https://m.opennet.me/openforum/vsluhforumID6/17582.html Проблема такая, настроил тунель IPSEC с роутером Dlink-Di804HV<br>Но есть пролема, большая нагрузка на процессор.<br>Причину я выяснил - это в этой строчке <br>access-list 102 permit ip any any log<br>А именно в логах. Если приписывать это без логов<br>access-list 102 permit ip any any <br>То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется загадкой.<br>Что можно сделать с IPSEC, чтобы не юзать логи?<br><br><br><br>Вот конфиг<br>---------------------------------------------------------------------------------<br><br><br>router#sh run<br>Building configuration...<br><br>Current configuration : 3067 bytes<br>!<br>version 12.4<br>service config<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>service single-slot-reload-enable<br>!<br>hostname router<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>!<br>redundancy<br>enable secret 5 ********<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication ppp default group radius<br>!<br>aaa session-id common<br>!<br>!<br>ip cef<br>ip domain name cisco.organizatio https://m.opennet.me/openforum/vsluhforumID6/17582.html#9 Mon, 17 Nov 2008 08:20:41 GMT &gt;[оверквотинг удален]<br>&gt;ожидания. <br>&gt;<br>&gt;*Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F <br>&gt;astEthernet0/0/0), g=192.168.255.1, len 60, forward <br>&gt;*Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1 <br>&gt;68.255.1 (FastEthernet0/0/0), routed via RIB <br>&gt;<br>&gt;Попробую сменить иос, может поможет. <br>&gt;А версию иоса никто не подскажет. У меня был один иос, дак <br>&gt;там с крашем ребуталась циска при поднятии ипсек тунеля <br><br>rsp-jk9o3sv-mz.124-23.bin - последний. Однако насколько стабилен не подскажу, не пробовал.<br><br> https://m.opennet.me/openforum/vsluhforumID6/17582.html#8 Mon, 17 Nov 2008 04:45:27 GMT &gt;когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно <br>&gt;проблема данной версии ios-а. попробуйте отключить ip cef, это не решение <br>&gt;проблемы , но может помочь ее локализовать. <br>&gt;посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка <br>&gt;доступа, вдруг яснее станет в чем прблема. <br><br>Отключение cef ничем не помогло.<br>в deb ip packet 101 при пинге через тунель, превышен интервал ожидания. <br><br>*Nov 17 04:38:29.919: IP: s=192.168.0.80 (FastEthernet0/1/0), d=192.168.255.1 (F<br>astEthernet0/0/0), g=192.168.255.1, len 60, forward<br>*Nov 17 04:38:35.119: IP: tableid=0, s=192.168.0.80 (FastEthernet0/1/0), d=192.1<br>68.255.1 (FastEthernet0/0/0), routed via RIB<br><br>Попробую сменить иос, может поможет.<br>А версию иоса никто не подскажет. У меня был один иос, дак там с крашем ребуталась циска при поднятии ипсек тунеля<br> https://m.opennet.me/openforum/vsluhforumID6/17582.html#7 Fri, 14 Nov 2008 18:41:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;interface FastEthernet2/1/0 <br>&gt;&gt;no ip access-group 102 in <br>&gt;&gt; т.к. он все равно ничего не запрещает. <br>&gt;<br>&gt;Вот именно, что если его убрать, то перестает по тунелю перестают ходить <br>&gt;пакеты, а сам туннель поднимается без проблем. <br>&gt;и почему то именно нужно прописывать с log, без него не работает <br>&gt;<br><br>когда используете log, пакет обрабатывается Process Switching, отсюдв высокая занрузка CPU. возможно проблема данной версии ios-а. попробуйте отключить ip cef, это не решение проблемы , но может помочь ее локализовать.<br>посмотрите deb ip packet 101 , когда на интерфейсе нет 102 списка доступа, вдруг яснее станет в чем прблема.<br><br> https://m.opennet.me/openforum/vsluhforumID6/17582.html#6 Fri, 14 Nov 2008 18:28:07 GMT &gt;[оверквотинг удален]<br>&gt;попробуйте <br>&gt;no ip cef <br>&gt;если заработает - меняйте ios <br>&gt;<br>&gt;смысл 102 списка доступа в чем? может вообще убрать его с интерфейса <br>&gt;<br>&gt;<br>&gt;interface FastEthernet2/1/0 <br>&gt;no ip access-group 102 in <br>&gt; т.к. он все равно ничего не запрещает. <br><br>Вот именно, что если его убрать, то перестает по тунелю перестают ходить пакеты, а сам туннель поднимается без проблем.<br>и почему то именно нужно прописывать с log, без него не работает<br> https://m.opennet.me/openforum/vsluhforumID6/17582.html#5 Fri, 14 Nov 2008 17:34:31 GMT &gt;Ну поможет мне кто-нибудь? гугл уже исчерпал себя. <br><br>попробуйте <br>no ip cef<br>если заработает - меняйте ios<br><br>смысл 102 списка доступа в чем? может вообще убрать его с интерфейса<br><br>interface FastEthernet2/1/0<br>no ip access-group 102 in<br> т.к. он все равно ничего не запрещает.<br> https://m.opennet.me/openforum/vsluhforumID6/17582.html#4 Fri, 14 Nov 2008 14:07:53 GMT Ну поможет мне кто-нибудь? гугл уже исчерпал себя.<br> https://m.opennet.me/openforum/vsluhforumID6/17582.html#3 Fri, 14 Nov 2008 11:10:49 GMT &gt;Показать sh ver <br>&gt;Были какие-то баги на тему log <br><br>sh version<br>Cisco IOS Software, RSP Software (RSP-JK9SV-M), Version 12.4(21), RELEASE SOFTWARE (fc1)<br>Technical Support: http://www.cisco.com/techsupport<br>Copyright (c) 1986-2008 by Cisco Systems, Inc.<br>Compiled Thu 10-Jul-08 14:00 by prod_rel_team<br><br>ROM: System Bootstrap, Version 11.1(8)CA1, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)<br>BOOTLDR: RSP Software (RSP-BOOT-M), Version 12.2(31), RELEASE SOFTWARE (fc2)<br><br>router uptime is 5 hours, 18 minutes<br>System returned to ROM by reload at 04:22:17 UTC Thu Nov 13 2008<br>System image file is "disk0:rsp-jk9sv-mz.124-21.bin"<br>Last reload reason: Unknown reason<br><br><br><br>This product contains cryptographic features and is subject to United<br>States and local country laws governing import, export, transfer and<br>use. Delivery of Cisco cryptographic products does not imply<br>third-party authority to import, export, distribute or use encryption.<br>Importers, exporters, distributors and users are responsible for<br>compliance wi https://m.opennet.me/openforum/vsluhforumID6/17582.html#2 Fri, 14 Nov 2008 09:52:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Причину я выяснил - это в этой строчке <br>&gt;&gt;access-list 102 permit ip any any log <br>&gt;&gt;А именно в логах. Если приписывать это без логов <br>&gt;&gt;access-list 102 permit ip any any <br>&gt;&gt;То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется <br>&gt;&gt;загадкой. <br>&gt;&gt;Что можно сделать с IPSEC, чтобы не юзать логи? <br>&gt;<br>&gt;Показать sh ver <br>&gt;Были какие-то баги на тему log <br><br>а зачем у тебя там настроено l2tp подключение? <br> https://m.opennet.me/openforum/vsluhforumID6/17582.html#1 Fri, 14 Nov 2008 09:11:42 GMT &gt;Проблема такая, настроил тунель IPSEC с роутером Dlink-Di804HV <br>&gt;Но есть пролема, большая нагрузка на процессор. <br>&gt;Причину я выяснил - это в этой строчке <br>&gt;access-list 102 permit ip any any log <br>&gt;А именно в логах. Если приписывать это без логов <br>&gt;access-list 102 permit ip any any <br>&gt;То почему-то пакеты перестают ходить по тунелю, для меня это всегда останется <br>&gt;загадкой. <br>&gt;Что можно сделать с IPSEC, чтобы не юзать логи? <br><br>Показать sh ver<br>Были какие-то баги на тему log<br><br>