Сообщения без ответов | Активные темы Текущее время: 12 дек 2019, 17:41



Ответить на тему  [ Сообщений: 20 ] 
p2p gre ipsec непоняточка. Баг или фича? 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
Есть главный офис и филиал,gre/ipsec в tunnel mode. Выключение туннельного интерфейса филиала никак не отражается на состоянии интерфейса tunnel в главном офисе.

HQ: 3825 12.4(24)T
Код:
crypto isakmp policy 10
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco address 84.zz.zz.172
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set vpn_des esp-des esp-md5-hmac
!
crypto ipsec profile VPN
 set transform-set vpn_des
!
interface Tunnel1
 ip address 10.0.2.1 255.255.255.252
 no ip redirects
 ip mtu 1400
 keepalive 10 3
 tunnel source 85.xx.xx.206
 tunnel destination 84.zz.zz.172
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VPN
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/0.110
 description ---TotalyOutsideBeeline---
 bandwidth 8096
 encapsulation dot1Q 110
 ip address 85.xx.xx.206 255.255.255.252
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/1.100
 description ---OutsideBeeline---
 encapsulation dot1Q 100
 ip address 85.yy.yy.241 255.255.255.240
!


Branch: 871w 12.4(4)T7
Код:
crypto isakmp policy 10
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco address 85.xx.xx.206
crypto isakmp keepalive 10
!
crypto ipsec transform-set vpn_des esp-des esp-md5-hmac
!
crypto ipsec profile VPN
 set transform-set vpn_des
!
interface Tunnel3
 bandwidth 2048
 ip address 10.0.2.2 255.255.255.252
 no ip redirects
 ip mtu 1400
 keepalive 10 3
 tunnel source 84.zz.zz.172
 tunnel destination 85.xx.xx.206
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VPN
!
 interface FastEthernet4
 ip address 84.zz.zz.172 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto

гасим туннель branch
Код:
BRANCH(config)#int tu 3
BRANCH(config-if)#sh
BRANCH(config-if)#
*Nov 22 15:16:42.178: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
*Nov 22 15:16:44.162: %LINK-5-CHANGED: Interface Tunnel3, changed state to administratively down
*Nov 22 15:16:45.162: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel3, changed state to down

Интерфейс уходит в даун, на другой стороне никакой реакции:
Код:
HQ#terminal monitor
HQ#

Спустя ~30 секунд он все-таки падает
Код:
HQ#
*Mar  5 09:41:05.760: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down

Если его снова "no sh/sh" , то даже через 30 секунд, HQ не погасит Tu1:
Код:
HQ#sho int tu 1
Tunnel1 is up, line protocol is up
  Hardware is Tunnel
  Internet address is 10.0.2.1/30
  MTU 17883 bytes, BW 100 Kbit/sec, DLY 50000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation TUNNEL, loopback not set
  Keepalive set (10 sec), retries 3
  Tunnel source 85.xx.xx.206, destination 84.zz.zz.172
  Tunnel protocol/transport IPSEC/IP
  Tunnel TTL 255
  Tunnel transport MTU 1443 bytes
  Tunnel transmit bandwidth 8000 (kbps)
  Tunnel receive bandwidth 8000 (kbps)
  Tunnel protection via IPSec (profile "VPN")
  Last input 19:35:23, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/0 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     10 packets input, 1000 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     10 packets output, 1000 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out


Если выключить интерфейс на HQ:
Код:
HQ(config)#int tu 1
HQ(config-if)#sh
HQ(config-if)#
*Mar  5 09:54:22.509: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
HQ(config-if)#
*Mar  5 09:54:24.505: %LINK-5-CHANGED: Interface Tunnel1, changed state to administratively down
*Mar  5 09:54:25.505: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down

Branch всегда узнает об этом моментально.
Код:
*Nov 22 15:32:24.934: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel3, changed state to down


Это нормально? Если да, то что почитать?


05 мар 2011, 13:27
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Так это же туннельный интерфейс :)


05 мар 2011, 14:41
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
Я первый раз это настраиваю. Подскажите, пожалуйста, что почитать. И почему в одну сторону все ок, а в другую - жопа?


05 мар 2011, 15:02
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Можно "sh crypto isakmp sa detail" с обоих маршрутизаторов посмотреть?


05 мар 2011, 15:25
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
Код:
BRANCH#sho crypto isakmp sa detail
Codes: C - IKE configuration mode, D - Dead Peer Detection
       K - Keepalives, N - NAT-traversal
       X - IKE Extended Authentication
       psk - Preshared key, rsig - RSA signature
       renc - RSA encryption
IPv4 Crypto ISAKMP SA

C-id  Local           Remote          I-VRF    Status Encr Hash Auth DH Lifetime Cap.

1006  84.zz.zz.172   85.xx.xx.206            ACTIVE des  md5  psk  2  23:49:58 D
       Engine-id:Conn-id =  C87X_MBRD:6

IPv6 Crypto ISAKMP SA




Код:
HQ#sho crypto isakmp sa detail
Codes: C - IKE configuration mode, D - Dead Peer Detection
       K - Keepalives, N - NAT-traversal
       T - cTCP encapsulation, X - IKE Extended Authentication
       psk - Preshared key, rsig - RSA signature
       renc - RSA encryption
IPv4 Crypto ISAKMP SA

C-id  Local           Remote          I-VRF    Status Encr Hash Auth DH Lifetime Cap.

1007  85.xx.xx.206   84.zz.zz.172            ACTIVE des  md5  psk  2  23:51:32 D
       Engine-id:Conn-id =  SW:7

IPv6 Crypto ISAKMP SA




05 мар 2011, 15:47
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Используйте DMVPN:) и OSPF or EIGRP.
Не совсем понятно, что вас и не устраивает и чего вы хотите!


05 мар 2011, 16:02
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
Думаю стоит обновить софт на 871.


05 мар 2011, 16:09
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
imperorr писал(а):
Используйте DMVPN:) и OSPF or EIGRP.
Не совсем понятно, что вас и не устраивает и чего вы хотите!


Это лишь кусок задачи. На бранче будет два туннеля - один на HQ1, а второй на HQ2 . все это будет работать под ospf.
Хочу чтобы актуальное состояние интерфейсов отображалось с двух сторон. Иначе ospf будет ждать dead interval.

помоему так

ЗЫ: DMVPN не могу - nhrp нет в ios у бранч роутеров. Нужно обновлять ~30 роутеров. Причем с непосредственным контактом, т. к. памяти у них хватает только на один образ если я не ошибаюсь.


05 мар 2011, 16:27
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
makeitso писал(а):
Хочу чтобы актуальное состояние интерфейсов отображалось с двух сторон. Иначе ospf будет ждать dead interval.


У меня много подобных туннелей (ipsec ipv4), и везде шаблонно настроено "ip ospf hello-interval 3". Потеря связности детектируется вполне быстро. Почему они иногда падают - иногда нет, тоже не совсем разобрался.


05 мар 2011, 20:46
Профиль ICQ
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Мои мысли:
1. Падает через 30 секунд, потому что так настроен keepalive (10 3)
2. Не падает сразу, потому что на бранче в ИОСе нет фичи типа gratitous ARP (отсылка сообщения о том, что интерфейс принудительно ушел в даун). ПРавда, именно приведенная фича - для езернета. Но кмк есть аналогичная и для туннеля. Это нужно, чтобы сосед моментально увидел, что произошло отключение.


08 мар 2011, 16:13
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Обновить можно и удаленно ;)
Стираешь образ текущий, и по сети заливаешь новый)


09 мар 2011, 09:10
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
imperorr писал(а):
Обновить можно и удаленно ;)
Стираешь образ текущий, и по сети заливаешь новый)

А если что-то пойдет не так ??? Страшно как-то оставлять без образа.
Вы говорили:
imperorr писал(а):
Так это же туннельный интерфейс :)
. Это что-то значит в разрезе моей проблемы ? Или просто порадовались тому что он туннельный?


09 мар 2011, 09:51
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Это к вопросу в первом сообщении)


09 мар 2011, 10:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
Fedia писал(а):
Мои мысли:
1. Падает через 30 секунд, потому что так настроен keepalive (10 3)
2. Не падает сразу, потому что на бранче в ИОСе нет фичи типа gratitous ARP (отсылка сообщения о том, что интерфейс принудительно ушел в даун). ПРавда, именно приведенная фича - для езернета. Но кмк есть аналогичная и для туннеля. Это нужно, чтобы сосед моментально увидел, что произошло отключение.


1 - это произошло один раз, я описал выше, потом и по keepalive перестал падать.
2 - так как конфиг с обоих сторон одинаков, то сложно не согласится.

Попробую поменять ИОС. А там и до DMVPN рукой подать.

ps: А что будет, если бранч не погасит интерфейс, а просто станет недоступен? HQ поймет что туннель is down?


09 мар 2011, 10:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
По моему в данном типе туннелей функционала keepalive просто нет.
По наблюдениям, при настройке они поднимаются после поднятия isakmp между цисками, могу предположить что и падают они как только isakmp разваливается. А вот с keepalive isakmp уже можно играть.


09 мар 2011, 15:23
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
А смысл этих заморочек? Отдайте на откуп OSPF, проверку достижимости сети.


09 мар 2011, 15:25
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
Lomax писал(а):
По моему в данном типе туннелей функционала keepalive просто нет.
По наблюдениям, при настройке они поднимаются после поднятия isakmp между цисками, могу предположить что и падают они как только isakmp разваливается. А вот с keepalive isakmp уже можно играть.

Так они вроде как на месте:
isakmp keepalive 10


09 мар 2011, 15:48
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
imperorr писал(а):
А смысл этих заморочек? Отдайте на откуп OSPF, проверку достижимости сети.

Отдам. Просто хочется понять почему так происходит, причем всегда в одностороннем порядке.


09 мар 2011, 15:54
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Да, я говорил про isakmp keepalive. СОрри, что не уточнил.

Если первичный туннель (isakmp) не установился, то и кипэлайва никакого нет.


09 мар 2011, 23:38
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 26
Всем спасибо. Помогло обновление IOS на бранче: c870-advipservicesk9-mz.124-24.T.bin
Можно закрывать.


10 мар 2011, 12:33
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 20 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB