отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Диагностика Cisco 881 pci k9

Добрый день. Подскажите метод диагностики такой проблемы..... В локалке есть сервер терминалов. Подключаются к нему через Remote Desctop. Дня три назад по сегодняшний день, при подключении на терминал из вне локалки, через cisco на терминал, идет кратковременное прерывание сеанса связи. Т.е. связь прерывается, Remote Desctop пишет клиентам "Идет повторное подключение...." и связь сразу восстанавливается. Происходит это через разные промежуток времени. При этом пинг из локалки в инет, из инета (с клиентского компьютера) на внешний интерфейс cisco не прерывается. Из последних изменений на маршрутизаторе настроил резервный канал (ip sla). Сейчас на всякий случай его убрал, но к положительному результату не привело.

Конфиг который в данный момент на cisco.

Building configuration...

Current configuration : 9398 bytes

!

! Last configuration change at 12:35:55 Moscow Wed Aug 7 2013 by denis

version 15.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname impex

!

boot-start-marker

boot-end-marker

!

!

logging buffered 51200 warnings

enable secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImqYGmcAxH9SvUrP.Q

enable password 5816385

!

aaa new-model

!

!

aaa authentication login default local

aaa authorization exec default local

!

aaa session-id common

memory-size iomem 10

clock timezone Moscow 3 0

!

crypto pki trustpoint TP-self-signed-2906724978

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-2906724978

revocation-check none

rsakeypair TP-self-signed-2906724978

!

ip flow-cache timeout active 1

ip domain name orto.ru

ip name-server 84.47.177.77

ip name-server 85.91.99.99

ip name-server 192.168.3.5

ip name-server 192.168.1.1

ip inspect name block_url http urlfilter alert on

ip urlfilter allow-mode on

ip urlfilter cache 0

ip urlfilter exclusive-domain deny .youtube.ru

ip urlfilter exclusive-domain deny .odnoklassniki.ru

ip urlfilter audit-trail

ip cef

no ipv6 cef

!

!

multilink bundle-name authenticated

license udi pid CISCO881-PCI-K9 sn F

license boot module c880-data level advipservices

!

!

username denis privilege 15 view root secret 4 WIt8jvB9k8OmgaoqfrYwU//PXImqYGmcAxH9SvUrP.Q

username duk privilege 15 secret 4 Al8uww7VpZFUTM/RUP.HMrmnPkjI38WOgymMWl8y/QY

!

policy-map global_policy

!

csdb tcp synwait-time 30

csdb tcp idle-time 3600

csdb tcp finwait-time 5

csdb tcp reassembly max-memory 1024

csdb tcp reassembly max-queue-length 16

csdb udp idle-time 30

csdb icmp idle-time 10

csdb session max-session 65535

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key EuV4xx address 84.47.xx  

!

!

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

mode tunnel

!

!

!

crypto map SDM_CMAP_2 1 ipsec-isakmp

description Tunnel to84.47.xx

set peer 84.47.xx

set transform-set ESP-3DES-SHA1

match address 103

!

!

!

!

!

interface FastEthernet0

no ip address

!

interface FastEthernet1

no ip address

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

description second_int

switchport access vlan 2

no ip address

!

interface FastEthernet4

description WAN$ETH-WAN$

ip address 84.47.xx 255.255.255.248

ip nat outside

ip nat enable

ip inspect block_url out

ip virtual-reassembly in

duplex auto

speed auto

crypto map SDM_CMAP_2

!

interface Vlan1

description local

ip address 192.168.3.3 255.255.255.0

ip access-group 105 in

ip flow ingress

ip flow egress

ip nat inside

ip nat enable

ip virtual-reassembly in

ip tcp adjust-mss 1452

!

interface Vlan2

description second_int

ip address 192.168.1.2 255.255.255.0

ip nat outside

ip nat enable

ip virtual-reassembly in

shutdown

!

ip forward-protocol nd

ip http server

ip http access-class 23

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

ip flow-export version 5

ip flow-export destination 192.168.3.1 9996

!

ip dns server

ip nat sip-sbc

no ip nat service sip udp port 5060

ip nat inside source static tcp 192.168.3.51 1494 interface FastEthernet4 4016

ip nat inside source static tcp 192.168.3.133 3389 interface FastEthernet4 3010

ip nat inside source static tcp 192.168.3.127 3389 interface FastEthernet4 4007

ip nat inside source static tcp 192.168.3.119 3389 interface FastEthernet4 3011

ip nat inside source static tcp 192.168.3.1 1494 interface FastEthernet4 4018

ip nat inside source static tcp 192.168.3.1 3389 interface FastEthernet4 4019

ip nat inside source static tcp 192.168.3.166 3389 interface FastEthernet4 4020

ip nat inside source static tcp 192.168.3.148 3389 interface FastEthernet4 4021

ip nat inside source static tcp 192.168.3.194 3389 interface FastEthernet4 7030

ip nat inside source static tcp 192.168.3.113 3389 interface FastEthernet4 7031

ip nat inside source static tcp 192.168.3.189 3389 interface FastEthernet4 7034

ip nat inside source static tcp 192.168.3.102 3389 interface FastEthernet4 7038

ip nat inside source static tcp 192.168.3.39 3389 interface FastEthernet4 7037

ip nat inside source static tcp 192.168.3.184 3389 interface FastEthernet4 7039

ip nat inside source static tcp 192.168.3.108 3389 interface FastEthernet4 7040

ip nat inside source static tcp 192.168.3.1 8880 interface FastEthernet4 8880

ip nat inside source static udp 192.168.3.9 5060 interface FastEthernet4 5060

ip nat inside source static tcp 192.168.3.109 3389 interface FastEthernet4 7041

ip nat inside source static tcp 192.168.3.1 23 interface FastEthernet4 7042

ip nat inside source static tcp 192.168.3.5 3389 interface FastEthernet4 7032

ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload

ip nat inside source route-map second_int interface Vlan2 overload

ip route 0.0.0.0 0.0.0.0 84.47.156.233

!

access-list 1 remark INSIDE_IF=Vlan1

access-list 1 remark CCP_ACL Category=2

access-list 1 permit 192.168.0.0 0.0.0.255

access-list 23 permit 84.47.169.67

access-list 23 remark CCP_ACL Category=17

access-list 23 permit 192.168.3.0 0.0.0.255

access-list 23 permit 169.254.0.0 0.0.255.255

access-list 23 permit 81.88.0.0 0.0.255.255

access-list 23 permit 79.165.0.0 0.0.255.255

access-list 100 remark CCP_ACL Category=4

access-list 100 remark IPSec Rule

access-list 100 permit ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255

access-list 103 remark IPSec Rule

access-list 103 permit ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255

access-list 104 remark CCP_ACL Category=18

access-list 104 permit tcp any host 195.161.113.197 eq smtp

access-list 104 remark allow_smtp

access-list 104 permit tcp any host 213.208.166.30 eq smtp

access-list 104 remark allow_smtp

access-list 104 permit tcp any host 213.248.54.203 eq smtp

access-list 104 remark alow_smtp

access-list 104 permit tcp any 194.85.88.0 0.0.0.255 eq smtp

access-list 104 remark allow_smtp

access-list 104 permit tcp any host 213.180.204.38 eq smtp

access-list 104 remark allow_smtp

access-list 104 permit tcp any host 194.67.23.111 eq smtp

access-list 104 remark allow_smtp

access-list 104 permit tcp any host 62.213.70.42 eq smtp

access-list 104 remark allow_smtp

access-list 104 permit tcp any host 195.34.32.101 eq smtp

access-list 104 remark block_smtp

access-list 104 deny   tcp any any eq smtp

access-list 104 remark server1_smtp

access-list 104 permit tcp host 192.168.3.4 eq smtp any

access-list 104 remark block_server1

access-list 104 deny   tcp host 192.168.3.4 any

access-list 104 remark server1_2

access-list 104 deny   tcp any host 192.168.3.4

access-list 104 remark block_5.255.225.12

access-list 104 deny   tcp any host 5.255.225.12

access-list 104 remark IPSec Rule

access-list 104 deny   ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255

access-list 104 permit ip 192.168.3.0 0.0.0.255 any

access-list 105 remark CCP_ACL Category=1

access-list 105 permit udp host 192.168.3.5 eq domain any

access-list 105 permit ip 192.168.3.0 0.0.0.255 any

access-list 105 permit ip 84.47.0.0 0.0.255.255 any

access-list 105 permit ip 79.165.0.0 0.0.255.255 any

access-list 105 permit ip 81.88.0.0 0.0.255.255 any

no cdp run

!

route-map second_int permit 1

match ip address 104

match interface Vlan2

!

route-map SDM_RMAP_1 permit 1

match ip address 104

match interface FastEthernet4

!

snmp-server community public RO

snmp-server ifindex persist

snmp-server host 192.168.3.1 public

!

!

!

control-plane

!

!

line con 0

no modem enable

line aux 0

line vty 0 4

access-class 23 in

access-class 23 out

length 0

transport input telnet ssh

transport output telnet ssh

!

event manager applet clear_nat

event track 1 state any

action 0.9 cli command "enable"

action 1.0 cli command "clear ip nat translation *"

action 2.0 cli command "clear ip nat translation forced"

!

end

11 ОТВЕТ.

Диагностика Cisco 881 pci k9

Добрый день!

1) Судя по вашим правилам NAT вы фактически не используете NVI NAT, поэтому лучше убрать со всех интерфейсов команду:

ip nat enable

2) Почему вы используете  

ip tcp adjust-mss 1452

???

При ваших настройках у вас overhead до 76 байт.

файл для расчёта оверхеда

Т.е. у вас mss должен быть 1424 как минимум. А вообще на практике рекомендуется использовать 1360, дабы перекрыть все возможные оверхеды наверняка.

3) Это вообще зачем:

event manager applet clear_nat

???

Я так понимаю сам track1 вы удалили, но тем не менее я бы такое в конфиге не держал.

А зачем вообще чистить NAT-таблицы ?

Вполне вероятно это и является причиной ваших проблем.

New Member

Диагностика Cisco 881 pci k9

Доброе утро.

я в настройках cisco совсем зеленый...

от куда вылезло

ip tcp adjust-mss 1452... честно скажу - не знаю, сам эту команду не прописывал. но сеичас подправил.

Проблема с прерыванием оказалась тогда у провайдера, который мне отзвонил только через восемь часов.

Сеичас резервный канал опять восстановил.

event manager applet clear_nat

как пишут на одном из сайтов... при подении провайдера, продолжают работать трансляции. и чтоб долго не ждать перехода, нужно их очистить.....

Диагностика Cisco 881 pci k9

ВОТ  -  типовая схема подключения двух провайдеров +NAT. Ничего чистить и ждать не надо, всё и так прекрасно работает.

После того, как отрабатывает переключение на резервного провайдера ДЛЯ ИСХОДЯЩЕГО трафика начинает работать уже другое правило NAT overload, и не важно какие там ранее были трансляции.

ВХОДЯЩИЙ, ответный трафик, который был в этих трансляциях дропнется без вариантов независимо от того чистите вы у себя трансляции или нет, т.к. IP-адрес вашего основного провайдера стал недоступен для внешних подключений и какие там за ним остались трансляции уже не важно.

Так что это бред, имхо.

New Member

Re: Диагностика Cisco 881 pci k9

Опять проблема. Чтоб не плодить, пишу сюда. В выходные позвонили из офиса - отвалился интернет. По внешнему интерфейсу на циску зайти не смог. Сегодня приехал в офис, внутренний интерфейс то же не пингуется. Перегрузил. Все заработало. Подключил циску к консольному порту. Смотрю, что с ней происходит. Через 15 минут, отваливается инет. Последнее, что показало:

Aug 19 06:41:06.471: %URLF-6-SITE_ALLOWED: Client 192.168.3.117:62173  accessed

server 94.100.180.199:80

Aug 19 06:41:43.963: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non

trunk FastEthernet0 VLAN1.

Aug 19 06:41:43.963: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0 on VLAN

1. Inconsistent port type.

Aug 19 06:41:59.279: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has

invalid spi for destaddr=84.47.169.67, prot=50, spi=0x501A526B(1343902315), src

addr=84.47.156.236, input interface=FastEthernet4

Aug 19 06:42:05.007: %SPANTREE-2-UNBLOCK_CONSIST_PORT: Unblocking FastEthernet0

on VLAN1. Port consistency restored. PVST+:Inconsistency timer expired. inconsis

tency 0

                 cleared for FastEthernet0

--------

FastEthernet0, 1, 2 принадлежат VLAN1. Перекидываю витую пару по этим портам, результат тот же. Перезагружаюсь, 10-15 минут все работает, и все отваливается.

Re: Диагностика Cisco 881 pci k9

Вот это сообщение :

Aug 19 06:41:43.963: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non

trunk FastEthernet0 VLAN1.

Говорит о том, что к вам пришло BPDU причём не в native vlan, а в тэгированном пакете.

Это значит, что с той стороны порт, к которому вы подключены настроен как транк (т.е. switchport mode trunk), и там присутствуют другие VLAN.

А что за оборудование подключено к этому порту, и какой там конфиг на порту ?

Если там коммутатор под вашим управлением, то вам просто стоит указать на портах с обоих сторон:

switchport access vlan 1

switchport mode access

spanning-tree portfast

New Member

Re: Диагностика Cisco 881 pci k9

сеичас посмотрел....

Есть VLAN2. К нему относится интерфейс FE1. В данный момент VLAN2 имеет статус shutdown, к порту fe1 не чего не подключено. Vlan2 настрайвал для подключения резервного канала.

Re: Диагностика Cisco 881 pci k9

У вас к порту Fa0/1 судя по

interface Vlan1

      description local

      ip address 192.168.3.3 255.255.255.0

подключена локальная сеть.

1) Какое именно оборудование подключено к этому порту ?

2) Приведите конфиг порта на этом оборудовании.

New Member

Re: Диагностика Cisco 881 pci k9

Конфиг в первом посте от другого маршрутизатора.

Проблемный маршрутизатор имеет аналогичный конфиг.

Порт идет в неуправляемый коммутатор циско, серии SB. В этот коммутатор сервер + раб.компьютеры.

Конфиг порта:

cisco#sh int fa0

FastEthernet0 is up, line protocol is up

  Hardware is Fast Ethernet, address is 30f7.0dd6.9832 (bia 30f7.0dd6.9832

  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,

     reliability 255/255, txload 1/255, rxload 1/255

  Encapsulation ARPA, loopback not set

  Keepalive set (10 sec)

  Full-duplex, 100Mb/s

  ARP type: ARPA, ARP Timeout 04:00:00

  Last input never, output never, output hang never

  Last clearing of "show interface" counters never

  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

  Queueing strategy: fifo

  Output queue: 0/40 (size/max)

  5 minute input rate 52000 bits/sec, 61 packets/sec

  5 minute output rate 312000 bits/sec, 55 packets/sec

     986008 packets input, 118979244 bytes, 0 no buffer

     Received 28955 broadcasts (8565 multicasts)

     0 runts, 0 giants, 0 throttles

     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

     0 watchdog, 0 multicast, 0 pause input

     0 input packets with dribble condition detected

     1013125 packets output, 634213856 bytes, 0 underruns

     0 output errors, 0 collisions, 2 interface resets

     0 unknown protocol drops

     0 babbles, 0 late collision, 0 deferred

     0 lost carrier, 0 no carrier, 0 pause output

     0 output buffer failures, 0 output buffers swapped out

---------------------------------------------------------

Re: Диагностика Cisco 881 pci k9

1) Для того, что бы показать конфиг порта нужно сделать

sh run int fa 0/1

То что вы привели это статус интерфейса, а не конфиг порта.

Впрочем я понял, что конфиг порта есть выше, но я хотел увидеть конфиг порта с ТОЙ стороны, на коммутаторе.

2) Я не верю, что НЕуправляемый коммутатор может слать тэгированные пакеты.

Какая модель коммутатора ?

P.S. Неуправляемый коммутатор - это страшная вестчь.....он же ВООБЩЕ НЕУПРАВЛЯЕМЫЙ !

New Member

Re: Диагностика Cisco 881 pci k9

Cisco SB SG102-24

Re: Диагностика Cisco 881 pci k9

хм....да...Неуправляемый.

А в этот коммутатор подключены другие девайсы, например CISCO, у которых имеются другие VLAN, отличные от VLAN_1 ?

Ваш роутер получает тэгированные BPDU пакеты, кто-то же их туда шлёт ?

В качестве обходного решения проблемы могу предложить выключить обработку STP на данном порту:

spanning-tree portfast

spanning-tree bpdufilter enable

spanning-tree bpduguard enable

Попробуйте так, отпишитесь о результате, если проблема останется - присылайте логи.

904
Просмотры
0
Полезный материал
11
Ответы