Сообщения без ответов | Активные темы Текущее время: 25 июн 2018, 18:44



Ответить на тему  [ Сообщений: 6 ] 
CISCO IPSEC проблемы с зависшими коннектами 
Автор Сообщение

Зарегистрирован: 05 окт 2009, 17:43
Сообщения: 43
Здравствуйте!

Есть 2811 c 2800nm-advipservicesk9-mz.124-25d
Был поднят стабильно работающий целый год IPSEC туннель в другой офис.
Вдруг, появились проблемы с таймаутами при подключении на компьютер, который доступен через IPSEC.

Сверили все параметры - всё зеркально идентично! Конфигурацию не изменяли.

Вывод sh cry session remote 1.1.1.1 выдал страшную картину:

IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 57132 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 53563 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 59683 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 51523 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map
---- ВЫРЕЗАНО ---
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 59428 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 55093 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 53818 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 55858 host 172.22.22.222 port 30001
Active SAs: 0, origin: crypto map

Нескончаемый список IPSEC FLOW, которые не закрываются? Получается каждый коннект к компьютеру порождает новый IPSEC FLOW, который так и продолжает висеть даже после закрытия TCP соединения.

Куда можно посмотреть?


06 июн 2011, 11:11
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4439
У вас наверно в crypto ACL стоит что-нить типа
permit ip any any
?

Очень похоже на такое поведение. Как только циска не знает, что же ей матчить, она каждую сессию отдельным flow пишет.


07 июн 2011, 23:23
Профиль

Зарегистрирован: 05 окт 2009, 17:43
Сообщения: 43
Здравствуйте!

правило имеет вид:
permit tcp host 10.10.10.1 gt 1024 host 10.11.11.1 eq 1234


07 июн 2011, 23:26
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4439
Рекомендую заменить на
permit ip h 10.10 h 10.11

А трафик резать списком доступа, а не правилом IPSec

СТаринное правило: чем "крупнее" (уровня L3, а не L4) заголовок в описываемом интересном трафике, тем правильнее работает IPSec. НАсколько я помню, раньше вообще запрещалось что-либо кроме IP писать.

Да, много флоу из-за
gt 1024


07 июн 2011, 23:49
Профиль

Зарегистрирован: 05 окт 2009, 17:43
Сообщения: 43
Спасибо! Утром с коллегой попробуем подкорректировать правило удалив gt 1024


07 июн 2011, 23:57
Профиль

Зарегистрирован: 05 окт 2009, 17:43
Сообщения: 43
Урра! Получилось!

Убрали gt 1024 и теперь поднимается только одна IPSEC сессия в рамках которой ходит трафик.


09 июн 2011, 10:51
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB