Сообщения без ответов | Активные темы Текущее время: 20 апр 2018, 13:16



Ответить на тему  [ Сообщений: 7 ] 
Проблемы с ip inspect на Cisco router 1841 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 5
Добрый день!
Возникла в одном из офисов странная проблема - в какой-то момент на всех компьютерах часть сайтов стали очень сильно тормозить. В основном это касалось скачивания файлов/страниц с зарубежных сайтов больше 50 кбайт. Как минимум по ftp (правда с других сайтов) качается на полной скорости.

Роутер Cisco 1841, прошивка C1841-ADVIPSERVICESK9-M, Version 12.4(25c), канал ethernet 5 Мбит/сек от дочки Ростелекома, пользователей порядка 20.

Т.к. я "не настоящий сварщик", то конфиг взял готовый (и 100% рабочий) какой-то из прошлых, разве что повыкидывал оттуда лишнее (в основном касающееся VPN).
Тяжелых задач на роутере нет - кроме NAT ещё сбор статистики SNMP и netflow. Дневной трафик небольшой, порядка 500 Мб. Торрентов и прочего нет.

Если включить ноут напрямую в WAN - скорость нормальная, если тут же в WAN включить 1841 и в его LAN тот же самый ноут (перенастроив ip-адрес, естественно) - тормозит как написано выше.

Посмотрел снифером на LAN - как минимум при проблемной закачке пакеты начинают приходить совсем не по-порядку, в какой-то момент (может скачать 10 кб, может 130) начинают перезапрашиваться и на этом скачивание замирает.

Методом перебора всех вариантов (вирусы, ошибки на интерфейсах, дуплекс, автоопределение скорости и много-много всего) выяснили, что при замене команды ip inspect FW in на строки в аксесс-листе permit tcp any any established и permit udp any eq domain any тормоза пропадают, все начинает работать как надо.

Да, прошивка, на самом деле, до этого стояла 12.4(3f), было тоже самое. Поменял на более свежую, ничего не изменилось.

Внимание вопрос - это же ненормально, в чем может быть ошибка? Как отладить? Или вообще забить, если работает в варианте permit established? :) Уже просто спортивный азарт найти причину, себе на на будущее.

Заранее спасибо!

P.S. Смотрю, вроде бы конфиги народ выкладывает, ниже прблемный конфиг, с замененными адресами:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco
!
boot-start-marker
boot system flash:c1841-advipservicesk9-mz.124-25c.bin
boot-end-marker
!
no logging buffered
enable secret------------------------------
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
ip flow-cache timeout active 1
ip domain name work.local
ip name-server 83.220.43.42
ip port-map ftp port tcp 21 list 10
ip inspect name FW tcp router-traffic
ip inspect name FW udp router-traffic
ip inspect name FW icmp router-traffic
ip inspect name FW ftp
ip inspect name FW http
ip inspect name FW https
ip inspect name FW dns
ip inspect name FW pop3
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
crypto pki trustpoint TP-self-signed-1744023115
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1744023115
revocation-check none
rsakeypair TP-self-signed-1744023115
!
!
crypto pki certificate chain TP-self-signed-1744023115
certificate self-signed 01 nvram:IOS-Self-Sig#3535.cer
username ----------------------------
!
ip ssh version 2
!
!
interface FastEthernet0/0
ip address 192.168.90.254 255.255.255.0
ip access-group FROMINSIDE in
ip nat inside
ip inspect FW in
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 010.010.010.010 255.255.255.252
ip access-group FROMOUTSIDE in
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 010.010.010.1
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.90.252 9996
!
ip http server
ip http secure-server
ip nat inside source list NAT interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.90.252 8080 010.010.010.010 8080 extendable
ip nat inside source static tcp 192.168.90.1 80 010.010.010.010 8081 extendable
ip nat inside source static tcp 192.168.90.252 3389 010.010.010.010 33890 extendable
ip nat inside source static tcp 192.168.90.108 3389 010.010.010.010 33898 extendable
!
ip access-list extended FROMINSIDE
permit tcp 192.168.90.0 0.0.0.255 any eq www 443
permit ip 192.168.90.0 0.0.0.255 host 020.020.020.020
deny tcp 192.168.90.0 0.0.0.255 any eq smtp
deny tcp any any range 135 139
deny tcp any range 135 139 any
deny udp any any range 135 netbios-ss
deny udp any range 135 netbios-ss any
permit udp 192.168.90.0 0.0.0.255 any
permit tcp 192.168.90.0 0.0.0.255 any
permit icmp any any
deny ip any any log
ip access-list extended FROMOUTSIDE
permit icmp any any
permit tcp any any eq 22
deny tcp any any range 135 139
deny tcp any range 135 139 any
deny udp any any range 135 netbios-ss
deny udp any range 135 netbios-ss any
permit ip host 212.33.23.142 host 010.010.010.010
deny ip any any log
ip access-list extended NAT
permit ip 192.168.90.0 0.0.0.255 any
!
logging trap debugging
logging 192.168.90.252
access-list 10 permit 192.168.90.1
access-list 10 permit 192.168.90.40 0.0.0.7
access-list 10 permit 192.168.90.48 0.0.0.1
snmp-server user NEWCOMM NEWCOMM v3
snmp-server group NEWCOMM v3 noauth match exact notify NEWCOMM3
snmp-server community NEWCOMM RO 10
snmp-server ifindex persist
snmp-server host 192.168.90.252 version 3 noauth NEWCOMM
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
!
scheduler allocate 20000 1000
ntp clock-period 17180324
ntp server 128.105.39.11
end


08 сен 2010, 17:53
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
sh proc cpu sorted?


08 сен 2010, 18:43
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 5
Сейчас лога не осталось, но когда смотрел при поисках - загрузка проца была околонулевая, свободная память так же имела место быть.


08 сен 2010, 19:18
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4439
Привет, Юр! Какие знакомые названия в конфиге :)

Вот это
ip inspect name FW http
ip inspect name FW https
попробуй убрать и расскажи результат


08 сен 2010, 21:21
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 5
(скромно шаркает ножкой) Ну в общем да, есть такое :) Сколько с тех пор воды утекло - жуть.

Завтра попробую убрать, отчитаюсь (хотя ftp в конфиге присутствует и работает на-ура, да и в оригинале http точно был, https по-моему после появился, не помню зачем).


08 сен 2010, 21:32
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 5
Итак, отчитываюсь. В момент проблемы загрузка проца

CPU utilization for five seconds: 1%/0%; one minute: 1%; five minutes: 1%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
26 24 122 196 0.32% 0.03% 0.01% 194 Virtual Exec
60 18816 35877 524 0.16% 0.19% 0.17% 0 IP Input
84 16 90926 0 0.08% 0.01% 0.00% 0 CEF process
98 80 2541 31 0.08% 0.01% 0.00% 0 TCP Timer
178 8 118446 0 0.08% 0.03% 0.00% 0 IP NAT Ager
29 24 25647 0 0.08% 0.00% 0.00% 0 Net Background

Убрал ip inspect name FW http и ip inspect name FW https ...и все заработало.
Что это было, Холмс? :)

Сейчас посмотрел внимательно на старые конфиги - в сделаных тобой http и https не было ( ! ). Зато было в конфигах на предыдущей работе... где не было привязано к интерфейсу.
Изначально просмотрел этот момент. Каюсь :)


09 сен 2010, 10:02
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 5
Да, Серег - спасибо огромадное! :)


09 сен 2010, 10:03
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB