Обьединение 2-х сетей через IPSEC тунель

[m0ps]

Верный путь тут -
ospf

опять-же на 857-х его нет, только rip и eigrp

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

тогда да

[m0ps]

наступил на грабли:
в сети есть сервант, который посылает пакеты с битом DF, доступа к нему нет. клиентское приложение в определённой ситуации не может связаться с сервером, дело как я понимаю связано с mtu. простым

Код: Выделить всё

crypto ipsec df-bit clear

на обоих роутерах задача не решается... куда копать??
P.S. и еще такой момент, если пытаюсь из сети пинговать локальный интерфейс роутера:

Код: Выделить всё

ping  -f  -l 1472 172.16.106.244

получаю ответ что нужна фрагментация, но установлен запрещающий флаг. только при размере пакета 1272 получаю положительный ответ. как такое может быть, ведь я пингую локальный интерфейс а не удаленный?? насколько я понимаю размера пакета может быть и максимальным.. или я не прав?

[zingel]

в аське сегодня пообщаемся

[m0ps]

после неравного боя все-таки было найдено решение, заключается оно в применении ip policy route-map для очистки df бита пакетов. решение (вдруг кому пригодиться):

Код: Выделить всё

.......................................
!
interface fa 0/1.122
ip policy route-map clear-df-bit 
!
.......................................
!
route-map clear-df-bit permit 10 
	match ip address 111 
	set ip df 0 
!
......................................
!
access-list 111 permit tcp any any 
!
......................................

аксесс-лист можно и "по-строже", здесь я привел его для примера.

[zingel]

на уровне листов...... а какой там сейчас proc cpu usage?

[m0ps]

на уровне листов......

а есть другие варианты?

а какой там сейчас proc cpu usage?

с центральной cpu proc history:

Код: Выделить всё

100                 *                             *
 90                  *                             *
 80                  *   **                * *    **
 70                  **  **                * *    **
 60                  **  ****              ***    **
 50                  **  ****              ***    **
 40                  **  ****              ***    **
 30           *      **  ****              ***  * **  *                   *
 20 **  * *  *** * ************  *  * * ** ********** **  *    ** ****   ***
 10 #****************##**##******************#*****#************************
   0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
             0    5    0    5    0    5    0    5    0    5    0    5    0
                   CPU% per hour (last 72 hours)
                  * = maximum CPU%   # = average CPU%

[zingel]

В том то и дело, что обновление и acl, а относительно cpu

Код: Выделить всё

sh proc cpu

[m0ps]

В том то и дело, что обновление и acl, а относительно cpu

не понял...

[zingel]

это - не подтвержденный баг, в новом релизе он будет исправлен, а пока остается юзать acl или переделывать топологию

[m0ps]

а... понятно, спасибо за инфу... будем'с ждать нового релиза ios'a а потом пробовать.