- Проблема с IPSEC. Нагрузка на процессор, CrAzOiD, 12:11 , 14-Ноя-08 (1)
>Проблема такая, настроил тунель IPSEC с роутером Dlink-Di804HV >Но есть пролема, большая нагрузка на процессор. >Причину я выяснил - это в этой строчке >access-list 102 permit ip any any log >А именно в логах. Если приписывать это без логов >access-list 102 permit ip any any >То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется >загадкой. >Что можно сделать с IPSEC, чтобы не юзать логи? Показать sh ver Были какие-то баги на тему log
- Проблема с IPSEC. Нагрузка на процессор, momo, 12:52 , 14-Ноя-08 (2)
>[оверквотинг удален] >>Причину я выяснил - это в этой строчке >>access-list 102 permit ip any any log >>А именно в логах. Если приписывать это без логов >>access-list 102 permit ip any any >>То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется >>загадкой. >>Что можно сделать с IPSEC, чтобы не юзать логи? > >Показать sh ver >Были какие-то баги на тему log а зачем у тебя там настроено l2tp подключение?
- Проблема с IPSEC. Нагрузка на процессор, KanycTa, 14:10 , 14-Ноя-08 (3)
>Показать sh ver >Были какие-то баги на тему log sh version Cisco IOS Software, RSP Software (RSP-JK9SV-M), Version 12.4(21), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 14:00 by prod_rel_team ROM: System Bootstrap, Version 11.1(8)CA1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) BOOTLDR: RSP Software (RSP-BOOT-M), Version 12.2(31), RELEASE SOFTWARE (fc2) router uptime is 5 hours, 18 minutes System returned to ROM by reload at 04:22:17 UTC Thu Nov 13 2008 System image file is "disk0:rsp-jk9sv-mz.124-21.bin" Last reload reason: Unknown reason This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco RSP4 (R5000) processor with 262144K/2072K bytes of memory. R5000 CPU at 200MHz, Implementation 35, Rev 2.1, 512KB L2 Cache Last reset from power-on Chassis Interface. 1 VIP2 controller (2 FastEthernet). 1 VIP2 R5K controller (2 FastEthernet). 4 FastEthernet interfaces 123K bytes of NVRAM. 62720K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes). 8192K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x2102 PPTP тоже нужен. Он на это никак не влияет
- Проблема с IPSEC. Нагрузка на процессор, KanycTa, 17:07 , 14-Ноя-08 (4)
Ну поможет мне кто-нибудь? гугл уже исчерпал себя.
- Проблема с IPSEC. Нагрузка на процессор, Eduard_k, 20:34 , 14-Ноя-08 (5)
>Ну поможет мне кто-нибудь? гугл уже исчерпал себя. попробуйте no ip cef если заработает - меняйте ios смысл 102 списка доступа в чем? может вообще убрать его с интерфейса interface FastEthernet2/1/0 no ip access-group 102 in т.к. он все равно ничего не запрещает.
- Проблема с IPSEC. Нагрузка на процессор, KanycTa, 21:28 , 14-Ноя-08 (6)
>[оверквотинг удален] >попробуйте >no ip cef >если заработает - меняйте ios > >смысл 102 списка доступа в чем? может вообще убрать его с интерфейса > > >interface FastEthernet2/1/0 >no ip access-group 102 in > т.к. он все равно ничего не запрещает. Вот именно, что если его убрать, то перестает по тунелю перестают ходить пакеты, а сам туннель поднимается без проблем. и почему то именно нужно прописывать с log, без него не работает
- Проблема с IPSEC. Нагрузка на процессор, Eduard_k, 21:41 , 14-Ноя-08 (7)
>[оверквотинг удален] >> >> >>interface FastEthernet2/1/0 >>no ip access-group 102 in >> т.к. он все равно ничего не запрещает. > >Вот именно, что если его убрать, то перестает по тунелю перестают ходить >пакеты, а сам туннель поднимается без проблем. >и почему то именно нужно прописывать с log, без него не работает >когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно проблема данной версии ios-а. попробуйте отключить ip cef, это не решение проблемы , но может помочь ее локализовать. посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка доступа, вдруг яснее станет в чем прблема.
- Проблема с IPSEC. Нагрузка на процессор, KanycTa, 07:45 , 17-Ноя-08 (8)
>когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно >проблема данной версии ios-а. попробуйте отключить ip cef, это не решение >проблемы , но может помочь ее локализовать. >посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка >доступа, вдруг яснее станет в чем прблема. Отключение cef ничем не помогло. в deb ip packet 101 при пинге через тунель, превышен интервал ожидания. *Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F astEthernet0/0/0), g=192.168.255.1, len 60, forward *Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1 68.255.1 (FastEthernet0/0/0), routed via RIB Попробую сменить иос, может поможет. А версию иоса никто не подскажет. У меня был один иос, дак там с крашем ребуталась циска при поднятии ипсек тунеля
- Проблема с IPSEC. Нагрузка на процессор, Eduard_k, 11:20 , 17-Ноя-08 (9)
>[оверквотинг удален] >ожидания. > >*Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F >astEthernet0/0/0), g=192.168.255.1, len 60, forward >*Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1 >68.255.1 (FastEthernet0/0/0), routed via RIB > >Попробую сменить иос, может поможет. >А версию иоса никто не подскажет. У меня был один иос, дак >там с крашем ребуталась циска при поднятии ипсек тунеля rsp-jk9o3sv-mz.124-23.bin - последний. Однако насколько стабилен не подскажу, не пробовал.
|