Ситуация для меня крайне непонятная.
Есть два региональных центра, в каждом по Cisco 1811. Связаны двумя независимыми каналами от разных операторов.
Заметил, что между центрами MTU маленький. Начал разбираться, вот что обнаружил:
- никаких настроек MTU или MSS на внешних интерфейсах нет (да и на внутренних нет, есть только на тоннельных, но они тут не при делах)
- MTU=1427 (ip MTU= 1399) даже между обоими внешними интерфейсами рутеров. => Дело не (в моих) тоннелях и т.п.
- MTU=1500 для соединений между внешними интерфейсами любого из этих рутеров и шлюзами обоих операторов связи. Т.е. имеем рутер - шлюз - рутер, с обоих рутеров до шлюза extended ping нормально проходит с MTU 1500 (до одного и того же ip, а не разных - каждый со своей стороны шлюза), а до рутера напротив - только 1427. И это на обоих интерфейсах, подключенных к разным каналам разных операторов. => Дело, по всей видимости, не в операторах (теоретически может и в них, если между двумя концами они делают тоннель, а при пинге шлюзов тоннеля нет, но практически: они это отрицают, и я им верю; плюс очень странное число 1427, маловероятно, чтобы оно случайно совпало у обоих операторов)
- MTU=1500 для соединений со споками (Cisco 871) своего региона (проверял только для одного региона). Информация не дает ничего особенно нового по отношению к предыдущему пункту, просто лишний повод удивиться тому, что проблема есть только для ситуации с двумя региональными центральными рутерами на концах.
Очень прошу помочь разобраться.
P.S. Рестарт делал (думал может глюк какой от не до конца применившихся настроек и т.п.), не помогло.
Вот конфиги внешних интерфейсов:
Рутер 1, интерфейс на оператора 1:
Рутер 1, интерфейс на оператора 2:interface FastEthernet1
description To_Region2_Operator1
ip address x.x.x.x 255.255.255.192
ip access-group fa1_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map Crypto_Fa1
end
interface Vlan5
description To_Region2_Operator2
ip address y.y.y.y 255.255.255.128
ip access-group vlan5_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
crypto map Crypto_Vl5
end
+
interface FastEthernet8
description To_Region2_Operator2
switchport access vlan 5
end
Рутер 2, интерфейс на оператора 1:
Рутер 2, интерфейс на оператора 2:interface Vlan3
description To_Region1_Operator1
ip address z.z.z.z 255.255.254.0
ip access-group vlan3_in in
ip nat outside
ip virtual-reassembly
crypto map Crypto_Vl3
end
+
interface FastEthernet3
description To_Region1_Operator1
switchport access vlan 3
no cdp enable
Что ещё? Ещё сначала были непонятные проблемы с пингами большого размера, но оказалось дело в низких допусках для Control plane protection, поменял на такие и проблемы ушли (осталась только вышеуказанная, но, IMHO, она c CPP никак не связана):interface FastEthernet1
description To_Region1_Operator2
ip address t.t.t.t 255.255.255.248
ip access-group fa1_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map Crypto_Fa1
end
Спасибо.control-plane host
service-policy input cp_policy
!
end
+
policy-map cp_policy
class cp_icmp
police 50000 conform-action transmit exceed-action drop
class cp_isakmp
police 50000 conform-action transmit exceed-action drop
class cp_esp
police 30000000 conform-action transmit exceed-action drop
class cp_ssh
police 50000 conform-action transmit exceed-action drop
class class-default
police 50000 conform-action transmit exceed-action drop
P.P.S.S. Вроде как, подозрение падает на крипто, но пинги-то между внешними интерфейсами не должны криптоваться?!
Да и момент ещё один, необъяснимый: тоннельный MTU установлен в 1400, между двумя ЛВС пинги проходят размером до 1372 (т.е. итого 1400), но между внешними интерфейсами рутеров максимум 1399! Это ведь нелогично!?