The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"странные проблемы с маршрутизацией/dmvpm/3площадки"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от antrocon on 24-Дек-12, 11:38 
Доброго времени суток!

Есть 3 площадки: цод dc (cisco3945), удаленные офисы loc1 (cisco3945) и loc2 (cisco1841). В цод один isp, в офисах - по два, причем из loc1 в dc через одного из провайдеров проброшен прямой vlan (l2-vpn, если не ошибаюсь). На всех площадках после цисок в дмз стоит шлюз/фаерволл, за которым уже своя локалка. Мне нужно соединить эти площадки - офисы должны подключатся к цоду gre+ipsec туннелями, между всеми площадками должен ходить траффик.
Идея понятная - в цоде dm-vpn hub, loc2 - dm-vpn spoke + even-manager для переключения на другой isp в случае падения, loc1 - dm-vpn spoke + обычный gre+ipsec туннель через прямой vlan; по всем туннелям - eigrp для маршрутизации, сети за гейтами - через redistribute route. Конфиги я написал, собрал 1-в-1 стенд в gns3 и проверил все мельчайшие детали - в gns3 все работало замечательно.
В реальности, как несложно догадаться, возникла непонятная мне проблема:
Все туннели успешно поднялись, eigrp получил все маршруты - до сетей dc, до сетей loc1, до сетей loc2, но между собой пингуется все, но только вплоть до дмз интерфейса (192.168.5.1) циски loc2, т.е. внутренняя сеть loc2 или дмз интерфейс шлюза (192.168.5.2) недоступны ни из dc, ни из loc1. При этом с самой циски loc2 - все пингуется: и дмз, и локалка, и остальные площадки. Более того - tcpdump-ом на шлюзе я вижу входящие пинги и даже исходящие ответы, но debug ip icmp на циске этих ответов не показывает.
Что самое странное - если с loc2 поднять туннель не до dc, а до loc1 (не важно, dm-vpn или обычный туннель) - то все работает, все площаки пингуют друг друга, траффик ходит. Но это плохой вариант, т.к. loc2 зависит от интернета в loc1.
Прошу помощи разобраться в этих чудесах!

конфиги цисок:
dc:


!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname dc
!
boot-start-marker
boot-end-marker
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
redundancy
!         
csdb tcp synwait-time 30
csdb tcp idle-time 3600
csdb tcp finwait-time 5
csdb tcp reassembly max-memory 1024
csdb tcp reassembly max-queue-length 16
csdb udp idle-time 30
csdb icmp idle-time 10
csdb session max-session 65535
! 
crypto isakmp policy 5
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key somekey address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac 
 mode transport
!
crypto ipsec profile myprofile
 set transform-set vpn1 
 set pfs group1
!
bridge irb
!
interface Tunnel1
 ip address 192.168.3.1 255.255.255.0
 no ip redirects
 no ip next-hop-self eigrp 1020
 ip nhrp map multicast dynamic
 ip nhrp network-id 111
 no ip split-horizon eigrp 1020
 tunnel source GigabitEthernet0/2.735
 tunnel mode gre multipoint
 tunnel key 111
 tunnel protection ipsec profile myprofile
!
interface Tunnel2
 ip address 192.168.4.1 255.255.255.252
 no ip split-horizon eigrp 1020
 tunnel source 192.168.1.1
 tunnel destination 192.168.1.2
 tunnel key 222
 tunnel protection ipsec profile myprofile
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.11
 encapsulation dot1Q 11
 bridge-group 1
!
interface GigabitEthernet0/0.12
 encapsulation dot1Q 12
 bridge-group 2
!
interface GigabitEthernet0/0.13
 encapsulation dot1Q 13
 bridge-group 3
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.11
 encapsulation dot1Q 11
 bridge-group 1
!
interface GigabitEthernet0/1.12
 encapsulation dot1Q 12
 bridge-group 2
!
interface GigabitEthernet0/1.13
 encapsulation dot1Q 13
 bridge-group 3
!
interface GigabitEthernet0/2
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/2.735
 description <<<inet>>>
 encapsulation dot1Q 735
 ip address xxx.xxx.xxx.xx2 255.255.255.224 secondary
 ip address xxx.xxx.xxx.xxx 255.255.255.224
 ip nat outside
!
interface GigabitEthernet0/2.970
 description <<<dc-loc1-vlan>>>
 encapsulation dot1Q 970
 ip address 192.168.1.1 255.255.255.252
!
interface BVI1
 ip address 192.168.11.1 255.255.255.0
!
interface BVI2
 ip address 192.168.7.1 255.255.255.0
 ip nat inside
!
interface BVI3
 ip address 192.168.8.1 255.255.255.0
 ip nat inside
!
router eigrp 1020
 variance 2
 redistribute static route-map reigrp
 network 192.168.3.0
 network 192.168.4.0 0.0.0.3
 network 192.168.7.0
 network 192.168.8.0
 network 192.168.11.0
 no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xgw
ip route 192.168.10.0 255.255.255.0 192.168.7.2
ip route 192.168.160.0 255.255.224.0 192.168.8.2
ip nat translation timeout 900
ip nat translation tcp-timeout 900
ip nat inside source static 192.168.7.2 xxx.xxx.xxx.xx2
!
no ip http server
no ip http secure-server
!
ip sla responder
access-list 10 remark <<<allowed to configure>>>
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 remark <<<redistribute routes>>>
access-list 20 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.160.0 0.0.31.255
!
route-map reigrp permit 10
 match ip address 20
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
bridge 2 protocol ieee
bridge 2 route ip
bridge 3 protocol ieee
bridge 3 route ip
!
scheduler allocate 20000 1000
!
end

loc1:

!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname loc1
!
boot-start-marker
boot-end-marker
!
crypto pki token default removal timeout 0
!
no ipv6 cef
ip cef
!
multilink bundle-name authenticated
!
redundancy
!
track 30 ip sla 3 reachability
!
track 40 ip sla 4 reachability
! 
crypto isakmp policy 5
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key somekey address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac 
 mode transport
!
crypto ipsec profile myprofile
 set transform-set vpn1 
 set pfs group1
!
interface Tunnel1
 ip address 192.168.4.2 255.255.255.252
 tunnel source 192.168.1.2
 tunnel destination 192.168.1.1
 tunnel key 222
 tunnel protection ipsec profile myprofile
!
interface Tunnel2
 ip address 192.168.3.4 255.255.255.0
 ip nhrp map 192.168.3.1 xxx.xxx.xxx.xxx
 ip nhrp map multicast xxx.xxx.xxx.xxx
 ip nhrp network-id 111
 ip nhrp nhs 192.168.3.1
 tunnel source GigabitEthernet0/2
 tunnel mode gre multipoint
 tunnel key 111
 tunnel protection ipsec profile myprofile
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.100
 description <<< Lan-DMZ >>>
 encapsulation dot1Q 100
 ip address 172.16.250.1 255.255.255.248
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly in
 ip policy route-map inet
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.100
 description <<< isp1 >>>
 encapsulation dot1Q 2312
 ip address yyy.yyy.aaa.aaa 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
!
interface GigabitEthernet0/1.101
 description <<< loc1-dc-vlan >>>
 encapsulation dot1Q 970
 ip address 192.168.1.2 255.255.255.252
!
interface GigabitEthernet0/2
 description <<< isp2 >>>
 ip address yyy.yyy.bbb.bbb 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
router eigrp 1020
 variance 2
 network 172.16.250.0 255.255.255.248
 network 192.168.4.0 255.255.255.252
 network 192.168.3.0 255.255.255.0
 redistribute static route-map reigrp
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat translation timeout 300
ip nat translation tcp-timeout 300
ip nat inside source route-map nat-eltel interface GigabitEthernet0/1.100 overload
ip nat inside source route-map nat-mcom interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 yyy.yyy.bbb.bgw 20 track 30
ip route 0.0.0.0 0.0.0.0 yyy.yyy.aaa.agw 10 track 40
ip route 10.0.0.0 255.0.0.0 172.16.250.2
!
ip sla responder
ip sla 3
 icmp-echo yyy.yyy.bbb.bgw source-interface GigabitEthernet0/2
 threshold 100
 frequency 5
ip sla schedule 3 life forever start-time now
ip sla 4
 icmp-echo yyy.yyy.aaa.agw source-interface GigabitEthernet0/1.100
 threshold 100
 frequency 5
ip sla schedule 4 life forever start-time now
access-list 10 remark <<<full lan&dmz>>>
access-list 10 permit 10.0.0.0 0.255.255.255
access-list 10 permit 172.16.250.0 0.0.0.7
access-list 20 remark <<<redistribute routes>>>
access-list 20 permit 10.0.0.0 0.255.255.255
access-list 30 remark <<<route through isp2>>>
access-list 30 permit 172.16.250.2
access-list 30 permit 10.0.13.0 0.0.0.255
access-list 30 permit 10.0.10.0 0.0.0.255
access-list 30 permit 10.0.7.0 0.0.0.255
access-list 30 permit 10.0.14.0 0.0.0.255
access-list 80 remark <<< exclude from isp2 list >>>
access-list 80 permit 10.0.10.2
access-list 80 permit 10.0.10.19
access-list 80 permit 10.0.10.21
access-list 80 permit 10.0.7.59
access-list 150 remark <<<route through vpn>>>
access-list 150 permit ip any 192.168.0.0 0.0.255.255
access-list 150 permit ip any 172.16.0.0 0.0.255.255
!
route-map inet deny 10
 match ip address 150
!
route-map inet permit 20
 match ip address 80
 set ip next-hop yyy.yyy.aaa.agw
!
route-map inet permit 30
 match ip address 30
 set ip next-hop verify-availability yyy.yyy.bbb.bgw 10 track 30
 set ip next-hop verify-availability yyy.yyy.aaa.agw 20 track 40
!         
route-map reigrp permit 10
 match ip address 20
!
route-map nat-isp1 permit 10
 match ip address 10
 match interface GigabitEthernet0/1.100
!
route-map nat-isp2 permit 10
 match ip address 10
 match interface GigabitEthernet0/2
!
control-plane
!
scheduler allocate 20000 1000
end

loc2:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname loc2
!
boot-start-marker
boot-end-marker
!
ip cef
!
multilink bundle-name authenticated
!
crypto isakmp policy 5
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key somekey address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set vpn1 esp-3des esp-md5-hmac 
 mode transport
!
crypto ipsec profile myprofile
 set transform-set vpn1 
 set pfs group1
!
!
track 30 ip sla 3 reachability
 delay down 15 up 15
!
track 40 ip sla 4 reachability
!
interface Tunnel1
 ip address 192.168.3.2 255.255.255.0
 ip nhrp map 192.168.3.1 xxx.xxx.xxx.xxx
 ip nhrp map multicast xxx.xxx.xxx.xxx
 ip nhrp network-id 111
 ip nhrp nhs 192.168.3.1
 tunnel source vlan2
 tunnel mode gre multipoint
 tunnel key 111
 tunnel protection ipsec profile myprofile
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0/0
 switchport access vlan 2
!
interface FastEthernet0/0/1
 switchport access vlan 3
 no cdp enable
!
interface FastEthernet0/0/2
 switchport access vlan 4
!
interface FastEthernet0/0/3
!
interface Vlan1
 no ip address
!
interface Vlan2
 ip address zzz.zzz.aaa.aaa 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
interface Vlan3
 ip address zzz.zzz.bbb.bbb 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
interface Vlan4
 ip address 192.168.5.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1380
 ip policy route-map out
!
router eigrp 1020
  no auto-summary 
  network 192.168.3.0 255.255.255.0
  network 192.168.5.0 255.255.255.252
  redistribute static route-map reigrp
  variance 2
  traffic-share balanced
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 zzz.zzz.aaa.agw
ip route 0.0.0.0 0.0.0.0 zzz.zzz.bbb.bgw
ip route 192.168.2.0 255.255.255.0 192.168.5.2
no ip http server
no ip http secure-server
!         
ip nat translation timeout 900
ip nat translation tcp-timeout 900
ip nat inside source route-map nat-isp1 interface Vlan2 overload
ip nat inside source route-map nat-isp2 interface Vlan3 overload
!
ip sla 3  
 icmp-echo zzz.zzz.aaa.agw source-interface Vlan2
 threshold 100
 frequency 5
ip sla schedule 3 life forever start-time now
ip sla 4
 icmp-echo zzz.zzz.bbb.bgw source-interface Vlan3
 threshold 100
 frequency 5
ip sla schedule 4 life forever start-time now
access-list 10 remark <<<redistribute through eigrp>>>
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 23 remark <<<full lan&dmz>>>
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 permit 192.168.5.0 0.0.0.3
access-list 150 remark <<<route through vpn>>>
access-list 150 permit ip any 192.168.0.0 0.0.255.255
access-list 150 permit ip any 172.16.0.0 0.0.255.255
access-list 150 permit ip any 10.0.0.0 0.255.255.255
!         
route-map mout deny 10
 match ip address 150
!
route-map mout permit 20
 set ip next-hop verify-availability zzz.zzz.aaa.agw 10 track 30
 set ip next-hop verify-availability zzz.zzz.bbb.bgw 20 track 40
!
route-map nat-isp1 permit 10
 match ip address 23
 match interface Vlan2
!
route-map nat-isp2 permit 10
 match ip address 23
 match interface Vlan3
!
route-map reigrp permit 10
 match ip address 10
!
control-plane
!
event manager applet TUNNEL-ISP1 
 event track 30 state up
 action 1.0 cli command "enable"
 action 1.1 cli command "config t"
 action 1.2 cli command "interface Tunnel1"
 action 1.3 cli command "shutdown"
 action 1.4 cli command "tunnel source vlan2"
 action 1.5 cli command "ip address 192.168.3.2 255.255.255.0"
 action 1.6 cli command "no shutdown"
 action 1.7 cli command "do clear crypto isakmp"
event manager applet TUNNEL-ISP2 
 event track 30 state down
 action 1.0 cli command "enable"
 action 1.1 cli command "config t"
 action 1.2 cli command "interface Tunnel1"
 action 1.3 cli command "shutdown"
 action 1.4 cli command "tunnel source vlan3"
 action 1.5 cli command "ip address 192.168.3.3 255.255.255.0"
 action 1.6 cli command "no shutdown"
 action 1.7 cli command "do clear crypto isakmp"
!
scheduler allocate 20000 1000
end

