Здравствуйте!
Подскажите, пожалуйста, что могло стать причиной "отваливания" тоннелей?
Примерная схема такая:______IPSec_____ Cisco 2801 (Саратов)
/
/ ______IPSec_____ Cisco 2801 (Тюмень)
GRE / /
Cisco 7604 ============== Pix _______IPSec____ Cisco 2801 (Вологда)
\ \
\ \_____IPSec_____ Cisco 2801 (Казань)
\
\_____IPSec_____ Cisco 2801 (Пермь)На Cisco 7604 созданы GRE-тоннели. На PIX'ах GRE трафик шифруется в IPSec.
На региональных Cisco 2801Надо было создать еще один тоннель с Мурманском
И я сделал так:
interface Tunnel20
description VPN Murmansk
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.20
tunnel vrf inetТоннели сразу "отвалились"
На PIX'е еще ничего не было сделано.
На Cisco 7604 тоннели выглядели точно также так:
--------------
interface Tunnel29
description VPN Saratov
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.29
tunnel vrf inet
!
interface Tunnel31
description VPN Tumen
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.31
tunnel vrf inet
!
interface Tunnel32
description VPN Vologda
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.32
tunnel vrf inet
!
interface Tunnel35
description VPN Kazan
bandwidth 1000
ip vrf forwarding inet
ip unnumbered Loopback2
ip mtu 1400
ip ospf cost 390
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.35
tunnel vrf inet
!
interface Tunnel54
description VPN perm
ip vrf forwarding inet
ip unnumbered Loopback2
load-interval 30
tunnel source Loopback15
tunnel destination xxx.xxx.xxx.54
tunnel vrf inet
!
interface Loopback2
ip vrf forwarding inet
ip address 10.0.0.11 255.255.255.255
!
interface Loopback15
ip vrf forwarding inet
ip address 123.123.123.15 255.255.255.255
можно увидеть полный конфиг 7604 и нового маршрутизатора. что "выбрасывает" маршрутизатор в лог при "падении" интерфейсов?
>можно увидеть полный конфиг 7604 и нового маршрутизатора. что "выбрасывает" маршрутизатор в
>лог при "падении" интерфейсов?Полный конфиг 7604 я предоставить не смогу - он очень большой и там много "наколбашено" того, что я бы не хотел показывать. Скажите, какие куски Вас интересуют?
Вот лог 7604 на момент падения:
Feb 22 11:08:31.425: %SYS-5-CONFIG_I: Configured from console by admin on vty0 (10.200.0.73)
Feb 22 11:11:47.656: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.54 on Tunnel54 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:47.764: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.29 on Tunnel29 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:48.892: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.32 on Tunnel32 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:52.804: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.31 on Tunnel31 from FULL to DOWN, Neighbor Down: Dead timer expired
Feb 22 11:11:55.336: %OSPF-5-ADJCHG: Process 100, Nbr 10.5.0.35 on Tunnel35 from FULL to DOWN, Neighbor Down: Dead timer expiredСами интерфейсы оставались в UP'е, а вот трафик по ним уже не бегал. Наверное, дело в IPSec'ах PIX'a.
На новом маршрутизаторе (в Мурманске) ничего нет и быть не могло, т.к. до него так я добраться не успел.У меня есть предположение, что надо было сначало создать IPSec между PIX и Мурманском, а потом туда засунуть GRE-трафик.
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...