Новые ответы

Проблема с IPSEC. Нагрузка на процессор,

KanycTa, 14-Ноя-08, 10:54 [смотреть все]

Проблема такая, настроил тунель IPSEC с роутером Dlink-Di804HV
Но есть пролема, большая нагрузка на процессор.
Причину я выяснил - это в этой строчке
access-list 102 permit ip any any log
А именно в логах. Если приписывать это без логов
access-list 102 permit ip any any
То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется загадкой.
Что можно сделать с IPSEC, чтобы не юзать логи?
Вот конфиг
---------------------------------------------------------------------------------

router#sh run
Building configuration...
Current configuration : 3067 bytes
!
version 12.4
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service single-slot-reload-enable
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
redundancy
enable secret 5 ********
!
aaa new-model
!
!
aaa authentication ppp default group radius
!
aaa session-id common
!
!
ip cef
ip domain name cisco.organization.ru
!
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
username root password 0 ********
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key key address 172.0.0.2
!
!
crypto ipsec transform-set SAMPLE_SET esp-3des
!
crypto map DI-804HV 4 ipsec-isakmp
set peer 172.0.0.2
set security-association lifetime seconds 28800
set transform-set SAMPLE_SET
set pfs group2
match address 101
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0/0
ip address 172.0.0.1 255.255.255.0
ip access-group 102 in
ip nat outside
ip virtual-reassembly
half-duplex
crypto map DI-804HV
!
interface FastEthernet0/1/0
ip address 192.168.0.49 255.255.240.0
ip access-group 102 in
ip nat inside
ip virtual-reassembly
half-duplex
!
interface FastEthernet2/0/0
no ip address
shutdown
half-duplex
!
interface FastEthernet2/1/0
ip address 10.0.0.1 255.255.255.0
ip access-group 102 in
ip nat inside
ip virtual-reassembly
half-duplex
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0/0
no ip proxy-arp
peer default ip address pool DHCP-VPN
ppp authentication ms-chap
!
ip local pool DHCP-VPN 192.168.14.1 192.168.14.254
ip forward-protocol nd
ip route 192.168.255.0 255.255.255.0 FastEthernet0/0/0
!
no ip http server
no ip http secure-server
!
ip nat inside source list NAT interface FastEthernet0/0/0 overload
ip nat inside source static tcp 1.1.1.1 23 172.0.0.1 23 extendable
ip nat inside source static tcp 1.1.1.1 1723 172.0.0.1 1723 extendable
!
!
ip access-list extended NAT
deny   ip 192.168.0.0 0.0.15.255 192.168.255.0 0.0.0.255
deny   ip 10.0.0.0 0.0.0.255 192.168.255.0 0.0.0.255
deny   ip 192.168.0.0 0.0.15.255 192.168.254.0 0.0.0.255
permit ip any any
access-list 101 permit ip 192.168.0.0 0.0.15.255 192.168.255.0 0.0.0.255
access-list 102 permit ip any any log
!
!
radius-server host 192.168.0.252 auth-port 1812 acct-port 1813 timeout 5
radius-server key key
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password ********
transport input ssh
!
!
end
---------------------------------------------------------------------------------

Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, CrAzOiD, 12:11 , 14-Ноя-08 (1)
>Проблема такая, настроил тунель IPSEC с роутером Dlink-Di804HV
>Но есть пролема, большая нагрузка на процессор.
>Причину я выяснил - это в этой строчке
>access-list 102 permit ip any any log
>А именно в логах. Если приписывать это без логов
>access-list 102 permit ip any any
>То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется
>загадкой.
>Что можно сделать с IPSEC, чтобы не юзать логи?
Показать sh ver
Были какие-то баги на тему log
Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, momo, 12:52 , 14-Ноя-08 (2)
>[оверквотинг удален]
>>Причину я выяснил - это в этой строчке
>>access-list 102 permit ip any any log
>>А именно в логах. Если приписывать это без логов
>>access-list 102 permit ip any any
>>То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется
>>загадкой.
>>Что можно сделать с IPSEC, чтобы не юзать логи?
>
>Показать sh ver
>Были какие-то баги на тему log
а зачем у тебя там настроено l2tp подключение?
Ответить | Сообщить модератору
Проблема с IPSEC. Нагрузка на процессор, KanycTa, 14:10 , 14-Ноя-08 (3)
>Показать sh ver
>Были какие-то баги на тему log
sh version
Cisco IOS Software, RSP Software (RSP-JK9SV-M), Version 12.4(21), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 10-Jul-08 14:00 by prod_rel_team
ROM: System Bootstrap, Version 11.1(8)CA1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
BOOTLDR: RSP Software (RSP-BOOT-M), Version 12.2(31), RELEASE SOFTWARE (fc2)
router uptime is 5 hours, 18 minutes
System returned to ROM by reload at 04:22:17 UTC Thu Nov 13 2008
System image file is "disk0:rsp-jk9sv-mz.124-21.bin"
Last reload reason: Unknown reason
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco RSP4 (R5000) processor with 262144K/2072K bytes of memory.
R5000 CPU at 200MHz, Implementation 35, Rev 2.1, 512KB L2 Cache
Last reset from power-on
Chassis Interface.
1 VIP2 controller (2 FastEthernet).
1 VIP2 R5K controller (2 FastEthernet).
4 FastEthernet interfaces
123K bytes of NVRAM.
62720K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).
8192K bytes of Flash internal SIMM (Sector size 256K).
Configuration register is 0x2102

PPTP тоже нужен. Он на это никак не влияет
Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, KanycTa, 17:07 , 14-Ноя-08 (4)
Ну поможет мне кто-нибудь? гугл уже исчерпал себя.
Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, Eduard_k, 20:34 , 14-Ноя-08 (5)
>Ну поможет мне кто-нибудь? гугл уже исчерпал себя.
попробуйте
no ip cef
если заработает - меняйте ios
смысл 102 списка доступа в чем? может вообще убрать его с интерфейса
interface FastEthernet2/1/0
no ip access-group 102 in
т.к. он все равно ничего не запрещает.
Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, KanycTa, 21:28 , 14-Ноя-08 (6)
>[оверквотинг удален]
>попробуйте
>no ip cef
>если заработает - меняйте ios
>
>смысл 102 списка доступа в чем? может вообще убрать его с интерфейса
>
>
>interface FastEthernet2/1/0
>no ip access-group 102 in
> т.к. он все равно ничего не запрещает.
Вот именно, что если его убрать, то перестает по тунелю перестают ходить пакеты, а сам туннель поднимается без проблем.
и почему то именно нужно прописывать с log, без него не работает
Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, Eduard_k, 21:41 , 14-Ноя-08 (7)
>[оверквотинг удален]
>>
>>
>>interface FastEthernet2/1/0
>>no ip access-group 102 in
>> т.к. он все равно ничего не запрещает.
>
>Вот именно, что если его убрать, то перестает по тунелю перестают ходить
>пакеты, а сам туннель поднимается без проблем.
>и почему то именно нужно прописывать с log, без него не работает
>
когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно проблема данной версии ios-а. попробуйте отключить ip cef, это не решение проблемы , но может помочь ее локализовать.
посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка доступа, вдруг яснее станет в чем прблема.
Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, KanycTa, 07:45 , 17-Ноя-08 (8)
>когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно
>проблема данной версии ios-а. попробуйте отключить ip cef, это не решение
>проблемы , но может помочь ее локализовать.
>посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка
>доступа, вдруг яснее станет в чем прблема.
Отключение cef ничем не помогло.
в deb ip packet 101 при пинге через тунель, превышен интервал ожидания.
*Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F
astEthernet0/0/0), g=192.168.255.1, len 60, forward
*Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1
68.255.1 (FastEthernet0/0/0), routed via RIB
Попробую сменить иос, может поможет.
А версию иоса никто не подскажет. У меня был один иос, дак там с крашем ребуталась циска при поднятии ипсек тунеля
Ответить | Сообщить модератору

Проблема с IPSEC. Нагрузка на процессор, Eduard_k, 11:20 , 17-Ноя-08 (9)
>[оверквотинг удален]
>ожидания.
>
>*Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F
>astEthernet0/0/0), g=192.168.255.1, len 60, forward
>*Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1
>68.255.1 (FastEthernet0/0/0), routed via RIB
>
>Попробую сменить иос, может поможет.
>А версию иоса никто не подскажет. У меня был один иос, дак
>там с крашем ребуталась циска при поднятии ипсек тунеля
rsp-jk9o3sv-mz.124-23.bin - последний. Однако насколько стабилен не подскажу, не пробовал.
Ответить | Сообщить модератору