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от spiegel (ok) on 24-Дек-12, 18:02 
извне 192.168.5.1 пингуется, а 192.168.5.2 уже нет? Шлюз у последнего правильно прописан?
на loc2:
interface Vlan4
  ip policy route-map out - где он?
на туннелях я бы добавил ip mtu 1416
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от antrocon on 24-Дек-12, 18:55 
> извне 192.168.5.1 пингуется, а 192.168.5.2 уже нет? Шлюз у последнего правильно прописан?

да, из dc, loc1 - 192.168.5.1 пингуется, а 5.2 уже нет. шлюз у 5.2 правильный - 5.1, тспдамп на 5.2 видит пинги и даже реплаи.
между собой 192.168.5.1 и 192.168.5.2 пингуются; в интернет 192.168.5.2 и локалка за ним - нормально выходят через 192.168.5.1
если туннель делать до loc1, а не до dc, не меняя ничего кроме этого - все работает, все пингуется отовсюду.

> на loc2:
> interface Vlan4
>   ip policy route-map out - где он?

эт я опечатался при "обсфукации", в реальности ip policy route map mout, роут мап mout там описан.

> на туннелях я бы добавил ip mtu 1416

но банальные пинги 64-80 байт-то в любом случае должны проходить

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от spiegel (ok) on 24-Дек-12, 19:43 
>[оверквотинг удален]
> ним - нормально выходят через 192.168.5.1
> если туннель делать до loc1, а не до dc, не меняя ничего
> кроме этого - все работает, все пингуется отовсюду.
>> на loc2:
>> interface Vlan4
>>   ip policy route-map out - где он?
> эт я опечатался при "обсфукации", в реальности ip policy route map mout,
> роут мап mout там описан.
>> на туннелях я бы добавил ip mtu 1416
> но банальные пинги 64-80 байт-то в любом случае должны проходить

насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и  trace с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но он не всегда все пакеты показывает. Есть возможность подключить на loc2 к f0/0/0 комп с программой типа  Wireshark ? Что показывает sh ip rout в loc2?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от antrocon on 25-Дек-12, 12:04 
>>[оверквотинг удален]
> насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с
> обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и  trace

пинг проходит
> с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но он

затыкается после 192.168.5.1
> не всегда все пакеты показывает. Есть возможность подключить на loc2 к

debug ip icmp пробовал включать - пинги до 5.1 он показывал, до 5.2 - уже нет, ни пинги, ни реплаи.
> f0/0/0 комп с программой типа  Wireshark ? Что показывает sh

подключить комп возможности нет, площадка в другом городе, админов или хотя бы грамотных людей там нет.
> ip rout в loc2?

по памяти - 192.168.3.1 был directly connected, tunnel1, 10.0.0.0/8 и остальные сети - D EX via 192.168.3.1, tunnel1, 192.168.5.0/30 - directly connected, vlan4

сейчас чтобы хоть как-то работало у меня подняты туннели до loc1, поэтому точно не скажу, но когда изначально проблема была - я эти моменты смотрел.
этой или следующей ночью снова попробую конфигурацию с туннелями до dc и отпишусь по точным результатам.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от antrocon on 27-Дек-12, 10:32 
>>[оверквотинг удален]

сделал ночные тесты, результаты ниже

> насчет mtu согласен, это на случай, когда трафик пойдет. Похоже трабл с
> обратным путем. Что показывает ping 192.168.8.1 source 192.168.5.1 и  trace
> с машины 192.168.5.2? Можно параллельно debug ip icmp включить, но он

пинг с loc2:


loc2#ping 192.168.8.1 so 192.168.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.8.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.5.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/33/36 ms

пинг с dc:

dc#ping 192.168.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/36 ms
dc#ping 192.168.5.2 so 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.5.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.3.1
.....
Success rate is 0 percent (0/5)

трейс и таблица маршрутизции с 5.2 (loc2-gw):

loc2-gw# traceroute -n 192.168.3.1
traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 40 byte packets
 1  192.168.5.1 (192.168.5.1)  1.691 ms  1.623 ms  1.868 ms
 2  * * *
 3  * * *
 4  *^C
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.5.1        UGS     16846 230707321    xl0
127.0.0.1          link#4             UH          0  3616796    lo0
192.168.2.0/24     link#2             U        3036 568740143    sk0
192.168.2.237      link#2             UHS         0 312317212    lo0
192.168.5.0/30     link#1             U         586 16392446    xl0
192.168.5.2        link#1             UHS         0  2720661    lo0

> не всегда все пакеты показывает. Есть возможность подключить на loc2 к
> f0/0/0 комп с программой типа  Wireshark ? Что показывает sh
> ip rout в loc2?

вполне правильную картину, на мой взгляд (tunnel3 - это tunnel1 из моего изначального конфига, просто сейчас там еще 2 туннеля tun1,tun2 до loc1 в shutdown-е):


Gateway of last resort is zzz.zzz.aaa.agw to network 0.0.0.0
D EX 192.168.122.0/24 [170/28160256] via 192.168.3.1, 00:00:50, Tunnel3
D    192.168.8.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3
D EX 192.168.10.0/24 [170/27008000] via 192.168.3.1, 00:00:50, Tunnel3
     172.16.0.0/29 is subnetted, 1 subnets
D       172.16.250.0 [90/28160256] via 192.168.3.1, 00:00:50, Tunnel3
D    192.168.11.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3
     192.168.4.0/30 is subnetted, 3 subnets
D       192.168.4.8 [90/29440000] via 192.168.3.1, 00:00:50, Tunnel3
D       192.168.4.4 [90/29440000] via 192.168.3.1, 00:00:50, Tunnel3
D       192.168.4.0 [90/28160000] via 192.168.3.1, 00:00:50, Tunnel3
     yyy.yyy.aaa.0/32 is subnetted, 1 subnets
S       yyy.yyy.aaa.aaa [1/0] via zzz.zzz.aaa.agw
     192.168.5.0/30 is subnetted, 1 subnets
C       192.168.5.0 is directly connected, Vlan4
D EX 10.0.0.0/8 [170/28160256] via 192.168.3.1, 00:00:50, Tunnel3
     zzz.zzz.aaa.0/29 is subnetted, 1 subnets
C       zzz.zzz.aaa.aaa is directly connected, Vlan2
D    192.168.7.0/24 [90/27008000] via 192.168.3.1, 00:00:50, Tunnel3
     zzz.zzz.bbb.0/29 is subnetted, 1 subnets
C       zzz.zzz.bbb.bbb is directly connected, Vlan3
     yyy.yyy.bbb.0/32 is subnetted, 1 subnets
S       yyy.yyy.bbb.bbb [1/0] via zzz.zzz.bbb.bgw
S    192.168.2.0/24 [1/0] via 192.168.5.2
C    192.168.3.0/24 is directly connected, Tunnel3
S*   0.0.0.0/0 [1/0] via zzz.zzz.aaa.agw
               [1/0] via zzz.zzz.bbb.bgw
D EX 192.168.160.0/19 [170/27008000] via 192.168.3.1, 00:00:50, Tunnel3

для сравнения картина когда туннели подняты 2 туннеля до loc1 (каждый через своего провайдера):

Gateway of last resort is zzz.zzz.aaa.agw to network 0.0.0.0
D EX 192.168.122.0/24 [170/26880256] via 192.168.4.9, 11:51:31, Tunnel1
                      [170/26880256] via 192.168.4.5, 11:51:31, Tunnel2
D    192.168.8.0/24 [90/28288000] via 192.168.4.9, 11:51:31, Tunnel1
                    [90/28288000] via 192.168.4.5, 11:51:31, Tunnel2
D EX 192.168.10.0/24 [170/28288000] via 192.168.4.9, 11:51:31, Tunnel1
                     [170/28288000] via 192.168.4.5, 11:51:31, Tunnel2
     172.16.0.0/29 is subnetted, 1 subnets
D       172.16.250.0 [90/26880256] via 192.168.4.9, 11:51:31, Tunnel1
                     [90/26880256] via 192.168.4.5, 11:51:31, Tunnel2
D    192.168.11.0/24 [90/28288000] via 192.168.4.9, 11:51:31, Tunnel1
                     [90/28288000] via 192.168.4.5, 11:51:31, Tunnel2
     192.168.4.0/30 is subnetted, 3 subnets
C       192.168.4.8 is directly connected, Tunnel1
C       192.168.4.4 is directly connected, Tunnel2
D       192.168.4.0 [90/28160000] via 192.168.4.9, 11:51:32, Tunnel1
                    [90/28160000] via 192.168.4.5, 11:51:32, Tunnel2
     yyy.yyy.aaa.0/32 is subnetted, 1 subnets
S       yyy.yyy.aaa.aaa [1/0] via zzz.zzz.aaa.agw
     192.168.5.0/30 is subnetted, 1 subnets
C       192.168.5.0 is directly connected, Vlan4
D EX 10.0.0.0/8 [170/26880256] via 192.168.4.9, 11:51:32, Tunnel1
                [170/26880256] via 192.168.4.5, 11:51:32, Tunnel2
     zzz.zzz.aaa.0/29 is subnetted, 1 subnets
C       zzz.zzz.aaa.64 is directly connected, Vlan2
D    192.168.7.0/24 [90/28288000] via 192.168.4.9, 11:51:32, Tunnel1
                    [90/28288000] via 192.168.4.5, 11:51:32, Tunnel2
     zzz.zzz.bbb.0/29 is subnetted, 1 subnets
C       zzz.zzz.bbb.bbb is directly connected, Vlan3
     yyy.yyy.bbb.0/32 is subnetted, 1 subnets
S       yyy.yyy.bbb.bbb [1/0] via zzz.zzz.bbb.bgw
S    192.168.2.0/24 [1/0] via 192.168.5.2
S*   0.0.0.0/0 [1/0] via zzz.zzz.aaa.agw
               [1/0] via zzz.zzz.bbb.bgw
D EX 192.168.160.0/19 [170/28288000] via 192.168.4.9, 11:51:32, Tunnel1
                      [170/28288000] via 192.168.4.5, 11:51:32, Tunnel2

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от spiegel (ok) on 27-Дек-12, 23:11 
> 
 
> loc2-gw# traceroute -n 192.168.3.1 
> traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 40 byte packets 
>  1  192.168.5.1 (192.168.5.1)  1.691 ms  1.623 ms  
> 1.868 ms 
>  2  * * * 
>  3  * * * 
>  4  *^C 
 Видно, что пакет нормально доходит до туннеля 3 на loc2. Дальше что-то не пускает. Выложите debug ip icmp на loc2 при loc2-gw#ping 192.168.3.1
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от antrocon on 28-Дек-12, 11:40 
>  Видно, что пакет нормально доходит до туннеля 3 на loc2. Дальше
> что-то не пускает. Выложите debug ip icmp на loc2 при loc2-gw#ping
> 192.168.3.1

в том-то и дело, что debug ip icmp ничего не показывает про пинг 192.168.5.2<->192.168.3.1, хотя про всякие пинги из инета или с loc1 - пишет


*Dec 28 06:31:09.800: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:09.876: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.210.251.163
*Dec 28 06:31:10.408: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 95.154.77.54
*Dec 28 06:31:11.036: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 91.194.201.16
*Dec 28 06:31:11.040: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:11.592: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 83.81.66.180
*Dec 28 06:31:11.644: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:12.156: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 84.25.53.76
*Dec 28 06:31:12.220: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:12.936: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 176.96.233.109
*Dec 28 06:31:13.076: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:13.608: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 195.82.154.13
*Dec 28 06:31:13.772: ICMP: echo reply rcvd, src zzz.zzz.bbb.bgw, dst zzz.zzz.bbb.bbb
*Dec 28 06:31:13.996: ICMP: echo reply sent, src 192.168.5.1, dst 172.16.250.1
*Dec 28 06:31:14.360: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:14.520: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 109.172.53.24
*Dec 28 06:31:14.988: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:15.024: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54
*Dec 28 06:31:15.112: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.64.35.185
*Dec 28 06:31:15.572: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:15.884: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 77.163.207.16
*Dec 28 06:31:16.240: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:16.768: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:16.816: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 217.165.120.60
*Dec 28 06:31:17.432: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54
*Dec 28 06:31:17.492: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 91.194.201.16
*Dec 28 06:31:18.580: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 84.25.53.76
*Dec 28 06:31:18.772: ICMP: echo reply rcvd, src zzz.zzz.bbb.bgw, dst zzz.zzz.bbb.bbb
*Dec 28 06:31:18.996: ICMP: echo reply sent, src 192.168.5.1, dst 172.16.250.1
*Dec 28 06:31:19.216: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:19.424: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 178.210.251.163
*Dec 28 06:31:19.768: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:20.232: ICMP: dst (zzz.zzz.aaa.aaa) port unreachable sent to 123.108.223.54
*Dec 28 06:31:20.976: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 109.172.15.1
*Dec 28 06:31:21.164: ICMP: dst (zzz.zzz.aaa.aaa) administratively prohibited unreachable rcv from 213.134.221.117
*Dec 28 06:31:21.768: ICMP: dst (zzz.zzz.bbb.bbb) port unreachable sent to 95.106.129.4

более того - когда туннель поднят до loc1 и все пинги проходят - debug ip icmp тоже не отображает пинги от 192.168.5.2
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "странные проблемы с маршрутизацией/dmvpm/3площадки"  +/
Сообщение от spiegel (ok) on 27-Дек-12, 23:12 
.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру