Anticisco http://www.anticisco.ru/forum/ |
|
p2p gre ipsec непоняточка. Баг или фича? http://www.anticisco.ru/forum/viewtopic.php?f=9&t=1524 |
Страница 1 из 1 |
Автор: | 990 [ 05 мар 2011, 13:27 ] |
Заголовок сообщения: | p2p gre ipsec непоняточка. Баг или фича? |
Есть главный офис и филиал,gre/ipsec в tunnel mode. Выключение туннельного интерфейса филиала никак не отражается на состоянии интерфейса tunnel в главном офисе. HQ: 3825 12.4(24)T Код: crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key cisco address 84.zz.zz.172 crypto isakmp keepalive 10 ! ! crypto ipsec transform-set vpn_des esp-des esp-md5-hmac ! crypto ipsec profile VPN set transform-set vpn_des ! interface Tunnel1 ip address 10.0.2.1 255.255.255.252 no ip redirects ip mtu 1400 keepalive 10 3 tunnel source 85.xx.xx.206 tunnel destination 84.zz.zz.172 tunnel mode ipsec ipv4 tunnel protection ipsec profile VPN ! interface GigabitEthernet0/0 no ip address duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/0.110 description ---TotalyOutsideBeeline--- bandwidth 8096 encapsulation dot1Q 110 ip address 85.xx.xx.206 255.255.255.252 ! interface GigabitEthernet0/1 no ip address duplex auto speed auto media-type rj45 ! interface GigabitEthernet0/1.100 description ---OutsideBeeline--- encapsulation dot1Q 100 ip address 85.yy.yy.241 255.255.255.240 ! Branch: 871w 12.4(4)T7 Код: crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key cisco address 85.xx.xx.206 crypto isakmp keepalive 10 ! crypto ipsec transform-set vpn_des esp-des esp-md5-hmac ! crypto ipsec profile VPN set transform-set vpn_des ! interface Tunnel3 bandwidth 2048 ip address 10.0.2.2 255.255.255.252 no ip redirects ip mtu 1400 keepalive 10 3 tunnel source 84.zz.zz.172 tunnel destination 85.xx.xx.206 tunnel mode ipsec ipv4 tunnel protection ipsec profile VPN ! interface FastEthernet4 ip address 84.zz.zz.172 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto гасим туннель branch Код: BRANCH(config)#int tu 3 BRANCH(config-if)#sh BRANCH(config-if)# *Nov 22 15:16:42.178: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF *Nov 22 15:16:44.162: %LINK-5-CHANGED: Interface Tunnel3, changed state to administratively down *Nov 22 15:16:45.162: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel3, changed state to down Интерфейс уходит в даун, на другой стороне никакой реакции: Код: HQ#terminal monitor HQ# Спустя ~30 секунд он все-таки падает Код: HQ# *Mar 5 09:41:05.760: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down Если его снова "no sh/sh" , то даже через 30 секунд, HQ не погасит Tu1: Код: HQ#sho int tu 1 Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 10.0.2.1/30 MTU 17883 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive set (10 sec), retries 3 Tunnel source 85.xx.xx.206, destination 84.zz.zz.172 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1443 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "VPN") Last input 19:35:23, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 10 packets input, 1000 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 10 packets output, 1000 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 unknown protocol drops 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out Если выключить интерфейс на HQ: Код: HQ(config)#int tu 1 HQ(config-if)#sh HQ(config-if)# *Mar 5 09:54:22.509: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF HQ(config-if)# *Mar 5 09:54:24.505: %LINK-5-CHANGED: Interface Tunnel1, changed state to administratively down *Mar 5 09:54:25.505: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down Branch всегда узнает об этом моментально. Код: *Nov 22 15:32:24.934: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel3, changed state to down Это нормально? Если да, то что почитать? |
Автор: | imperorr [ 05 мар 2011, 14:41 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Так это же туннельный интерфейс |
Автор: | 990 [ 05 мар 2011, 15:02 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Я первый раз это настраиваю. Подскажите, пожалуйста, что почитать. И почему в одну сторону все ок, а в другую - жопа? |
Автор: | Lomax [ 05 мар 2011, 15:25 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Можно "sh crypto isakmp sa detail" с обоих маршрутизаторов посмотреть? |
Автор: | 990 [ 05 мар 2011, 15:47 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Код: BRANCH#sho crypto isakmp sa detail Codes: C - IKE configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal X - IKE Extended Authentication psk - Preshared key, rsig - RSA signature renc - RSA encryption IPv4 Crypto ISAKMP SA C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap. 1006 84.zz.zz.172 85.xx.xx.206 ACTIVE des md5 psk 2 23:49:58 D Engine-id:Conn-id = C87X_MBRD:6 IPv6 Crypto ISAKMP SA Код: HQ#sho crypto isakmp sa detail Codes: C - IKE configuration mode, D - Dead Peer Detection K - Keepalives, N - NAT-traversal T - cTCP encapsulation, X - IKE Extended Authentication psk - Preshared key, rsig - RSA signature renc - RSA encryption IPv4 Crypto ISAKMP SA C-id Local Remote I-VRF Status Encr Hash Auth DH Lifetime Cap. 1007 85.xx.xx.206 84.zz.zz.172 ACTIVE des md5 psk 2 23:51:32 D Engine-id:Conn-id = SW:7 IPv6 Crypto ISAKMP SA |
Автор: | imperorr [ 05 мар 2011, 16:02 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Используйте DMVPN:) и OSPF or EIGRP. Не совсем понятно, что вас и не устраивает и чего вы хотите! |
Автор: | Lomax [ 05 мар 2011, 16:09 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Думаю стоит обновить софт на 871. |
Автор: | 990 [ 05 мар 2011, 16:27 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
imperorr писал(а): Используйте DMVPN:) и OSPF or EIGRP. Не совсем понятно, что вас и не устраивает и чего вы хотите! Это лишь кусок задачи. На бранче будет два туннеля - один на HQ1, а второй на HQ2 . все это будет работать под ospf. Хочу чтобы актуальное состояние интерфейсов отображалось с двух сторон. Иначе ospf будет ждать dead interval. помоему так ЗЫ: DMVPN не могу - nhrp нет в ios у бранч роутеров. Нужно обновлять ~30 роутеров. Причем с непосредственным контактом, т. к. памяти у них хватает только на один образ если я не ошибаюсь. |
Автор: | Lomax [ 05 мар 2011, 20:46 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
makeitso писал(а): Хочу чтобы актуальное состояние интерфейсов отображалось с двух сторон. Иначе ospf будет ждать dead interval. У меня много подобных туннелей (ipsec ipv4), и везде шаблонно настроено "ip ospf hello-interval 3". Потеря связности детектируется вполне быстро. Почему они иногда падают - иногда нет, тоже не совсем разобрался. |
Автор: | Fedia [ 08 мар 2011, 16:13 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Мои мысли: 1. Падает через 30 секунд, потому что так настроен keepalive (10 3) 2. Не падает сразу, потому что на бранче в ИОСе нет фичи типа gratitous ARP (отсылка сообщения о том, что интерфейс принудительно ушел в даун). ПРавда, именно приведенная фича - для езернета. Но кмк есть аналогичная и для туннеля. Это нужно, чтобы сосед моментально увидел, что произошло отключение. |
Автор: | imperorr [ 09 мар 2011, 09:10 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Обновить можно и удаленно Стираешь образ текущий, и по сети заливаешь новый) |
Автор: | 990 [ 09 мар 2011, 09:51 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
imperorr писал(а): Обновить можно и удаленно Стираешь образ текущий, и по сети заливаешь новый) А если что-то пойдет не так ??? Страшно как-то оставлять без образа. Вы говорили: imperorr писал(а): Так это же туннельный интерфейс |
Автор: | imperorr [ 09 мар 2011, 10:00 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Это к вопросу в первом сообщении) |
Автор: | 990 [ 09 мар 2011, 10:17 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Fedia писал(а): Мои мысли: 1. Падает через 30 секунд, потому что так настроен keepalive (10 3) 2. Не падает сразу, потому что на бранче в ИОСе нет фичи типа gratitous ARP (отсылка сообщения о том, что интерфейс принудительно ушел в даун). ПРавда, именно приведенная фича - для езернета. Но кмк есть аналогичная и для туннеля. Это нужно, чтобы сосед моментально увидел, что произошло отключение. 1 - это произошло один раз, я описал выше, потом и по keepalive перестал падать. 2 - так как конфиг с обоих сторон одинаков, то сложно не согласится. Попробую поменять ИОС. А там и до DMVPN рукой подать. ps: А что будет, если бранч не погасит интерфейс, а просто станет недоступен? HQ поймет что туннель is down? |
Автор: | Lomax [ 09 мар 2011, 15:23 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
По моему в данном типе туннелей функционала keepalive просто нет. По наблюдениям, при настройке они поднимаются после поднятия isakmp между цисками, могу предположить что и падают они как только isakmp разваливается. А вот с keepalive isakmp уже можно играть. |
Автор: | imperorr [ 09 мар 2011, 15:25 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
А смысл этих заморочек? Отдайте на откуп OSPF, проверку достижимости сети. |
Автор: | 990 [ 09 мар 2011, 15:48 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Lomax писал(а): По моему в данном типе туннелей функционала keepalive просто нет. По наблюдениям, при настройке они поднимаются после поднятия isakmp между цисками, могу предположить что и падают они как только isakmp разваливается. А вот с keepalive isakmp уже можно играть. Так они вроде как на месте: isakmp keepalive 10 |
Автор: | 990 [ 09 мар 2011, 15:54 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
imperorr писал(а): А смысл этих заморочек? Отдайте на откуп OSPF, проверку достижимости сети. Отдам. Просто хочется понять почему так происходит, причем всегда в одностороннем порядке. |
Автор: | Fedia [ 09 мар 2011, 23:38 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Да, я говорил про isakmp keepalive. СОрри, что не уточнил. Если первичный туннель (isakmp) не установился, то и кипэлайва никакого нет. |
Автор: | 990 [ 10 мар 2011, 12:33 ] |
Заголовок сообщения: | Re: p2p gre ipsec непоняточка. Баг или фича? |
Всем спасибо. Помогло обновление IOS на бранче: c870-advipservicesk9-mz.124-24.T.bin Можно закрывать. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |