Anticisco https://anticisco.ru/forum/ |
|
CISCO IPSEC проблемы с зависшими коннектами https://anticisco.ru/forum/viewtopic.php?f=8&t=1868 |
Страница 1 из 1 |
Автор: | lexamot [ 06 июн 2011, 11:11 ] |
Заголовок сообщения: | CISCO IPSEC проблемы с зависшими коннектами |
Здравствуйте! Есть 2811 c 2800nm-advipservicesk9-mz.124-25d Был поднят стабильно работающий целый год IPSEC туннель в другой офис. Вдруг, появились проблемы с таймаутами при подключении на компьютер, который доступен через IPSEC. Сверили все параметры - всё зеркально идентично! Конфигурацию не изменяли. Вывод sh cry session remote 1.1.1.1 выдал страшную картину: IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 57132 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 53563 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 59683 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 51523 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map ---- ВЫРЕЗАНО --- IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 59428 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 55093 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 53818 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map IPSEC FLOW: permit 6 172.27.27.27/255.255.255.248 port 55858 host 172.22.22.222 port 30001 Active SAs: 0, origin: crypto map Нескончаемый список IPSEC FLOW, которые не закрываются? Получается каждый коннект к компьютеру порождает новый IPSEC FLOW, который так и продолжает висеть даже после закрытия TCP соединения. Куда можно посмотреть? |
Автор: | Fedia [ 07 июн 2011, 23:23 ] |
Заголовок сообщения: | Re: CISCO IPSEC проблемы с зависшими коннектами |
У вас наверно в crypto ACL стоит что-нить типа permit ip any any ? Очень похоже на такое поведение. Как только циска не знает, что же ей матчить, она каждую сессию отдельным flow пишет. |
Автор: | lexamot [ 07 июн 2011, 23:26 ] |
Заголовок сообщения: | Re: CISCO IPSEC проблемы с зависшими коннектами |
Здравствуйте! правило имеет вид: permit tcp host 10.10.10.1 gt 1024 host 10.11.11.1 eq 1234 |
Автор: | Fedia [ 07 июн 2011, 23:49 ] |
Заголовок сообщения: | Re: CISCO IPSEC проблемы с зависшими коннектами |
Рекомендую заменить на permit ip h 10.10 h 10.11 А трафик резать списком доступа, а не правилом IPSec СТаринное правило: чем "крупнее" (уровня L3, а не L4) заголовок в описываемом интересном трафике, тем правильнее работает IPSec. НАсколько я помню, раньше вообще запрещалось что-либо кроме IP писать. Да, много флоу из-за gt 1024 |
Автор: | lexamot [ 07 июн 2011, 23:57 ] |
Заголовок сообщения: | Re: CISCO IPSEC проблемы с зависшими коннектами |
Спасибо! Утром с коллегой попробуем подкорректировать правило удалив gt 1024 |
Автор: | lexamot [ 09 июн 2011, 10:51 ] |
Заголовок сообщения: | Re: CISCO IPSEC проблемы с зависшими коннектами |
Урра! Получилось! Убрали gt 1024 и теперь поднимается только одна IPSEC сессия в рамках которой ходит трафик. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |