1
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
!
ip forward-protocol nd
no ip http server
ip http authentication local
no ip http secure-server
!
!
ip nat pool Pool_2 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128
ip nat pool Pool_1 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240
ip nat inside source route-map ISP_1 pool Pool_1 overload
ip nat inside source route-map ISP_2 pool Pool_2 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 50 track 11
ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 100
ip route 8.8.4.4 255.255.255.255 xxx.xxx.xx.113 200
!
!
ip sla 1
icmp-echo 8.8.4.4 source-ip xxx.xxx.xx.121
frequency 20
ip sla schedule 1 life forever start-time now
no cdp run
!
!
!
!
route-map ISP_2 permit 10
match interface GigabitEthernet0
!
route-map ISP_1 permit 10
match interface FastEthernet8
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
end

1800 ---------------------------------------------------
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
  logging enable
  hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 10-Окт-13, 14:35

show даже и незнаю в какой момент снимать так как лог подтверждает что состояние вывода таких как
sh ip int brief
sh crypto session detail
sh ip route
постоянно меняется.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "NetFlow И tunnel" +/–

Сообщение от genialen (ok) on 10-Окт-13, 15:35

> show даже и незнаю в какой момент снимать так как лог подтверждает
> что состояние вывода таких как
> sh ip int brief
> sh crypto session detail
> sh ip route
> постоянно меняется.
фуууууух я уже устал сегодня наверное.
в общем проблему решил пока еще не понял до конца для чего эта команда но работает
ip bandwidth-percent eigrp 50 50 на тунели и все ок.
теперь если обрывается основной канал все начинает работать на резервном, при восстановлении все возвращается обратно как и изначально. Выпил чаю вздохнул.
И тут в голову влетела мысль а что если выключить резервный. "№;;""
И как вы думаете что произошло???? конечно же каким то Макаром шлюз по умолчанию включился от резервного канала и все упало............
Как так???? что за ????

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NetFlow И tunnel"	+1 +/–
Сообщение от QRSa (ok) on 07-Окт-13, 22:08
Добрый день. Вижу лог только 891. На туннеле keepalive, что фатально, если на другом конце стоит tunnel mode ipsec ipv4, а не crypto map (было бы неплохо увидеть конфиг с 1800). Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, что оба туннеля терминируются на одном destination (кстати, если это так, то работать одновременно туннели не будут). А можно лог того, как это происходит, т.е. ter mon show ip int br - туннели up show crypto isakmp sa включаем netflow show ip int br - туннели down show crypto isakmp sa
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 08-Окт-13, 12:39
	>[оверквотинг удален] > Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, > что оба туннеля терминируются на одном destination (кстати, если это так, > то работать одновременно туннели не будут). > А можно лог того, как это происходит, т.е. > ter mon > show ip int br - туннели up > show crypto isakmp sa > включаем netflow > show ip int br - туннели down > show crypto isakmp sa Нет все верно вы поняли на двух тунелях у меня один и тот же дистинейшон так как на удаленной циске один провайдер. crypto map я не использую, работает на профилях. С нет флов ошибочка вышла тунели сами по себе глючат. Как только настроил, без нет флов все завелось, пока настраивал нет флов, все упало и так пару раз было, отсюда и грешил на него. Теперь понимаю что, не из за него, так как тунели опять при выключенном нет флов лежат. > что оба туннеля терминируются на одном destination (кстати, если это так, > то работать одновременно туннели не будут). Почему? Почему тогда с начало оба тунеля работали до пары довремени? и как тогда нужно? ЭТО 1800 ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname dm ! boot-start-marker boot-end-marker ! logging buffered 4096 informational ! aaa new-model ! ! ! aaa session-id common ! resource policy ! memory-size iomem 5 ! ! ip cef ! ! ip domain name test.RU ! ! ! username user privilege 15 password 7 archive log config logging enable hidekeys ! ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth crypto isakmp keepalive 10 periodic ! ! crypto ipsec transform-set MYSET ah-sha-hmac esp-des mode transport ! crypto ipsec profile PROFILE set transform-set MYSET ! ! ! ! ! interface Tunnel1 bandwidth 10000 ip address 192.168.3.2 255.255.255.0 ip mtu 1400 delay 5200 tunnel source FastEthernet0 tunnel destination xx.xxx.xxx.181 tunnel mode ipsec ipv4 tunnel protection ipsec profile PROFILE ! interface Tunnel0 bandwidth 10000 ip address 192.168.2.2 255.255.255.0 ip mtu 1400 shutdown tunnel source FastEthernet0 tunnel destination xxx.xxx.xx.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile PROFILE ! interface Loopback0 ip address 22.22.22.22 255.255.255.0 ! interface FastEthernet0 ip address xxx.xx.xx.116 255.255.255.248 ip access-group FW_IN in ip access-group FW_OUT out ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface BRI0 no ip address encapsulation hdlc shutdown ! ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! interface Vlan1 description === LAN === ip address 10.200.2.5 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! router eigrp 1 passive-interface default no passive-interface Tunnel1 no passive-interface Tunnel0 network 10.0.0.0 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 auto-summary ! ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113 ! ! no ip http server no ip http secure-server ! ip access-list extended FW_IN permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116 permit icmp any host xxx.xx.xx.116 deny ip any any ip access-list extended FW_OUT permit ip any any ! ! ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 60 0 privilege level 15 password 7 logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end rf#show ip int brief Это 891 Interface IP-Address OK? Method Status Protocol FastEthernet6 unassigned YES unset up up FastEthernet8 xxx.xxx.xx.121 YES NVRAM up up GigabitEthernet0 xx.xxx.xxx.181 YES NVRAM up up Loopback0 10.0.10.4 YES NVRAM up up NVI0 xxx.xxx.xx.121 YES unset up up Tunnel0 192.168.2.1 YES NVRAM up down Tunnel1 192.168.3.1 YES NVRAM up down Vlan1 10.200.1.5 YES NVRAM up up dm#sh ip int brief это 1800 Interface IP-Address OK? Method Status Protocol FastEthernet0 xxx.xx.xx.116 YES NVRAM up up FastEthernet7 unassigned YES unset up up Vlan1 10.200.2.5 YES NVRAM up up Tunnel1 192.168.3.2 YES NVRAM up down Tunnel0 192.168.2.2 YES NVRAM up down Loopback0 22.22.22.22 YES NVRAM up up NVI0 unassigned NO unset up up rf#show crypto isakmp sa Это 891 IPv4 Crypto ISAKMP SA dst src state conn-id status xxx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 ACTIVE (deleted) xxx.xx.xx.116 xx.xxx.xxx.181 QM_IDLE 2001 ACTIVE xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 ACTIVE dm#show crypto isakmp sa Это 1800 IPv4 Crypto ISAKMP SA dst src state conn-id slot status xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 0 ACTIVE xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2001 0 ACTIVE xx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 0 ACTIVE
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "NetFlow И tunnel"	+1 +/–
	Сообщение от QRSa (ok) on 08-Окт-13, 13:16
	> Нет все верно вы поняли на двух тунелях у меня один и > тот же дистинейшон так как на удаленной циске один провайдер. > crypto map я не использую, работает на профилях. > С нет флов ошибочка вышла тунели сами по себе глючат. Как только > настроил, без нет флов все завелось, пока настраивал нет флов, все > упало и так пару раз было, отсюда и грешил на него. > Теперь понимаю что, не из за него, так как тунели опять > при выключенном нет флов лежат. Уберите с туннелей keepalive, т.к. в случае mode ipsec ipv4 используется isakmp keepalive. Кстати, не увидел строки crypto isakmp invalid-spi-recovery (она нужна!) >> что оба туннеля терминируются на одном destination (кстати, если это так, >> то работать одновременно туннели не будут). > Почему? Почему тогда с начало оба тунеля работали до пары довремени? и > как тогда нужно? Проблема с двумя туннелями на разных интерфейсах в том, что роутер не знает, через какой физический интерфейс нужно отправлять пакет в destination. Если Вы хотите сделать 2 туннеля на один и тот же destination, то один из физических интерфейсов нужно поместить в VRF.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 08-Окт-13, 13:26
	> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не > знает, через какой физический интерфейс нужно отправлять пакет в destination. > Если Вы хотите сделать 2 туннеля на один и тот же destination, > то один из физических интерфейсов нужно поместить в VRF. Я полагал выбирает в зависимости от работы SLA
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "NetFlow И tunnel"	+/–
	Сообщение от QRSa (ok) on 08-Окт-13, 13:32
	>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не >> знает, через какой физический интерфейс нужно отправлять пакет в destination. >> Если Вы хотите сделать 2 туннеля на один и тот же destination, >> то один из физических интерфейсов нужно поместить в VRF. > Я полагал выбирает в зависимости от работы SLA Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два туннеля одновременно!
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 08-Окт-13, 14:00
	>>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не >>> знает, через какой физический интерфейс нужно отправлять пакет в destination. >>> Если Вы хотите сделать 2 туннеля на один и тот же destination, >>> то один из физических интерфейсов нужно поместить в VRF. >> Я полагал выбирает в зависимости от работы SLA > Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два > туннеля одновременно! Одновременно ненужно. при работе основного канала tunnel0 при резервном tunnel1
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 08-Окт-13, 14:10
	В данный момент перестал работать один из провайдеров, как раз основной. SLA постоянно пробует проверяет основной канал на работоспособность и при этом рвет резервный. Так и должно быть? Можно как то иначе сконфигурировать?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "NetFlow И tunnel"	+/–
	Сообщение от QRSa (ok) on 08-Окт-13, 20:50
	Если дело только в туннелях, то я бы сделал, чтобы оба работали одновременно, а протокол маршрутизации выбирал куда кидать трафик. Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы ведь не описали, что значит: "рвет").
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 09-Окт-13, 12:48
	> Если дело только в туннелях, то я бы сделал, чтобы оба работали > одновременно, а протокол маршрутизации выбирал куда кидать трафик. не она еще и натить офис будет. в интернет всех выпускать > Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы > ведь не описали, что значит: "рвет"). Отключаю основной канал связи b вот лог сейчас циска на резерве g0 Oct 9 12:35:11.382: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to down Oct 9 12:35:12.382: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to down Oct 9 12:35:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down Oct 9 12:36:51.050: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to up Oct 9 12:36:52.050: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to up Oct 9 12:37:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Oct 9 12:37:16.514: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received Oct 9 12:37:20.766: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency Oct 9 12:37:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down Oct 9 12:37:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Oct 9 12:37:58.506: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received Oct 9 12:38:03.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency Oct 9 12:38:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down Oct 9 12:38:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Oct 9 12:40:08.042: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received Oct 9 12:40:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down Oct 9 12:40:10.986: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency Oct 9 12:40:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Oct 9 12:40:39.630: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received Oct 9 12:40:44.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency Oct 9 12:40:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down Oct 9 12:40:53.090: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down Oct 9 12:40:53.090: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: interface down Oct 9 12:41:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Oct 9 12:41:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down Oct 9 12:41:43.098: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up Oct 9 12:41:44.278: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency Oct 9 12:41:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Oct 9 12:41:59.330: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received Oct 9 12:42:03.930: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency Oct 9 12:42:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down Oct 9 12:42:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up rf# Oct 9 12:42:37.482: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received rf# Oct 9 12:42:42.422: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency rf# Oct 9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down rf# Oct 9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Мало того постоянно скачит то включает то выключает Oct 9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down rf# Oct 9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Так еще каким то Макаром если включить основной канал то интернет начинает работать с основного и при этом тунель "поднимается". Сейчас эксперементирую с одним тунелем закрепленным на интерфейс интернета резерв g0 включил интернет на основном канале Oct 9 12:47:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up rf# Oct 9 12:47:18.402: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received rf# Oct 9 12:47:22.286: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency rf# S* 0.0.0.0/0 [1/0] via xxx.xxx.xx.113 10.0.0.0/8 is variably subnetted, 5 subnets, 3 masks D 10.0.0.0/8 [90/1538560] via 192.168.2.2, 00:00:39, Tunnel0 C 10.0.10.0/24 is directly connected, Loopback0 L 10.0.10.4/32 is directly connected, Loopback0 C 10.200.1.0/24 is directly connected, Vlan1 L 10.200.1.5/32 is directly connected, Vlan1 xx.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C xx.xxx.xxx.128/25 is directly connected, GigabitEthernet0 L xx.xxx.xxx.181/32 is directly connected, GigabitEthernet0 192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.2.0/24 is directly connected, Tunnel0 L 192.168.2.1/32 is directly connected, Tunnel0 xxx.xxx.xx.0/24 is variably subnetted, 2 subnets, 2 masks C xxx.xxx.xx.112/28 is directly connected, FastEthernet8 L xxx.xxx.xx.121/32 is directly connected, FastEthernet8
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 09-Окт-13, 13:56
	> Так еще каким то Макаром если включить основной канал то интернет начинает > работать с основного и при этом тунель "поднимается". поправлюсь. Ненадолго.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "NetFlow И tunnel"	+/–
	Сообщение от QRSa (ok) on 09-Окт-13, 14:47
	Добрый день. А у Вас local PBR случайно нет (это могло бы объяснить такие скачки track object)? У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8? Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8? В sh ip route не увидел туннеля N1.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 09-Окт-13, 15:52
	> Добрый день. > А у Вас local PBR случайно нет (это могло бы объяснить такие > скачки track object)? local PBR не припоминаю чтоб что то похожее настраивал, конфиг весь выложил выше, изменение лиш (удалил тунель 1) > У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8? да пингуется > Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8? Пока да у меня сети 1-я 10.200.1.0 вторая 10.200.2.0 когда добавляю их в eigrp получаю это 10.0.0.0/8 > В sh ip route не увидел туннеля N1. я уточнил сейчас убрал тунель 1 так как выявил проблему еще и с sla с ней решу дальше буду думать что делать с тунелями.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 10-Окт-13, 10:41
	Кстати если делать по это http://www.opennet.ru/base/cisco/ip_sla.txt.html статье с двумя sla то вообще еще хуже Oct 10 10:29:31.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down sla 2 не ответил и все оба канала легли sh track sh track br оба в down
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Текущий конфиг"	+/–
	Сообщение от QRSa (ok) on 10-Окт-13, 13:18
	Добрый день. Вы часто меняете конфиг, не публикуя его. Рекомендую выложить текущий конфиг (полностью, но без паролей) и описать (с командами show ...) что не работает.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 10-Окт-13, 14:19
	>[оверквотинг удален] > Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down > Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) > is down: Interface PEER-TERMINATION received > Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) > is up: new adjacency > Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down > sla 2 не ответил и все оба канала легли > sh track > sh track br > оба в down Проблему решил ip sla 1 icmp-echo Gate(ISP1) Host (ipH) Если необходимо проверять хост за провайдером то необходимо добавить маршрут например пинги на 8.8.8.8 добавить маршрут 8.8.8.8 255.255.255.255 через шлюз проверяемого провайдера Gate (ISP1) ip sla schedule 1 start now life forever track 11 ip sla 1 reachability ip route 0.0.0.0 0.0.0.0 Gate(ISP1) track 11 "ip route 8.8.8.8 255.255.255.255 Gate(ISP1) 200" Готов вернуться к вопросу почему у меня не работают два тунеля поочереди в зависимости от доступного провайдера. rf(config-if)# Oct 10 14:01:31.843: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:01:41.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up rf(config-if)# Oct 10 14:01:45.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired rf(config-if)# Oct 10 14:02:15.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:02:33.975: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:02:45.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:03:05.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:03:11.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down rf(config-if)# Oct 10 14:03:34.879: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:03:41.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up rf(config-if)# Oct 10 14:03:45.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:04:05.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:04:25.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up Oct 10 14:04:25.775: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency rf(config-if)# Oct 10 14:04:58.799: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:05:12.415: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired rf(config-if)# Oct 10 14:06:00.907: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:06:01.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down rf(config-if)# Oct 10 14:06:05.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:06:41.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up rf(config-if)# Oct 10 14:06:45.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:06:55.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:07:02.215: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:07:45.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:08:05.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:08:06.251: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:08:45.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:09:05.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:09:06.547: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:09:11.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down rf(config-if)# Oct 10 14:09:41.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up rf(config-if)# Oct 10 14:09:45.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:10:05.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:10:06.851: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:10:45.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:11:05.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:11:10.591: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:11:25.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:11:28.875: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency rf(config-if)# Oct 10 14:12:07.275: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired rf(config-if)# Oct 10 14:12:11.031: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:12:35.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:12:45.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:13:01.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down rf(config-if)# Oct 10 14:13:05.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down rf(config-if)# Oct 10 14:13:13.551: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:13:25.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up rf(config-if)# Oct 10 14:13:27.279: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency rf(config-if)# Oct 10 14:13:41.611: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up rf(config-if)# Oct 10 14:14:13.767: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116 rf(config-if)# Oct 10 14:14:23.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired rf(config-if)#end rf# Oct 10 14:14:51.483: %SYS-5-CONFIG_I: Configured from console by epashkov on vty0 (10.200.1.3) rf#
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 10-Окт-13, 14:30
	891 Циска там где два провайдера version 15.0 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption no service dhcp ! hostname rf ! boot-start-marker boot system flash:c890-universalk9-mz.150-1.M9.bin boot-end-marker ! logging buffered 4096 informational no logging console enable secret 5 enable password 0 ! aaa new-model ! ! ! ! ! ! ! aaa session-id common ! ! ! ! c ip source-route ip auth-proxy max-login-attempts 5 ip admission max-login-attempts 5 ! ! ! ! ip cef no ip domain lookup ip domain name no ipv6 cef ! ! multilink bundle-name authenticated ! ! archive log config logging enable hidekeys username user privilege 15 password 7 ! ! ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ! track 11 ip sla 1 reachability ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key pass address xxx.xx.xx.116 no-xauth crypto isakmp invalid-spi-recovery crypto isakmp keepalive 60 5 ! ! crypto ipsec transform-set MYSET ah-sha-hmac esp-des mode transport ! crypto ipsec profile PROFILE set transform-set MYSET ! ! ! ! ! ! interface Loopback0 ip address 10.0.10.4 255.255.255.0 ! ! interface Tunnel0 bandwidth 10000 ip address 192.168.2.1 255.255.255.0 ip mtu 1400 tunnel source FastEthernet8 tunnel mode ipsec ipv4 tunnel destination xxx.xx.xx.116 tunnel protection ipsec profile PROFILE ! ! interface Tunnel1 bandwidth 10000 ip address 192.168.3.1 255.255.255.0 ip mtu 1400 delay 52000 tunnel source GigabitEthernet0 tunnel mode ipsec ipv4 tunnel destination xxx.xx.xx.116 tunnel protection ipsec profile PROFILE ! ! interface BRI0 no ip address encapsulation hdlc shutdown isdn termination multidrop ! interface FastEthernet8 description === 1 === ip address xxx.xxx.xx.121 255.255.255.240 !ip access-group FW_IN in !ip access-group WF_OUT out ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! ! interface GigabitEthernet0 description === 2 === ip address xx.xxx.xxx.181 255.255.255.128 !ip access-group FW_IN in !ip access-group WF_OUT out ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! ! interface Vlan1 description === LAN === ip address 10.200.1.5 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ! ! router eigrp 1 network 10.0.0.0 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 passive-interface default no passive-interface Tunnel0 no passive-interface Tunnel1 ! ip forward-protocol nd no ip http server ip http authentication local no ip http secure-server ! ! ip nat pool Pool_2 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128 ip nat pool Pool_1 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240 ip nat inside source route-map ISP_1 pool Pool_1 overload ip nat inside source route-map ISP_2 pool Pool_2 overload ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 50 track 11 ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 100 ip route 8.8.4.4 255.255.255.255 xxx.xxx.xx.113 200 ! ! ip sla 1 icmp-echo 8.8.4.4 source-ip xxx.xxx.xx.121 frequency 20 ip sla schedule 1 life forever start-time now no cdp run ! ! ! ! route-map ISP_2 permit 10 match interface GigabitEthernet0 ! route-map ISP_1 permit 10 match interface FastEthernet8 ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 60 0 privilege level 15 password 7 logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 end 1800 --------------------------------------------------- version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname dm ! boot-start-marker boot-end-marker ! logging buffered 4096 informational ! aaa new-model ! ! ! aaa session-id common ! resource policy ! memory-size iomem 5 ! ! ip cef ! ! ip domain name test.RU ! ! ! username user privilege 15 password 7 archive log config logging enable hidekeys ! ! ! crypto isakmp policy 10 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth crypto isakmp invalid-spi-recovery crypto isakmp keepalive 60 5 ! ! crypto ipsec transform-set MYSET ah-sha-hmac esp-des mode transport ! crypto ipsec profile PROFILE set transform-set MYSET ! ! ! ! ! interface Tunnel1 bandwidth 10000 ip address 192.168.3.2 255.255.255.0 ip mtu 1400 delay 5200 tunnel source FastEthernet0 tunnel destination xx.xxx.xxx.181 tunnel mode ipsec ipv4 tunnel protection ipsec profile PROFILE ! interface Tunnel0 bandwidth 10000 ip address 192.168.2.2 255.255.255.0 ip mtu 1400 tunnel source FastEthernet0 tunnel destination xxx.xxx.xx.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile PROFILE ! interface Loopback0 ip address 22.22.22.22 255.255.255.0 ! interface FastEthernet0 ip address xxx.xx.xx.116 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface BRI0 no ip address encapsulation hdlc shutdown ! ! interface ATM0 no ip address shutdown no atm ilmi-keepalive dsl operating-mode auto ! interface Vlan1 description === LAN === ip address 10.200.2.5 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! router eigrp 1 passive-interface default no passive-interface Tunnel1 no passive-interface Tunnel0 network 10.0.0.0 network 192.168.1.0 network 192.168.2.0 network 192.168.3.0 auto-summary ! ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113 ! ! no ip http server no ip http secure-server ! control-plane ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 60 0 privilege level 15 password 7 logging synchronous transport input telnet ssh ! scheduler max-task-time 5000 ! webvpn context Default_context ssl authenticate verify all ! no inservice ! end
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 10-Окт-13, 14:35
	show даже и незнаю в какой момент снимать так как лог подтверждает что состояние вывода таких как sh ip int brief sh crypto session detail sh ip route постоянно меняется.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "NetFlow И tunnel"	+/–
	Сообщение от genialen (ok) on 10-Окт-13, 15:35
	> show даже и незнаю в какой момент снимать так как лог подтверждает > что состояние вывода таких как > sh ip int brief > sh crypto session detail > sh ip route > постоянно меняется. фуууууух я уже устал сегодня наверное. в общем проблему решил пока еще не понял до конца для чего эта команда но работает ip bandwidth-percent eigrp 50 50 на тунели и все ок. теперь если обрывается основной канал все начинает работать на резервном, при восстановлении все возвращается обратно как и изначально. Выпил чаю вздохнул. И тут в голову влетела мысль а что если выключить резервный. "№;;"" И как вы думаете что произошло???? конечно же каким то Макаром шлюз по умолчанию включился от резервного канала и все упало............ Как так???? что за ????
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору