- NetFlow И tunnel,
 QRSa, 22:08 , 07-Окт-13 (1) +1 Добрый день.Вижу лог только 891.
На туннеле keepalive, что фатально, если на другом конце стоит tunnel mode ipsec ipv4, а не crypto map (было бы неплохо увидеть конфиг с 1800). Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление, что оба туннеля терминируются на одном destination (кстати, если это так, то работать одновременно туннели не будут).
А можно лог того, как это происходит, т.е.
ter mon
show ip int br - туннели up
show crypto isakmp sa
включаем netflow
show ip int br - туннели down
show crypto isakmp sa
- NetFlow И tunnel, genialen, 12:39 , 08-Окт-13 (2)
>[оверквотинг удален]
> Пожалуйста, не заменяйте все публичные адреса на ххх, а то складывается впечатление,
> что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут).
> А можно лог того, как это происходит, т.е.
> ter mon
> show ip int br - туннели up
> show crypto isakmp sa
> включаем netflow
> show ip int br - туннели down
> show crypto isakmp sa Нет все верно вы поняли на двух тунелях у меня один и тот же дистинейшон так как на удаленной циске один провайдер. crypto map я не использую, работает на профилях.
С нет флов ошибочка вышла тунели сами по себе глючат. Как только настроил, без нет флов все завелось, пока настраивал нет флов, все упало и так пару раз было, отсюда и грешил на него. Теперь понимаю что, не из за него, так как тунели опять при выключенном нет флов лежат. > что оба туннеля терминируются на одном destination (кстати, если это так,
> то работать одновременно туннели не будут). Почему? Почему тогда с начало оба тунеля работали до пары довремени? и как тогда нужно?
ЭТО 1800
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
logging enable
hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
shutdown
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip access-group FW_IN in
ip access-group FW_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
! !
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
!
ip access-list extended FW_IN
permit ip host xxx.xxx.xx.121 host xxx.xx.xx.116
permit icmp any host xxx.xx.xx.116
deny ip any any
ip access-list extended FW_OUT
permit ip any any
!
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
rf#show ip int brief Это 891
Interface IP-Address OK? Method Status Protocol
FastEthernet6 unassigned YES unset up up
FastEthernet8 xxx.xxx.xx.121 YES NVRAM up up
GigabitEthernet0 xx.xxx.xxx.181 YES NVRAM up up
Loopback0 10.0.10.4 YES NVRAM up up
NVI0 xxx.xxx.xx.121 YES unset up up
Tunnel0 192.168.2.1 YES NVRAM up down
Tunnel1 192.168.3.1 YES NVRAM up down
Vlan1 10.200.1.5 YES NVRAM up up dm#sh ip int brief это 1800
Interface IP-Address OK? Method Status Protocol
FastEthernet0 xxx.xx.xx.116 YES NVRAM up up
FastEthernet7 unassigned YES unset up up
Vlan1 10.200.2.5 YES NVRAM up up
Tunnel1 192.168.3.2 YES NVRAM up down
Tunnel0 192.168.2.2 YES NVRAM up down
Loopback0 22.22.22.22 YES NVRAM up up
NVI0 unassigned NO unset up up rf#show crypto isakmp sa Это 891
IPv4 Crypto ISAKMP SA
dst src state conn-id status
xxx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 ACTIVE (deleted)
xxx.xx.xx.116 xx.xxx.xxx.181 QM_IDLE 2001 ACTIVE
xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 ACTIVE dm#show crypto isakmp sa Это 1800
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2002 0 ACTIVE
xxx.xx.xx.116 xxx.xxx.xx.121 QM_IDLE 2001 0 ACTIVE
xx.xxx.xxx.181 xxx.xx.xx.116 MM_NO_STATE 0 0 ACTIVE
- NetFlow И tunnel, QRSa, 13:16 , 08-Окт-13 (3) +1
> Нет все верно вы поняли на двух тунелях у меня один и
> тот же дистинейшон так как на удаленной циске один провайдер.
> crypto map я не использую, работает на профилях.
> С нет флов ошибочка вышла тунели сами по себе глючат. Как только
> настроил, без нет флов все завелось, пока настраивал нет флов, все
> упало и так пару раз было, отсюда и грешил на него.
> Теперь понимаю что, не из за него, так как тунели опять
> при выключенном нет флов лежат.Уберите с туннелей keepalive, т.к. в случае mode ipsec ipv4 используется isakmp keepalive. Кстати, не увидел строки crypto isakmp invalid-spi-recovery (она нужна!) >> что оба туннеля терминируются на одном destination (кстати, если это так,
>> то работать одновременно туннели не будут).
> Почему? Почему тогда с начало оба тунеля работали до пары довремени? и
> как тогда нужно? Проблема с двумя туннелями на разных интерфейсах в том, что роутер не знает, через какой физический интерфейс нужно отправлять пакет в destination.
Если Вы хотите сделать 2 туннеля на один и тот же destination, то один из физических интерфейсов нужно поместить в VRF.
- NetFlow И tunnel, genialen, 13:26 , 08-Окт-13 (4)
> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
> знает, через какой физический интерфейс нужно отправлять пакет в destination.
> Если Вы хотите сделать 2 туннеля на один и тот же destination,
> то один из физических интерфейсов нужно поместить в VRF.Я полагал выбирает в зависимости от работы SLA
- NetFlow И tunnel, QRSa, 13:32 , 08-Окт-13 (5)
>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>> то один из физических интерфейсов нужно поместить в VRF.
> Я полагал выбирает в зависимости от работы SLA Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два туннеля одновременно!
- NetFlow И tunnel, genialen, 14:00 , 08-Окт-13 (6)
>>> Проблема с двумя туннелями на разных интерфейсах в том, что роутер не
>>> знает, через какой физический интерфейс нужно отправлять пакет в destination.
>>> Если Вы хотите сделать 2 туннеля на один и тот же destination,
>>> то один из физических интерфейсов нужно поместить в VRF.
>> Я полагал выбирает в зависимости от работы SLA
> Да - в соответствие с таблицей маршрутизации, т.о. нет возможность использовать два
> туннеля одновременно!Одновременно ненужно. при работе основного канала tunnel0 при резервном tunnel1
- NetFlow И tunnel, genialen, 14:10 , 08-Окт-13 (7)
В данный момент перестал работать один из провайдеров, как раз основной.
SLA постоянно пробует проверяет основной канал на работоспособность и при этом рвет резервный.
Так и должно быть?
Можно как то иначе сконфигурировать?
- NetFlow И tunnel, QRSa, 20:50 , 08-Окт-13 (8)
Если дело только в туннелях, то я бы сделал, чтобы оба работали одновременно, а протокол маршрутизации выбирал куда кидать трафик.Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы ведь не описали, что значит: "рвет").
- NetFlow И tunnel, genialen, 12:48 , 09-Окт-13 (9)
> Если дело только в туннелях, то я бы сделал, чтобы оба работали
> одновременно, а протокол маршрутизации выбирал куда кидать трафик.не она еще и натить офис будет. в интернет всех выпускать > Ваш ip sla неочевиден - из-за этого и могут быть проблемы (Вы
> ведь не описали, что значит: "рвет"). Отключаю основной канал связи b вот лог
сейчас циска на резерве g0 Oct 9 12:35:11.382: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to down
Oct 9 12:35:12.382: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to down
Oct 9 12:35:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:36:51.050: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to up
Oct 9 12:36:52.050: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet8, changed state to up
Oct 9 12:37:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:37:16.514: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:37:20.766: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:37:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:37:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:37:58.506: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:38:03.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:38:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:38:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:40:08.042: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:40:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:40:10.986: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:40:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:40:39.630: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:40:44.066: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:40:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:40:53.090: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
Oct 9 12:40:53.090: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: interface down
Oct 9 12:41:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:41:30.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:41:43.098: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
Oct 9 12:41:44.278: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:41:45.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 9 12:41:59.330: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 9 12:42:03.930: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 9 12:42:10.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
Oct 9 12:42:25.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct 9 12:42:37.482: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct 9 12:42:42.422: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
Oct 9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct 9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Мало того постоянно скачит то включает то выключает Oct 9 12:42:50.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
rf#
Oct 9 12:43:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up Так еще каким то Макаром если включить основной канал то интернет начинает работать с основного и при этом тунель "поднимается". Сейчас эксперементирую с одним тунелем закрепленным на интерфейс интернета резерв g0 включил интернет на основном канале Oct 9 12:47:05.394: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
rf#
Oct 9 12:47:18.402: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
rf#
Oct 9 12:47:22.286: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
rf#
S* 0.0.0.0/0 [1/0] via xxx.xxx.xx.113
10.0.0.0/8 is variably subnetted, 5 subnets, 3 masks
D 10.0.0.0/8 [90/1538560] via 192.168.2.2, 00:00:39, Tunnel0
C 10.0.10.0/24 is directly connected, Loopback0
L 10.0.10.4/32 is directly connected, Loopback0
C 10.200.1.0/24 is directly connected, Vlan1
L 10.200.1.5/32 is directly connected, Vlan1
xx.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C xx.xxx.xxx.128/25 is directly connected, GigabitEthernet0
L xx.xxx.xxx.181/32 is directly connected, GigabitEthernet0
192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.2.0/24 is directly connected, Tunnel0
L 192.168.2.1/32 is directly connected, Tunnel0
xxx.xxx.xx.0/24 is variably subnetted, 2 subnets, 2 masks
C xxx.xxx.xx.112/28 is directly connected, FastEthernet8
L xxx.xxx.xx.121/32 is directly connected, FastEthernet8
- NetFlow И tunnel, genialen, 13:56 , 09-Окт-13 (10)
> Так еще каким то Макаром если включить основной канал то интернет начинает
> работать с основного и при этом тунель "поднимается". поправлюсь. Ненадолго.
- NetFlow И tunnel, QRSa, 14:47 , 09-Окт-13 (11)
Добрый день.А у Вас local PBR случайно нет (это могло бы объяснить такие скачки track object)?
У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8? Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8?
В sh ip route не увидел туннеля N1.
- NetFlow И tunnel, genialen, 15:52 , 09-Окт-13 (12)
> Добрый день.
> А у Вас local PBR случайно нет (это могло бы объяснить такие
> скачки track object)?local PBR не припоминаю чтоб что то похожее настраивал, конфиг весь выложил выше, изменение лиш (удалил тунель 1)
> У Вас адрес 8.8.8.8 пингуется через интерфейс 8.8.8.8? да пингуется > Кстати, это нормально, что с той стороны туннеля Вам анонсируют 10.0.0.0/8? Пока да
у меня сети 1-я 10.200.1.0 вторая 10.200.2.0 когда добавляю их в eigrp получаю это 10.0.0.0/8 > В sh ip route не увидел туннеля N1. я уточнил сейчас убрал тунель 1 так как выявил проблему еще и с sla с ней решу дальше буду думать что делать с тунелями.
- NetFlow И tunnel, genialen, 10:41 , 10-Окт-13 (13)
Кстати если делать по это https://www.opennet.ru/base/cisco/ip_sla.txt.html статье с двумя sla то вообще еще хуже
Oct 10 10:29:31.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Down->Up
Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is down: Interface PEER-TERMINATION received
Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0) is up: new adjacency
Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Downsla 2 не ответил и все оба канала легли
sh track
sh track br
оба в down
- Текущий конфиг, QRSa, 13:18 , 10-Окт-13 (14)
Добрый день.Вы часто меняете конфиг, не публикуя его.
Рекомендую выложить текущий конфиг (полностью, но без паролей) и описать (с командами show ...) что не работает.
- NetFlow И tunnel, genialen, 14:19 , 10-Окт-13 (15)
>[оверквотинг удален]
> Oct 10 10:29:41.300: %TRACKING-5-STATE: 22 ip sla 2 reachability Up->Down
> Oct 10 10:29:43.516: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is down: Interface PEER-TERMINATION received
> Oct 10 10:29:48.460: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.2.2 (Tunnel0)
> is up: new adjacency
> Oct 10 10:29:56.300: %TRACKING-5-STATE: 11 ip sla 1 reachability Up->Down
> sla 2 не ответил и все оба канала легли
> sh track
> sh track br
> оба в down Проблему решил ip sla 1
icmp-echo Gate(ISP1) Host (ipH) Если необходимо проверять хост за провайдером то необходимо добавить маршрут например пинги на 8.8.8.8 добавить маршрут
8.8.8.8 255.255.255.255 через шлюз проверяемого провайдера Gate (ISP1)
ip sla schedule 1 start now life forever
track 11 ip sla 1 reachability
ip route 0.0.0.0 0.0.0.0 Gate(ISP1) track 11
"ip route 8.8.8.8 255.255.255.255 Gate(ISP1) 200"
Готов вернуться к вопросу почему у меня не работают два тунеля поочереди в зависимости от доступного провайдера.
rf(config-if)#
Oct 10 14:01:31.843: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:01:41.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:01:45.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:02:15.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:02:33.975: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:02:45.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:03:05.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:03:11.579: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:03:34.879: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:03:41.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:03:45.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:04:05.703: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:04:25.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
Oct 10 14:04:25.775: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:04:58.799: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:05:12.415: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:06:00.907: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:06:01.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:06:05.711: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:06:41.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:06:45.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:06:55.719: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:07:02.215: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:07:45.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:08:05.727: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:08:06.251: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:08:45.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:09:05.735: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:09:06.547: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:09:11.595: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:09:41.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:09:45.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:10:05.743: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:10:06.851: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:10:45.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:05.751: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:11:10.591: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:11:25.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:11:28.875: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:12:07.275: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#
Oct 10 14:12:11.031: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:12:35.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:12:45.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:01.603: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
rf(config-if)#
Oct 10 14:13:05.767: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
rf(config-if)#
Oct 10 14:13:13.551: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xx.xxx.xxx.181, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:13:25.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
rf(config-if)#
Oct 10 14:13:27.279: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is up: new adjacency
rf(config-if)#
Oct 10 14:13:41.611: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
rf(config-if)#
Oct 10 14:14:13.767: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=xxx.xxx.xx.121, prot=50, spi=0x32040000(839122944), srcaddr=xxx.xx.xx.116
rf(config-if)#
Oct 10 14:14:23.779: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 192.168.3.2 (Tunnel1) is down: holding time expired
rf(config-if)#end
rf#
Oct 10 14:14:51.483: %SYS-5-CONFIG_I: Configured from console by epashkov on vty0 (10.200.1.3)
rf# - NetFlow И tunnel, genialen, 14:30 , 10-Окт-13 (16)
891 Циска там где два провайдера
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname rf
!
boot-start-marker
boot system flash:c890-universalk9-mz.150-1.M9.bin
boot-end-marker
!
logging buffered 4096 informational
no logging console
enable secret 5
enable password 0
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
!
!
!
c
ip source-route
ip auth-proxy max-login-attempts 5
ip admission max-login-attempts 5
!
!
!
!
ip cef
no ip domain lookup
ip domain name
no ipv6 cef
!
!
multilink bundle-name authenticated
!
!
archive
log config
logging enable
hidekeys
username user privilege 15 password 7
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
track 11 ip sla 1 reachability
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key pass address xxx.xx.xx.116 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
!
interface Loopback0
ip address 10.0.10.4 255.255.255.0
!
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.1 255.255.255.0
ip mtu 1400
tunnel source FastEthernet8
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.1 255.255.255.0
ip mtu 1400
delay 52000
tunnel source GigabitEthernet0
tunnel mode ipsec ipv4
tunnel destination xxx.xx.xx.116
tunnel protection ipsec profile PROFILE
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
! interface FastEthernet8
description === 1 ===
ip address xxx.xxx.xx.121 255.255.255.240
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface GigabitEthernet0
description === 2 ===
ip address xx.xxx.xxx.181 255.255.255.128
!ip access-group FW_IN in
!ip access-group WF_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
!
interface Vlan1
description === LAN ===
ip address 10.200.1.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
!
!
router eigrp 1
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
passive-interface default
no passive-interface Tunnel0
no passive-interface Tunnel1
!
ip forward-protocol nd
no ip http server
ip http authentication local
no ip http secure-server
!
!
ip nat pool Pool_2 xx.xxx.xxx.181 xx.xxx.xxx.181 netmask 255.255.255.128
ip nat pool Pool_1 xxx.xxx.xx.121 xxx.xxx.xx.121 netmask 255.255.255.240
ip nat inside source route-map ISP_1 pool Pool_1 overload
ip nat inside source route-map ISP_2 pool Pool_2 overload
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xx.113 50 track 11
ip route 0.0.0.0 0.0.0.0 xx.xxx.xxx.129 100
ip route 8.8.4.4 255.255.255.255 xxx.xxx.xx.113 200
! !
ip sla 1
icmp-echo 8.8.4.4 source-ip xxx.xxx.xx.121
frequency 20
ip sla schedule 1 life forever start-time now
no cdp run !
!
!
!
route-map ISP_2 permit 10
match interface GigabitEthernet0
!
route-map ISP_1 permit 10
match interface FastEthernet8
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
end
1800 ---------------------------------------------------
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname dm
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 informational !
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
!
!
ip cef
!
!
ip domain name test.RU
!
!
!
username user privilege 15 password 7
archive
log config
logging enable
hidekeys
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key passwd address xxx.xxx.xx.121 no-xauth
crypto isakmp key passwd address xx.xxx.xxx.181 no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 5
!
!
crypto ipsec transform-set MYSET ah-sha-hmac esp-des
mode transport
!
crypto ipsec profile PROFILE
set transform-set MYSET
!
!
!
!
!
interface Tunnel1
bandwidth 10000
ip address 192.168.3.2 255.255.255.0
ip mtu 1400
delay 5200
tunnel source FastEthernet0
tunnel destination xx.xxx.xxx.181
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Tunnel0
bandwidth 10000
ip address 192.168.2.2 255.255.255.0
ip mtu 1400
tunnel source FastEthernet0
tunnel destination xxx.xxx.xx.121
tunnel mode ipsec ipv4
tunnel protection ipsec profile PROFILE
!
interface Loopback0
ip address 22.22.22.22 255.255.255.0
!
interface FastEthernet0
ip address xxx.xx.xx.116 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
! !
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface Vlan1
description === LAN ===
ip address 10.200.2.5 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
router eigrp 1
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel0
network 10.0.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 xxx.xx.xx.113
!
!
no ip http server
no ip http secure-server
! control-plane
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
password 7
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
- NetFlow И tunnel, genialen, 14:35 , 10-Окт-13 (17)
show даже и незнаю в какой момент снимать так как лог подтверждает что состояние вывода таких как
sh ip int brief
sh crypto session detail
sh ip routeпостоянно меняется. - NetFlow И tunnel, genialen, 15:35 , 10-Окт-13 (18)
> show даже и незнаю в какой момент снимать так как лог подтверждает
> что состояние вывода таких как
> sh ip int brief
> sh crypto session detail
> sh ip route
> постоянно меняется.фуууууух я уже устал сегодня наверное.
в общем проблему решил пока еще не понял до конца для чего эта команда но работает
ip bandwidth-percent eigrp 50 50 на тунели и все ок. теперь если обрывается основной канал все начинает работать на резервном, при восстановлении все возвращается обратно как и изначально. Выпил чаю вздохнул. И тут в голову влетела мысль а что если выключить резервный. "№;;""
И как вы думаете что произошло???? конечно же каким то Макаром шлюз по умолчанию включился от резервного канала и все упало............ Как так???? что за ????
|
Версия для распечатки
NetFlow И tunnel, 
