forum.opennet.ru - "Последовательно два роутера для разделения функций" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Последовательно два роутера для разделения функций"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Последовательно два роутера для разделения функций"
Сообщение от Mike (??) on 25-Окт-07, 13:04
Друзья помогите разобраться в том, как лучше организовать разделение функций между двумя 871 роутерами. Схема подсоединения примено такая: LAN - Cisco#2 - Cisco#1 - WAN/VPN Есть удаленный офис, который связан с тремя другими офисами по VPN. Суть разделения в том, что бы обеспечить надежное соединение со всеми тремя точками. Сейчас стоит один 871 на котором крутится все вместе - VPN, NAT, NetFlow, Policing, WCCP, external dynamic vpn connections. При этом VPN-ны падают очень часто от нескольких секунд до пренудительного восстановления через reset канала. При условии что их три, и каждый из них переодически падает, создается впечатление очень ненадежной сети. Есть предположение, что проблема именно в том, что все вместе крутится на одном девайсе. Как вариант, поставить два последовательно: Cisco#1 - только VPN, NAT и external dynamic VPN connections Cisco#2 - Policing, NetFlow, WCCP и все остальное. Как по вашему мнению, это решит проблему? Вопрос - можно ли элегантно разместить оба раутера в одной подсетке или их таки нужно будет разносить по разным? Если да, то как?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Последовательно два роутера для разделения функций, DN, 13:32 , 25-Окт-07, (1)

Последовательно два роутера для разделения функций, Mike, 15:48 , 25-Окт-07, (4)

Последовательно два роутера для разделения функций, DN, 16:20 , 25-Окт-07, (5)

Последовательно два роутера для разделения функций, Mike, 19:35 , 26-Окт-07, (6)

Последовательно два роутера для разделения функций, DN, 13:23 , 01-Ноя-07, (7)

Последовательно два роутера для разделения функций, dan13, 14:02 , 25-Окт-07, (2)

Последовательно два роутера для разделения функций, Mike, 15:41 , 25-Окт-07, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Последовательно два роутера для разделения функций"

Сообщение от DN (ok) on 25-Окт-07, 13:32

>LAN - Cisco#2 - Cisco#1 - WAN/VPN
>Есть удаленный офис, который связан с тремя другими офисами по VPN.
>Суть разделения в том, что бы обеспечить надежное соединение со всеми тремя
>точками.
>Есть предположение, что проблема именно в том, что все вместе крутится на
>одном девайсе. Как вариант, поставить два последовательно:
>Cisco#1 - только VPN, NAT и external dynamic VPN connections
>Cisco#2 - Policing, NetFlow, WCCP и все остальное.
>
>Как по вашему мнению, это решит проблему?
Для начала надо выяснить причину падения VPN ? Может это связано совсем не
с нагрузкой на девайс, а есть какая-то другая причина.
VPN у Вас на базе IPSec ?
Посмотрите какой процесс сильно грузит cisco.
Включите debug для VPN и постарайтесь выяснить причину падения
VPN соединений.

После этого можно будет принять решение о разносе сервисов на два устройства.
>Вопрос - можно ли элегантно разместить оба раутера в одной подсетке или
>их таки нужно будет разносить по разным? Если да, то как?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Последовательно два роутера для разделения функций"

Сообщение от Mike (??) on 25-Окт-07, 15:48

>Для начала надо выяснить причину падения VPN ? Может это связано совсем
>не
>с нагрузкой на девайс, а есть какая-то другая причина.
>VPN у Вас на базе IPSec ?
Да на IPsec.
>Посмотрите какой процесс сильно грузит cisco.
Не грузит совсем...
>Включите debug для VPN и постарайтесь выяснить причину падения
>VPN соединений.
Дело в том, что если выключить все и оставить только VPN и NAT, то на глаз становится все лучше...
В логах много таких warnings:
getting agressive, count (182/500) current 1-min rate:501
calming down, count (124/400) current 1-min rate:382
но это не в тему наверно..
Иногда попадаются такие:
IKE message from xxx.xxx.xxx.xxx has no SA and is not an initialization offer
это уже по теме, но что исправить не знаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Последовательно два роутера для разделения функций"

Сообщение от DN (ok) on 25-Окт-07, 16:20

>Иногда попадаются такие:
>IKE message from xxx.xxx.xxx.xxx has no SA and is not an initialization
>offer
>
>это уже по теме, но что исправить не знаю.
Во, во!
Есть ли keepalive?
crypto isakmp keepalive ???
Включайте debug crypto isakmp ... и т.п.
и смотрите.
Еще crypto isakmp policy , crypto isakmp client,
crypto dynamic-map надо посмотреть внимательно.
У клиентов VPN тоже обязательно смотреть, что происходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Последовательно два роутера для разделения функций"

Сообщение от Mike (??) on 26-Окт-07, 19:35

>[оверквотинг удален]
>Во, во!
>
>Есть ли keepalive?
>crypto isakmp keepalive ???
>
>Включайте debug crypto isakmp ... и т.п.
>и смотрите.
>
>Еще crypto isakmp policy , crypto isakmp client,
>crypto dynamic-map надо посмотреть внимательно.
привожу выдержку из конфига ниже..
>
>У клиентов VPN тоже обязательно смотреть, что происходит.
с клиентами сложнее - доступа на обратный конец нет - только через тамошних админов по аське типа "спросил-написали", но это не надежно :)))
Конфиг --
==================
Building configuration...
Current configuration : 24926 bytes
!
! Last configuration change at 17:15:43 EEST Wed Oct 24 2007 by michel
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 xxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
clock timezone EEST 3
no ip source-route
ip wccp version 1
ip wccp web-cache redirect-list 130
ip cef
!
ip nbar pdlm flash://bittorrent.pdlm
ip nbar pdlm flash://eDonkey.pdlm
ip nbar pdlm flash://gnutella.pdlm
ip nbar pdlm flash://WinMX.pdlm
!
!
!
ip tcp synwait-time 10
no ip bootp server
ip domain name KHAR
ip name-server xxxxxxxxxx
ip name-server xxxxxxxxxx
ip name-server xxxxxxxxxx
ip ssh time-out 60
ip ssh authentication-retries 2
ip inspect tcp idle-time 86400
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 snmp
ip inspect name DEFAULT100 fragment maximum 256 timeout 1
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 vdolive
!
!
crypto pki trustpoint TP-self-signed-515785534
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-515785534
revocation-check none
rsakeypair TP-self-signed-515785534
!
!
crypto pki certificate chain TP-self-signed-515785534
certificate self-signed 01
...
  quit
username Administrator privilege 15 secret 5 xxxxxxxxxxxxxxxx
username michel privilege 15 view root secret 5 xxxxxxxxxxxxxxxx
username mmcham privilege 15 view root secret 5 xxxxxxxxxxxxxxxx
username choche privilege 15 view root secret 5 xxxxxxxxxxxxxxxx
username vpnuser privilege 0 secret 5 xxxxxxxxxxxxxxxx
!
!
class-map match-all OtherTraffic
match access-group 124
class-map match-all NetworkTraffic
match access-group 121
match not access-group 122
match not access-group 123
class-map match-all BasicTraffic
match access-group 120
match not access-group 121
match not access-group 122
match not access-group 123
match not protocol bittorrent
match not protocol edonkey
match not protocol gnutella
class-map match-all NetworkTraffic2
match access-group 121
match not access-group 123
class-map match-all AdminServicesTraffic
match access-group 123
class-map match-all DevServicesTraffic
match access-group 122
match not access-group 123
!
!
policy-map WANOutboundOther
class OtherTraffic
  bandwidth percent 30
  shape peak percent 50
policy-map WANInboundPolice
class AdminServicesTraffic
  set ip precedence 0
class NetworkTraffic2
  set ip precedence 1
class BasicTraffic
   police 256000 65000
class class-default
   police 256000 16000
policy-map WANOutbound
class AdminServicesTraffic
  bandwidth percent 20
  shape peak percent 90
class NetworkTraffic2
  bandwidth percent 55
  queue-limit 128
  shape peak percent 80
class BasicTraffic
  bandwidth percent 15
  shape peak percent 50
class class-default
  bandwidth percent 5
  shape peak percent 40
policy-map WANInboundPoliceOther
class OtherTraffic
   police 256000 65000
!
!
!
crypto isakmp policy 1
hash md5
authentication pre-share
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth
crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth
crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth
crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth
!
crypto isakmp client configuration group vpnclient
key xxxxxxxxxxxxxxxx
dns xxxxxxxxxxxxxxxx
wins xxxxxxxxxxxxxxxx
domain khar
pool vpnpool
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set vpnset esp-3des esp-md5-hmac
crypto ipsec df-bit clear
!
crypto dynamic-map dynmap 10
set transform-set vpnset
reverse-route
!
!
crypto map VPNCryptoMap client authentication list userauthen
crypto map VPNCryptoMap isakmp authorization list groupauthor
crypto map VPNCryptoMap client configuration address respond
crypto map VPNCryptoMap 1 ipsec-isakmp
description xxxxxxxxxxxxxxxx
set peer xxxxxxxxxxxxxxxx
set transform-set ESP-DES-MD5
match address 104
qos pre-classify
crypto map VPNCryptoMap 2 ipsec-isakmp
description xxxxxxxxxxxxxxxx
set peer xxxxxxxxxxxxxxxx
set transform-set ESP-DES-MD5
match address 102
qos pre-classify
crypto map VPNCryptoMap 3 ipsec-isakmp
description xxxxxxxxxxxxxxxx
set peer xxxxxxxxxxxxxxxx
set transform-set ESP-DES-MD5
match address 105
qos pre-classify
crypto map VPNCryptoMap 4 ipsec-isakmp
description xxxxxxxxxxxxxxxx
set peer xxxxxxxxxxxxxxxx
set transform-set ESP-DES-MD5
match address 106
qos pre-classify
crypto map VPNCryptoMap 10 ipsec-isakmp dynamic dynmap
!
!
!
!
interface Loopback0
ip address 10.11.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface FastEthernet4
description External
bandwidth 512
ip address xxxxxxxxxxx 255.255.255.0
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip wccp web-cache redirect out
ip nbar protocol-discovery
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
ip policy route-map VPN-Client
duplex auto
speed auto
no cdp enable
crypto map VPNCryptoMap
max-reserved-bandwidth 95
service-policy input WANInboundPoliceOther
service-policy output WANOutboundOther
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
bandwidth 512
ip address xxxxxxxxxx 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
rate-limit input access-group 124 256000 6000 10000 conform-action transmit exceed-action drop
ip route-cache policy
ip route-cache flow
ip tcp adjust-mss 1452
traffic-shape group 124 256000 7680 7680 1000
max-reserved-bandwidth 95
!
ip local pool vpnpool xxxxxxxxxxxx xxxxxxxxxxxxxx
ip route 0.0.0.0 0.0.0.0 xxxxxxxxxxx
!
ip flow-cache timeout active 1
ip flow-export version 5
ip flow-export destination xxxxxxxxxxx 9996
ip flow-top-talkers
top 5
sort-by bytes
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source static tcp xxxxxxxxxxxx 3389 interface FastEthernet4 3389
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip nat inside source static tcp xxxxxxxxxxxxxx 8080 interface FastEthernet4 80
!
logging trap debugging
.......
snmp-server community xxxxxxxxxx RO
snmp-server ifindex persist
no cdp run
!
!
!
route-map VPN-Client permit 10
match ip address 160
set interface Loopback0
!
route-map SDM_RMAP_1 permit 1
match ip address 103
!
!
control-plane
!
banner login ^CCuthorized access only!
Disconnect IMMEDI^C
!
line con 0
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
privilege level 0
transport input telnet ssh
transport output all
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17175075
ntp server xxxxxxxxxxxx source FastEthernet4
ntp server xxxxxxxxxxxx source FastEthernet4
ntp server xxxxxxxxxxxx source FastEthernet4
time-range nonworking
periodic weekdays 0:00 to 9:00
periodic weekend 0:00 to 23:59
!
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Последовательно два роутера для разделения функций"

Сообщение от DN (ok) on 01-Ноя-07, 13:23

>[оверквотинг удален]
>>
>>Включайте debug crypto isakmp ... и т.п.
>>и смотрите.
>привожу выдержку из конфига ниже..
>
>>
>>У клиентов VPN тоже обязательно смотреть, что происходит.
>
>с клиентами сложнее - доступа на обратный конец нет - только через
>тамошних админов по аське типа "спросил-написали", но это не надежно :)))
Заведите своего VPN клиента для моделирования ситуации.
Можно включить
crypto isakmp keepalive 600 periodic
К сожалению многие acl не приведены, а они могут служить источником ошибок.
На что надо обратить внимание в вашем конфиге.
>crypto isakmp client configuration group vpnclient
>key xxxxxxxxxxxxxxxx
>dns xxxxxxxxxxxxxxxx
>wins xxxxxxxxxxxxxxxx
>domain khar
>pool vpnpool
acl здесь нет. Весь internet трафик из машины клиента Вы пропускаете по VPN
через свой роутер.
Далее
>interface FastEthernet4
...
>ip wccp web-cache redirect out
...
>ip nat outside
...
>crypto map VPNCryptoMap
...
>ip local pool vpnpool xxxxxxxxxxxx xxxxxxxxxxxxxx
...
>route-map VPN-Client permit 10
>match ip address 160
>set interface Loopback0
>route-map SDM_RMAP_1 permit 1
>match ip address 103
Убедитесь в корректности acl, которые не приведены в конфиге, что Вы не
NAT'тите VPN трафик .
Не трафик IPSEC, а трафик, который инкапсулируется в IPSEC.
Типичный пример:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009486e.shtml
Аналогично, убедитесь в корректности acl для wccp . В случае wccp , могут быть
нюьансы с cef и GRE трафиком.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Последовательно два роутера для разделения функций"

Сообщение от dan13 on 25-Окт-07, 14:02

Была у нас похожая проблема!  Залили новый IOS на cisco871 и все заработало как нужно. Попробуй.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Последовательно два роутера для разделения функций"

Сообщение от Mike (??) on 25-Окт-07, 15:41

>Была у нас похожая проблема!  Залили новый IOS на cisco871 и
>все заработало как нужно. Попробуй.
Новый это какой? У меня сейчас 12.4T, до этого был 12.3YI ничего не поменялось.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Последовательно два роутера для разделения функций"
Сообщение от DN (ok) on 25-Окт-07, 13:32
>LAN - Cisco#2 - Cisco#1 - WAN/VPN >Есть удаленный офис, который связан с тремя другими офисами по VPN. >Суть разделения в том, что бы обеспечить надежное соединение со всеми тремя >точками. >Есть предположение, что проблема именно в том, что все вместе крутится на >одном девайсе. Как вариант, поставить два последовательно: >Cisco#1 - только VPN, NAT и external dynamic VPN connections >Cisco#2 - Policing, NetFlow, WCCP и все остальное. > >Как по вашему мнению, это решит проблему? Для начала надо выяснить причину падения VPN ? Может это связано совсем не с нагрузкой на девайс, а есть какая-то другая причина. VPN у Вас на базе IPSec ? Посмотрите какой процесс сильно грузит cisco. Включите debug для VPN и постарайтесь выяснить причину падения VPN соединений. После этого можно будет принять решение о разносе сервисов на два устройства. >Вопрос - можно ли элегантно разместить оба раутера в одной подсетке или >их таки нужно будет разносить по разным? Если да, то как?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Последовательно два роутера для разделения функций"
	Сообщение от Mike (??) on 25-Окт-07, 15:48
	>Для начала надо выяснить причину падения VPN ? Может это связано совсем >не >с нагрузкой на девайс, а есть какая-то другая причина. >VPN у Вас на базе IPSec ? Да на IPsec. >Посмотрите какой процесс сильно грузит cisco. Не грузит совсем... >Включите debug для VPN и постарайтесь выяснить причину падения >VPN соединений. Дело в том, что если выключить все и оставить только VPN и NAT, то на глаз становится все лучше... В логах много таких warnings: getting agressive, count (182/500) current 1-min rate:501 calming down, count (124/400) current 1-min rate:382 но это не в тему наверно.. Иногда попадаются такие: IKE message from xxx.xxx.xxx.xxx has no SA and is not an initialization offer это уже по теме, но что исправить не знаю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Последовательно два роутера для разделения функций"
	Сообщение от DN (ok) on 25-Окт-07, 16:20
	>Иногда попадаются такие: >IKE message from xxx.xxx.xxx.xxx has no SA and is not an initialization >offer > >это уже по теме, но что исправить не знаю. Во, во! Есть ли keepalive? crypto isakmp keepalive ??? Включайте debug crypto isakmp ... и т.п. и смотрите. Еще crypto isakmp policy , crypto isakmp client, crypto dynamic-map надо посмотреть внимательно. У клиентов VPN тоже обязательно смотреть, что происходит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Последовательно два роутера для разделения функций"
	Сообщение от Mike (??) on 26-Окт-07, 19:35
	>[оверквотинг удален] >Во, во! > >Есть ли keepalive? >crypto isakmp keepalive ??? > >Включайте debug crypto isakmp ... и т.п. >и смотрите. > >Еще crypto isakmp policy , crypto isakmp client, >crypto dynamic-map надо посмотреть внимательно. привожу выдержку из конфига ниже.. > >У клиентов VPN тоже обязательно смотреть, что происходит. с клиентами сложнее - доступа на обратный конец нет - только через тамошних админов по аське типа "спросил-написали", но это не надежно :))) Конфиг -- ================== Building configuration... Current configuration : 24926 bytes ! ! Last configuration change at 17:15:43 EEST Wed Oct 24 2007 by michel ! version 12.4 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname cisco ! boot-start-marker boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 51200 debugging logging console critical enable secret 5 xxxxxxxxxxx ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! clock timezone EEST 3 no ip source-route ip wccp version 1 ip wccp web-cache redirect-list 130 ip cef ! ip nbar pdlm flash://bittorrent.pdlm ip nbar pdlm flash://eDonkey.pdlm ip nbar pdlm flash://gnutella.pdlm ip nbar pdlm flash://WinMX.pdlm ! ! ! ip tcp synwait-time 10 no ip bootp server ip domain name KHAR ip name-server xxxxxxxxxx ip name-server xxxxxxxxxx ip name-server xxxxxxxxxx ip ssh time-out 60 ip ssh authentication-retries 2 ip inspect tcp idle-time 86400 ip inspect name DEFAULT100 esmtp ip inspect name DEFAULT100 tcp ip inspect name DEFAULT100 udp ip inspect name DEFAULT100 icmp ip inspect name DEFAULT100 snmp ip inspect name DEFAULT100 fragment maximum 256 timeout 1 ip inspect name DEFAULT100 cuseeme ip inspect name DEFAULT100 ftp ip inspect name DEFAULT100 h323 ip inspect name DEFAULT100 netshow ip inspect name DEFAULT100 rcmd ip inspect name DEFAULT100 realaudio ip inspect name DEFAULT100 rtsp ip inspect name DEFAULT100 sqlnet ip inspect name DEFAULT100 streamworks ip inspect name DEFAULT100 tftp ip inspect name DEFAULT100 vdolive ! ! crypto pki trustpoint TP-self-signed-515785534 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-515785534 revocation-check none rsakeypair TP-self-signed-515785534 ! ! crypto pki certificate chain TP-self-signed-515785534 certificate self-signed 01 ... quit username Administrator privilege 15 secret 5 xxxxxxxxxxxxxxxx username michel privilege 15 view root secret 5 xxxxxxxxxxxxxxxx username mmcham privilege 15 view root secret 5 xxxxxxxxxxxxxxxx username choche privilege 15 view root secret 5 xxxxxxxxxxxxxxxx username vpnuser privilege 0 secret 5 xxxxxxxxxxxxxxxx ! ! class-map match-all OtherTraffic match access-group 124 class-map match-all NetworkTraffic match access-group 121 match not access-group 122 match not access-group 123 class-map match-all BasicTraffic match access-group 120 match not access-group 121 match not access-group 122 match not access-group 123 match not protocol bittorrent match not protocol edonkey match not protocol gnutella class-map match-all NetworkTraffic2 match access-group 121 match not access-group 123 class-map match-all AdminServicesTraffic match access-group 123 class-map match-all DevServicesTraffic match access-group 122 match not access-group 123 ! ! policy-map WANOutboundOther class OtherTraffic bandwidth percent 30 shape peak percent 50 policy-map WANInboundPolice class AdminServicesTraffic set ip precedence 0 class NetworkTraffic2 set ip precedence 1 class BasicTraffic police 256000 65000 class class-default police 256000 16000 policy-map WANOutbound class AdminServicesTraffic bandwidth percent 20 shape peak percent 90 class NetworkTraffic2 bandwidth percent 55 queue-limit 128 shape peak percent 80 class BasicTraffic bandwidth percent 15 shape peak percent 50 class class-default bandwidth percent 5 shape peak percent 40 policy-map WANInboundPoliceOther class OtherTraffic police 256000 65000 ! ! ! crypto isakmp policy 1 hash md5 authentication pre-share ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth crypto isakmp key xxxxxxxxxxxxxxxx address xxxxxxxxxxxxxxxx no-xauth ! crypto isakmp client configuration group vpnclient key xxxxxxxxxxxxxxxx dns xxxxxxxxxxxxxxxx wins xxxxxxxxxxxxxxxx domain khar pool vpnpool ! crypto ipsec security-association lifetime seconds 86400 ! crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec transform-set vpnset esp-3des esp-md5-hmac crypto ipsec df-bit clear ! crypto dynamic-map dynmap 10 set transform-set vpnset reverse-route ! ! crypto map VPNCryptoMap client authentication list userauthen crypto map VPNCryptoMap isakmp authorization list groupauthor crypto map VPNCryptoMap client configuration address respond crypto map VPNCryptoMap 1 ipsec-isakmp description xxxxxxxxxxxxxxxx set peer xxxxxxxxxxxxxxxx set transform-set ESP-DES-MD5 match address 104 qos pre-classify crypto map VPNCryptoMap 2 ipsec-isakmp description xxxxxxxxxxxxxxxx set peer xxxxxxxxxxxxxxxx set transform-set ESP-DES-MD5 match address 102 qos pre-classify crypto map VPNCryptoMap 3 ipsec-isakmp description xxxxxxxxxxxxxxxx set peer xxxxxxxxxxxxxxxx set transform-set ESP-DES-MD5 match address 105 qos pre-classify crypto map VPNCryptoMap 4 ipsec-isakmp description xxxxxxxxxxxxxxxx set peer xxxxxxxxxxxxxxxx set transform-set ESP-DES-MD5 match address 106 qos pre-classify crypto map VPNCryptoMap 10 ipsec-isakmp dynamic dynmap ! ! ! ! interface Loopback0 ip address 10.11.0.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface FastEthernet4 description External bandwidth 512 ip address xxxxxxxxxxx 255.255.255.0 ip access-group 101 in ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip wccp web-cache redirect out ip nbar protocol-discovery ip nat outside ip inspect DEFAULT100 out ip virtual-reassembly ip policy route-map VPN-Client duplex auto speed auto no cdp enable crypto map VPNCryptoMap max-reserved-bandwidth 95 service-policy input WANInboundPoliceOther service-policy output WANOutboundOther ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ bandwidth 512 ip address xxxxxxxxxx 255.255.255.0 ip access-group 100 in no ip redirects no ip unreachables no ip proxy-arp ip nbar protocol-discovery ip flow ingress ip flow egress ip nat inside ip virtual-reassembly rate-limit input access-group 124 256000 6000 10000 conform-action transmit exceed-action drop ip route-cache policy ip route-cache flow ip tcp adjust-mss 1452 traffic-shape group 124 256000 7680 7680 1000 max-reserved-bandwidth 95 ! ip local pool vpnpool xxxxxxxxxxxx xxxxxxxxxxxxxx ip route 0.0.0.0 0.0.0.0 xxxxxxxxxxx ! ip flow-cache timeout active 1 ip flow-export version 5 ip flow-export destination xxxxxxxxxxx 9996 ip flow-top-talkers top 5 sort-by bytes ! ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source static tcp xxxxxxxxxxxx 3389 interface FastEthernet4 3389 ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ip nat inside source static tcp xxxxxxxxxxxxxx 8080 interface FastEthernet4 80 ! logging trap debugging ....... snmp-server community xxxxxxxxxx RO snmp-server ifindex persist no cdp run ! ! ! route-map VPN-Client permit 10 match ip address 160 set interface Loopback0 ! route-map SDM_RMAP_1 permit 1 match ip address 103 ! ! control-plane ! banner login ^CCuthorized access only! Disconnect IMMEDI^C ! line con 0 no modem enable transport output telnet line aux 0 transport output telnet line vty 0 4 privilege level 0 transport input telnet ssh transport output all ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 ntp clock-period 17175075 ntp server xxxxxxxxxxxx source FastEthernet4 ntp server xxxxxxxxxxxx source FastEthernet4 ntp server xxxxxxxxxxxx source FastEthernet4 time-range nonworking periodic weekdays 0:00 to 9:00 periodic weekend 0:00 to 23:59 ! end
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Последовательно два роутера для разделения функций"
	Сообщение от DN (ok) on 01-Ноя-07, 13:23
	>[оверквотинг удален] >> >>Включайте debug crypto isakmp ... и т.п. >>и смотрите. >привожу выдержку из конфига ниже.. > >> >>У клиентов VPN тоже обязательно смотреть, что происходит. > >с клиентами сложнее - доступа на обратный конец нет - только через >тамошних админов по аське типа "спросил-написали", но это не надежно :))) Заведите своего VPN клиента для моделирования ситуации. Можно включить crypto isakmp keepalive 600 periodic К сожалению многие acl не приведены, а они могут служить источником ошибок. На что надо обратить внимание в вашем конфиге. >crypto isakmp client configuration group vpnclient >key xxxxxxxxxxxxxxxx >dns xxxxxxxxxxxxxxxx >wins xxxxxxxxxxxxxxxx >domain khar >pool vpnpool acl здесь нет. Весь internet трафик из машины клиента Вы пропускаете по VPN через свой роутер. Далее >interface FastEthernet4 ... >ip wccp web-cache redirect out ... >ip nat outside ... >crypto map VPNCryptoMap ... >ip local pool vpnpool xxxxxxxxxxxx xxxxxxxxxxxxxx ... >route-map VPN-Client permit 10 >match ip address 160 >set interface Loopback0 >route-map SDM_RMAP_1 permit 1 >match ip address 103 Убедитесь в корректности acl, которые не приведены в конфиге, что Вы не NAT'тите VPN трафик . Не трафик IPSEC, а трафик, который инкапсулируется в IPSEC. Типичный пример: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009486e.shtml Аналогично, убедитесь в корректности acl для wccp . В случае wccp , могут быть нюьансы с cef и GRE трафиком.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Последовательно два роутера для разделения функций"
Сообщение от dan13 on 25-Окт-07, 14:02
Была у нас похожая проблема! Залили новый IOS на cisco871 и все заработало как нужно. Попробуй.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Последовательно два роутера для разделения функций"
	Сообщение от Mike (??) on 25-Окт-07, 15:41
	>Была у нас похожая проблема! Залили новый IOS на cisco871 и >все заработало как нужно. Попробуй. Новый это какой? У меня сейчас 12.4T, до этого был 12.3YI ничего не поменялось.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]