Страница 2 из 2

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-17 11:07:18
m0ps
zingel писал(а):Верный путь тут -
ospf
опять-же на 857-х его нет, только rip и eigrp

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-17 11:07:49
zingel
тогда да

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-20 17:31:29
m0ps
наступил на грабли:
в сети есть сервант, который посылает пакеты с битом DF, доступа к нему нет. клиентское приложение в определённой ситуации не может связаться с сервером, дело как я понимаю связано с mtu. простым

Код: Выделить всё

crypto ipsec df-bit clear
на обоих роутерах задача не решается... куда копать?? :st:
P.S. и еще такой момент, если пытаюсь из сети пинговать локальный интерфейс роутера:

Код: Выделить всё

ping  -f  -l 1472 172.16.106.244
получаю ответ что нужна фрагментация, но установлен запрещающий флаг. только при размере пакета 1272 получаю положительный ответ. как такое может быть, ведь я пингую локальный интерфейс а не удаленный?? насколько я понимаю размера пакета может быть и максимальным.. или я не прав?

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-21 8:20:44
zingel
в аське сегодня пообщаемся

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-21 15:35:33
m0ps
после неравного боя все-таки было найдено решение, заключается оно в применении ip policy route-map для очистки df бита пакетов. решение (вдруг кому пригодиться):

Код: Выделить всё

.......................................
!
interface fa 0/1.122
ip policy route-map clear-df-bit 
!
.......................................
!
route-map clear-df-bit permit 10 
	match ip address 111 
	set ip df 0 
!
......................................
!
access-list 111 permit tcp any any 
!
......................................
аксесс-лист можно и "по-строже", здесь я привел его для примера.

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-21 16:05:22
zingel
на уровне листов...... а какой там сейчас proc cpu usage? =)

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-22 9:21:01
m0ps
на уровне листов......
а есть другие варианты?
а какой там сейчас proc cpu usage?
с центральной cpu proc history:

Код: Выделить всё

100                 *                             *
 90                  *                             *
 80                  *   **                * *    **
 70                  **  **                * *    **
 60                  **  ****              ***    **
 50                  **  ****              ***    **
 40                  **  ****              ***    **
 30           *      **  ****              ***  * **  *                   *
 20 **  * *  *** * ************  *  * * ** ********** **  *    ** ****   ***
 10 #****************##**##******************#*****#************************
   0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.
             0    5    0    5    0    5    0    5    0    5    0    5    0
                   CPU% per hour (last 72 hours)
                  * = maximum CPU%   # = average CPU%

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-23 12:00:32
zingel
В том то и дело, что обновление и acl, а относительно cpu

Код: Выделить всё

sh proc cpu

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-23 12:46:44
m0ps
zingel писал(а):В том то и дело, что обновление и acl, а относительно cpu
не понял...

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-24 8:38:19
zingel
это - не подтвержденный баг, в новом релизе он будет исправлен, а пока остается юзать acl или переделывать топологию

Re: Обьединение 2-х сетей через IPSEC тунель

Добавлено: 2008-10-24 8:56:06
m0ps
а... понятно, спасибо за инфу... будем'с ждать нового релиза ios'a а потом пробовать.