VPF::Cisco & Jeniper Netscreen - Форум программистов

StealtH

Дата 11.6.2008, 08:44 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 124
Регистрация: 16.9.2004

Репутация: нет
Всего: нет

Есть роутер 2801 с модулем аппаратного шифрования VPN - это на моей стороне. На другой стороне Jeniper NetScreen NS 204(v5.4.0r4.0).

Между ними через интернет создан туннель по которому ходят несколько десятков сетей.
Периодически возникает следующего рода проблема: все сети работают хорошо в обе стороны, но одна сетка постоянно "вываливается", у меня в логи при запуске пинга пишет следующее:

Код

1747772: *Jun 10 11:05:27.237 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored 
1747773: *Jun 10 11:05:28.589 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored 
1747775: *Jun 10 11:05:30.089 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored 
1747777: *Jun 10 11:05:31.589 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored 
1747778: *Jun 10 11:05:33.089 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored 
1747780: *Jun 10 11:05:34.589 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored 
1747781: *Jun 10 11:05:36.089 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored 
1747782: *Jun 10 11:05:37.589 UTC: IPSEC(sa_initiate): ACL = deny; sa request ignored

При этом остальные сети через туннель ходят нормально, ACL, который "заворачивает" трафик в туннель регистрирует "вхождения" пакетов, но ответа нет от удаленного хоста, при это хост на той стороне реально живой. Проблема решается когда с удаленного хоста пытаются пинговать какой-нить хост в моей подсети. Логи Нетскрина предоставить к сожалению не могу, т.к. эта железка не в моей компетенции и доступа мне никто к ней никогда не даст.
Каковы могут быть причины такого рода глюка?

Код

Cisco IOS Software, 2801 Software (C2801-ADVIPSERVICESK9-M), Version 12.4(18), RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Fri 30-Nov-07 18:21 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

Router1 uptime is 8 weeks, 5 days, 32 minutes
System returned to ROM by power-on
System image file is "flash:c2801-advipservicesk9-mz.124-18.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
[email protected].

Cisco 2801 (revision 6.0) with 116736K/14336K bytes of memory.
Processor board ID FCZ111823MZ
6 FastEthernet interfaces
1 Channelized E1/PRI port
1 Virtual Private Network (VPN) Module
1 DSP, 16 Voice resources
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)

ZeeLax

Дата 11.6.2008, 18:29 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 19
Всего: 88

Jeniper = Juniper?

--------------------

Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson

StealtH

Дата 16.6.2008, 13:48 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 124
Регистрация: 16.9.2004

Репутация: нет
Всего: нет

Цитата(ZeeLax @ 11.6.2008, 18:29)

Jeniper = Juniper?

Да, именно так, сорри за ошибку

ZeeLax

Дата 16.6.2008, 18:09 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 19
Всего: 88

Дайте конфиг.

--------------------

Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson

StealtH

Дата 17.6.2008, 08:54 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 124
Регистрация: 16.9.2004

Репутация: нет
Всего: нет

Цитата(ZeeLax @ 16.6.2008, 18:09)

Дайте конфиг.

Конфиг циски или нетскрина?

ZeeLax

Дата 17.6.2008, 18:08 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 19
Всего: 88

Циски. Джунипер, как я вижу, не в вашей компетенции.

--------------------

Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson

StealtH

Дата 18.6.2008, 12:04 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 124
Регистрация: 16.9.2004

Репутация: нет
Всего: нет

Код



crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2

crypto isakmp key cryptokey address xxx.xxx.xxx.xxx

crypto ipsec transform-set tunnel_tr_set esp-3des esp-md5-hmac

crypto map ipsec-vpn 50 ipsec-isakmp
 description Tunnel to Remote_net
 set peer xxx.xxx.xxx.xxx
 set transform-set tunnel_tr_set
 set pfs group2
 match address 163

access-list 163 permit ip 192.168.0.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 163 permit ip 192.168.1.0 0.0.0.255 192.168.101.0 0.0.0.255
access-list 163 permit ip 192.168.2.0 0.0.0.255 192.168.102.0 0.0.0.255
access-list 163 permit ip 192.168.3.0 0.0.0.255 192.168.103.0 0.0.0.255

Все сети ходят через туннель нормально, но одна из них постоянно отваливается с записями в логах приведенных выше.

ZeeLax

Дата 18.6.2008, 18:39 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 19
Всего: 88

Полазил по сайту цискарей - похоже, стоит понизить версию IOS'а ниже 12.4(12).

--------------------

Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson

StealtH

Дата 24.6.2008, 09:15 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 124
Регистрация: 16.9.2004

Репутация: нет
Всего: нет

Цитата(ZeeLax @ 18.6.2008, 18:39)

Полазил по сайту цискарей - похоже, стоит понизить версию IOS'а ниже 12.4(12).

Спасибо за совет smile

Блин, но опасно это, очень много сетей ходит через роутер, голову оторвут если ходя бы несколько из них упадет, слишком критичны некоторые из них, но пока что глюк не проявляется, будем ждать очередного глюка, чтобы "под шумок" провести эксперимент.

0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| Сетевые технологии \| Следующая тема »