Anticisco https://anticisco.ru/forum/ |
|
Проблемы с ip inspect на Cisco router 1841 https://anticisco.ru/forum/viewtopic.php?f=8&t=1003 |
Страница 1 из 1 |
Автор: | 776 [ 08 сен 2010, 17:53 ] |
Заголовок сообщения: | Проблемы с ip inspect на Cisco router 1841 |
Добрый день! Возникла в одном из офисов странная проблема - в какой-то момент на всех компьютерах часть сайтов стали очень сильно тормозить. В основном это касалось скачивания файлов/страниц с зарубежных сайтов больше 50 кбайт. Как минимум по ftp (правда с других сайтов) качается на полной скорости. Роутер Cisco 1841, прошивка C1841-ADVIPSERVICESK9-M, Version 12.4(25c), канал ethernet 5 Мбит/сек от дочки Ростелекома, пользователей порядка 20. Т.к. я "не настоящий сварщик", то конфиг взял готовый (и 100% рабочий) какой-то из прошлых, разве что повыкидывал оттуда лишнее (в основном касающееся VPN). Тяжелых задач на роутере нет - кроме NAT ещё сбор статистики SNMP и netflow. Дневной трафик небольшой, порядка 500 Мб. Торрентов и прочего нет. Если включить ноут напрямую в WAN - скорость нормальная, если тут же в WAN включить 1841 и в его LAN тот же самый ноут (перенастроив ip-адрес, естественно) - тормозит как написано выше. Посмотрел снифером на LAN - как минимум при проблемной закачке пакеты начинают приходить совсем не по-порядку, в какой-то момент (может скачать 10 кб, может 130) начинают перезапрашиваться и на этом скачивание замирает. Методом перебора всех вариантов (вирусы, ошибки на интерфейсах, дуплекс, автоопределение скорости и много-много всего) выяснили, что при замене команды ip inspect FW in на строки в аксесс-листе permit tcp any any established и permit udp any eq domain any тормоза пропадают, все начинает работать как надо. Да, прошивка, на самом деле, до этого стояла 12.4(3f), было тоже самое. Поменял на более свежую, ничего не изменилось. Внимание вопрос - это же ненормально, в чем может быть ошибка? Как отладить? Или вообще забить, если работает в варианте permit established? Уже просто спортивный азарт найти причину, себе на на будущее. Заранее спасибо! P.S. Смотрю, вроде бы конфиги народ выкладывает, ниже прблемный конфиг, с замененными адресами: version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname cisco ! boot-start-marker boot system flash:c1841-advipservicesk9-mz.124-25c.bin boot-end-marker ! no logging buffered enable secret------------------------------ ! aaa new-model ! ! aaa authentication login default local ! aaa session-id common clock timezone Moscow 3 clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00 ip cef ! ip flow-cache timeout active 1 ip domain name work.local ip name-server 83.220.43.42 ip port-map ftp port tcp 21 list 10 ip inspect name FW tcp router-traffic ip inspect name FW udp router-traffic ip inspect name FW icmp router-traffic ip inspect name FW ftp ip inspect name FW http ip inspect name FW https ip inspect name FW dns ip inspect name FW pop3 ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! crypto pki trustpoint TP-self-signed-1744023115 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1744023115 revocation-check none rsakeypair TP-self-signed-1744023115 ! ! crypto pki certificate chain TP-self-signed-1744023115 certificate self-signed 01 nvram:IOS-Self-Sig#3535.cer username ---------------------------- ! ip ssh version 2 ! ! interface FastEthernet0/0 ip address 192.168.90.254 255.255.255.0 ip access-group FROMINSIDE in ip nat inside ip inspect FW in ip virtual-reassembly ip route-cache policy ip route-cache flow duplex auto speed auto ! interface FastEthernet0/1 ip address 010.010.010.010 255.255.255.252 ip access-group FROMOUTSIDE in ip nat outside ip virtual-reassembly ip route-cache flow duplex auto speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 010.010.010.1 ! ip flow-export source FastEthernet0/0 ip flow-export version 5 ip flow-export destination 192.168.90.252 9996 ! ip http server ip http secure-server ip nat inside source list NAT interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.90.252 8080 010.010.010.010 8080 extendable ip nat inside source static tcp 192.168.90.1 80 010.010.010.010 8081 extendable ip nat inside source static tcp 192.168.90.252 3389 010.010.010.010 33890 extendable ip nat inside source static tcp 192.168.90.108 3389 010.010.010.010 33898 extendable ! ip access-list extended FROMINSIDE permit tcp 192.168.90.0 0.0.0.255 any eq www 443 permit ip 192.168.90.0 0.0.0.255 host 020.020.020.020 deny tcp 192.168.90.0 0.0.0.255 any eq smtp deny tcp any any range 135 139 deny tcp any range 135 139 any deny udp any any range 135 netbios-ss deny udp any range 135 netbios-ss any permit udp 192.168.90.0 0.0.0.255 any permit tcp 192.168.90.0 0.0.0.255 any permit icmp any any deny ip any any log ip access-list extended FROMOUTSIDE permit icmp any any permit tcp any any eq 22 deny tcp any any range 135 139 deny tcp any range 135 139 any deny udp any any range 135 netbios-ss deny udp any range 135 netbios-ss any permit ip host 212.33.23.142 host 010.010.010.010 deny ip any any log ip access-list extended NAT permit ip 192.168.90.0 0.0.0.255 any ! logging trap debugging logging 192.168.90.252 access-list 10 permit 192.168.90.1 access-list 10 permit 192.168.90.40 0.0.0.7 access-list 10 permit 192.168.90.48 0.0.0.1 snmp-server user NEWCOMM NEWCOMM v3 snmp-server group NEWCOMM v3 noauth match exact notify NEWCOMM3 snmp-server community NEWCOMM RO 10 snmp-server ifindex persist snmp-server host 192.168.90.252 version 3 noauth NEWCOMM ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 ! scheduler allocate 20000 1000 ntp clock-period 17180324 ntp server 128.105.39.11 end |
Автор: | Ilya [ 08 сен 2010, 18:43 ] |
Заголовок сообщения: | Re: Проблемы с ip inspect на Cisco router 1841 |
sh proc cpu sorted? |
Автор: | 776 [ 08 сен 2010, 19:18 ] |
Заголовок сообщения: | Re: Проблемы с ip inspect на Cisco router 1841 |
Сейчас лога не осталось, но когда смотрел при поисках - загрузка проца была околонулевая, свободная память так же имела место быть. |
Автор: | Fedia [ 08 сен 2010, 21:21 ] |
Заголовок сообщения: | Re: Проблемы с ip inspect на Cisco router 1841 |
Привет, Юр! Какие знакомые названия в конфиге Вот это ip inspect name FW http ip inspect name FW https попробуй убрать и расскажи результат |
Автор: | 776 [ 08 сен 2010, 21:32 ] |
Заголовок сообщения: | Re: Проблемы с ip inspect на Cisco router 1841 |
(скромно шаркает ножкой) Ну в общем да, есть такое Сколько с тех пор воды утекло - жуть. Завтра попробую убрать, отчитаюсь (хотя ftp в конфиге присутствует и работает на-ура, да и в оригинале http точно был, https по-моему после появился, не помню зачем). |
Автор: | 776 [ 09 сен 2010, 10:02 ] |
Заголовок сообщения: | Re: Проблемы с ip inspect на Cisco router 1841 |
Итак, отчитываюсь. В момент проблемы загрузка проца CPU utilization for five seconds: 1%/0%; one minute: 1%; five minutes: 1% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 26 24 122 196 0.32% 0.03% 0.01% 194 Virtual Exec 60 18816 35877 524 0.16% 0.19% 0.17% 0 IP Input 84 16 90926 0 0.08% 0.01% 0.00% 0 CEF process 98 80 2541 31 0.08% 0.01% 0.00% 0 TCP Timer 178 8 118446 0 0.08% 0.03% 0.00% 0 IP NAT Ager 29 24 25647 0 0.08% 0.00% 0.00% 0 Net Background Убрал ip inspect name FW http и ip inspect name FW https ...и все заработало. Что это было, Холмс? Сейчас посмотрел внимательно на старые конфиги - в сделаных тобой http и https не было ( ! ). Зато было в конфигах на предыдущей работе... где не было привязано к интерфейсу. Изначально просмотрел этот момент. Каюсь |
Автор: | 776 [ 09 сен 2010, 10:03 ] |
Заголовок сообщения: | Re: Проблемы с ip inspect на Cisco router 1841 |
Да, Серег - спасибо огромадное! |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |