Есть работающий конфиг. При включении CEF циска начинает дропать пакеты. Помогите разобратся в чем причина и как устранить.Current configuration : 4452 bytes
!
! Last configuration change at 12:27:10 MSK Wed Dec 24 2014 by aokunev
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service internal
!
hostname kgb1
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
memory-size iomem 10
clock timezone MSK 4 0
!
!
!
!
!
!
!
!
!
!
ip domain name poliklinika.local
ip name-server 192.168.ааа.хх1
ip name-server 192.168.ааа.хх2
ip name-server 8.8.8.8
ip multicast-routing
ip inspect WAAS flush-timeout 10
no ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 1
initiate-to ip 192.168.ааа.хх3
!
!
crypto pki trustpoint TP-self-signed-1072426403
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1072426403
revocation-check none
rsakeypair TP-self-signed-1072426403
!
!
crypto pki certificate chain TP-self-signed-1072426403
certificate self-signed 01
quit
license udi pid CISCO881-SEC-K9 sn **************
!
!
username a*******v privilege 15 secret 5 ********************************
!
!
!
!
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
switchport access vlan 2
no ip address
!
interface FastEthernet2
switchport access vlan 3
no ip address
!
interface FastEthernet3
switchport access vlan 3
no ip address
!
interface FastEthernet4
description WAN
mac-address 001c.f080.78d9
ip address 192.168.ввв.хх4 255.255.255.0
ip flow ingress
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description $ LAN1$
ip address 192.168.10.1 255.255.255.248
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1460
!
interface Vlan2
description $ Не используется $
ip address 10.10.10.2 255.255.255.0
ip virtual-reassembly in
ip tcp adjust-mss 1460
!
interface Vlan3
description $ Lan2 $
ip address 10.1.1.3 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1460
!
interface Dialer1
description $ Connect to ICP $
mtu 1450
ip address negotiated
ip pim dense-mode
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
ppp chap hostname ****
ppp chap password 0 ************
no cdp enable
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 25 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.ааа.0 255.255.255.0 192.168.ввв.1
!
logging trap debugging
logging host 10.1.1.2
dialer-list 1 protocol ip permit
no cdp run
!
access-list 23 permit 10.1.1.0 0.0.0.255
access-list 25 permit 10.1.1.0 0.0.0.255
access-list 25 permit 192.168.10.0 0.0.0.7
!
control-plane
!
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
!
end
> Есть работающий конфиг. При включении CEF циска начинает дропать пакеты.Сисько роутер без CEF это НЕработающий конфиг.
Больше похоже на багу. IOS менять не пробовал? как к отключенному CEF пришел?
>> Есть работающий конфиг. При включении CEF циска начинает дропать пакеты.
> Сисько роутер без CEF это НЕработающий конфиг.
> Больше похоже на багу. IOS менять не пробовал? как к отключенному CEF
> пришел?Посмотрев логи.
debug ip cef drop<191>3828: *Dec 24 08:27:03.711: CEF-Drop: Packet from 10.1.1.2 (Vl3) to 212.45.14.34, Incomplete adjacency 10.1.1.3 24/12 11:30:56.636
<191>3829: *Dec 24 08:27:03.711: CEF-Drop: Packet from 10.1.1.2 (Vl3) to 31.222.32.176, Incomplete adjacency 10.1.1.3 24/12 11:30:56.636
<191>3830: *Dec 24 08:27:03.719: CEF-Drop: Packet from 10.1.1.2 (Vl3) to 212.45.14.34, Incomplete adjacency 10.1.1.3 24/12 11:30:56.682IOS менять пока не пробовал.
> service internal
> vpdn-group 1
> request-dialin
> protocol pptp
> rotary-group 1
> initiate-to ip 192.168.ааа.хх3Думаю проблема в этом. Исходящий PPTP это неподдерживаемая фича для не знаю чего, подозреваю что для проверки какой нибудь хрени программистами. Вполне возможно что несовместима с CEF.
>> service internal
>> vpdn-group 1
>> request-dialin
>> protocol pptp
>> rotary-group 1
>> initiate-to ip 192.168.ааа.хх3
> Думаю проблема в этом. Исходящий PPTP это неподдерживаемая фича для не знаю
> чего, подозреваю что для проверки какой нибудь хрени программистами. Вполне возможно
> что несовместима с CEF.Очень может быть. Тем более что
#sh adjacency detail
Protocol Interface Address
IP Dialer1 point2point(2) (incomplete)
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 5
punt (rate-limited) packets
P2P-ADJ
IP Dialer1 point2point(2)
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 5
Encap length 40
4500000000000000FF2F53B9C0A88259
C0A8646B3081880B0000E76400000000
00000000FF030021
Dialer
Next chain element:
RAW midchain out of Virtual-Access1 drop
RAW Virtual-Access1 point2point(5)
Protocol Interface Address
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 5
empty encap string
P2P-ADJ
Next chain element:
drop
>> service internal
>> vpdn-group 1
>> request-dialin
>> protocol pptp
>> rotary-group 1
>> initiate-to ip 192.168.ааа.хх3
> Думаю проблема в этом. Исходящий PPTP это неподдерживаемая фича для не знаю
> чего, подозреваю что для проверки какой нибудь хрени программистами. Вполне возможно
> что несовместима с CEF.Вообще гугление показывает, что с ip cef должно работать. Попробуй IOS другой.
>>> service internal
>>> vpdn-group 1
>>> request-dialin
>>> protocol pptp
>>> rotary-group 1
>>> initiate-to ip 192.168.ааа.хх3
>> Думаю проблема в этом. Исходящий PPTP это неподдерживаемая фича для не знаю
>> чего, подозреваю что для проверки какой нибудь хрени программистами. Вполне возможно
>> что несовместима с CEF.
> Вообще гугление показывает, что с ip cef должно работать. Попробуй IOS другой.Сопутствующие вопросы:
у вас fib и Adjacency table не переполнены??
У вас там и ipsec и нат и днс и нетфлоу и virtual-reassembly и мультикаст-роутинг......И всему надо память и всему под cef - опять же память.....
kgb1#sh adjacency det
Protocol Interface Address
IP FastEthernet4 192.168.130.1(2)
188 packets, 20850 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
0400A80001B0001CF08078D90800
ARP
IP Vlan1 192.168.10.2(2)
8 packets, 1006 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
00434EDDD6E7D072DCBCC6640800
ARP
IP Vlan1 192.168.10.3(2)
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
6C626D5EE8A6D072DCBCC6640800
ARP
Protocol Interface Address
IP NVI0 point2point(2)
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
4141414142424242434343434444
P2P-ADJ
IP Vlan3 10.1.1.2(2)
716 packets, 75784 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
0002B3E9B891D072DCBCC6640800
ARP
IP Vlan3 10.1.1.14(2)
4 packets, 296 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
08606E793DE4D072DCBCC6640800
ARP
IP Dialer1 point2point(2) (incomplete)
0 packets, 0 bytes
Protocol Interface Address
epoch 0
sourced in sev-epoch 0
punt (rate-limited) packets
P2P-ADJ
IP Dialer1 point2point(2)
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 0
Encap length 40
4500000000000000FF2F53B9C0A88259
C0A8646B3081880B0000AE2900000000
00000000FF030021
Dialer
Next chain element:
RAW midchain out of Virtual-Access1 drop
RAW Virtual-Access1 point2point(5)
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 0
empty encap string
P2P-ADJ
Next chain element:
drop
Нашел вот такой конфиг
http://www.mmouse.ru/2014/02/12/cisco-881-v-kachestve-pptp-k.../
Привел свой в соответствие. Убрал нетфлоу.
Сейчас сменю прошивку. на проверенную.
> Есть работающий конфиг. При включении CEF циска начинает дропать пакеты. Помогите разобратся
> в чем причина и как устранить.Всем огромное спасибо. Смена прошивки на 15.3(2)T решила мою проблему.