MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Black-Dragon
Advanced member
Сообщения: 507
Зарегистрирован: 17 апр 2009, 00:49
Откуда: Yerevan

MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Сообщение Black-Dragon » 24 сен 2010, 17:38

Тема дублирует оригинал на ixbt, к сожалению ответов там не дождался, пока. Авось тут and3008 поможет или ещё кто :green: ...

Ситуация для меня крайне непонятная.
Есть два региональных центра, в каждом по Cisco 1811. Связаны двумя независимыми каналами от разных операторов.


Заметил, что между центрами MTU маленький. Начал разбираться, вот что обнаружил:

- никаких настроек MTU или MSS на внешних интерфейсах нет (да и на внутренних нет, есть только на тоннельных, но они тут не при делах)

- MTU=1427 (ip MTU= 1399) даже между обоими внешними интерфейсами рутеров. => Дело не (в моих) тоннелях и т.п.

- MTU=1500 для соединений между внешними интерфейсами любого из этих рутеров и шлюзами обоих операторов связи. Т.е. имеем рутер - шлюз - рутер, с обоих рутеров до шлюза extended ping нормально проходит с MTU 1500 (до одного и того же ip, а не разных - каждый со своей стороны шлюза), а до рутера напротив - только 1427. И это на обоих интерфейсах, подключенных к разным каналам разных операторов. => Дело, по всей видимости, не в операторах (теоретически может и в них, если между двумя концами они делают тоннель, а при пинге шлюзов тоннеля нет, но практически: они это отрицают, и я им верю; плюс очень странное число 1427, маловероятно, чтобы оно случайно совпало у обоих операторов)

- MTU=1500 для соединений со споками (Cisco 871) своего региона (проверял только для одного региона). Информация не дает ничего особенно нового по отношению к предыдущему пункту, просто лишний повод удивиться тому, что проблема есть только для ситуации с двумя региональными центральными рутерами на концах.

Очень прошу помочь разобраться.


P.S. Рестарт делал (думал может глюк какой от не до конца применившихся настроек и т.п.), не помогло.

Вот конфиги внешних интерфейсов:
Рутер 1, интерфейс на оператора 1:
interface FastEthernet1
description To_Region2_Operator1
ip address x.x.x.x 255.255.255.192
ip access-group fa1_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map Crypto_Fa1
end
Рутер 1, интерфейс на оператора 2:
interface Vlan5
description To_Region2_Operator2
ip address y.y.y.y 255.255.255.128
ip access-group vlan5_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
crypto map Crypto_Vl5
end

+
interface FastEthernet8
description To_Region2_Operator2
switchport access vlan 5
end

Рутер 2, интерфейс на оператора 1:
interface Vlan3
description To_Region1_Operator1
ip address z.z.z.z 255.255.254.0
ip access-group vlan3_in in
ip nat outside
ip virtual-reassembly
crypto map Crypto_Vl3
end

+
interface FastEthernet3
description To_Region1_Operator1
switchport access vlan 3
no cdp enable
Рутер 2, интерфейс на оператора 2:
interface FastEthernet1
description To_Region1_Operator2
ip address t.t.t.t 255.255.255.248
ip access-group fa1_in in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map Crypto_Fa1
end
Что ещё? Ещё сначала были непонятные проблемы с пингами большого размера, но оказалось дело в низких допусках для Control plane protection, поменял на такие и проблемы ушли (осталась только вышеуказанная, но, IMHO, она c CPP никак не связана):
control-plane host
service-policy input cp_policy
!
end

+

policy-map cp_policy
class cp_icmp
police 50000 conform-action transmit exceed-action drop
class cp_isakmp
police 50000 conform-action transmit exceed-action drop
class cp_esp
police 30000000 conform-action transmit exceed-action drop
class cp_ssh
police 50000 conform-action transmit exceed-action drop
class class-default
police 50000 conform-action transmit exceed-action drop
Спасибо.


P.P.S.S. Вроде как, подозрение падает на крипто, но пинги-то между внешними интерфейсами не должны криптоваться?!

Да и момент ещё один, необъяснимый: тоннельный MTU установлен в 1400, между двумя ЛВС пинги проходят размером до 1372 (т.е. итого 1400), но между внешними интерфейсами рутеров максимум 1399! Это ведь нелогично!?

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Сообщение and3008 » 25 сен 2010, 17:47

В Crypto-map погляди. Вернее в его access-list. Может там ICMP между внешними интерфейсами попадает под правило шифрования.
Так же может быть глюк IOS-а. Версию софта, как говорится, в студию.
Ну а снижение MTU - это IPSec. А еще большее снижение (до 1400) - это туннельное GRE. Настройки туннельного интерфейса так же не приведены, типа догадайтесь сами.

Если есть Smartnet отпиши в цискин суппорт.

Black-Dragon
Advanced member
Сообщения: 507
Зарегистрирован: 17 апр 2009, 00:49
Откуда: Yerevan

Re: MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Сообщение Black-Dragon » 27 сен 2010, 13:55

and3008 писал(а):Так же может быть глюк IOS-а. Версию софта, как говорится, в студию.
show version
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(24)T2, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Tue 20-Oct-09 01:15 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YH12, RELEASE SOFTWARE (fc1)

R1_CORE uptime is 1 week, 21 hours, 49 minutes
System returned to ROM by reload at 16:12:27 AMST Sun Sep 19 2010
System restarted at 16:13:01 AMST Sun Sep 19 2010
System image file is "flash:c181x-advipservicesk9-mz.124-24.T2.bin"
Это с Cisco 1811, но на всех споках - Cisco 871 та же версия.
Это не глюк IOS, ибо проявляется только при пингах c внешних интерфейсов одного 1811 - другого, а с них же но на внешние интерфейсы споков или шлюзов провайдеров всё ок - 1500!

and3008 писал(а):Если есть Smartnet отпиши в цискин суппорт.
Нету, но есть very smart and3008. :roll: :yo:

and3008 писал(а):В Crypto-map погляди. Вернее в его access-list. Может там ICMP между внешними интерфейсами попадает под правило шифрования.
Вот что на обоих рутерах (с точностью до наоборот по адресам):
crypto map Crypto_Fa1 10 ipsec-isakmp
set peer z.z.z.z
set transform-set AES-256
match address crypto_tun4
!
crypto map Crypto_Vl5 10 ipsec-isakmp
set peer t.t.t.t
set transform-set AES-256
match address crypto_tun3

+
ip access-list extended crypto_tun3
permit ip host y.y.y.y host t.t.t.t
ip access-list extended crypto_tun4
permit ip host x.x.x.x host z.z.z.z
and3008 писал(а):Ну а снижение MTU - это IPSec. А еще большее снижение (до 1400) - это туннельное GRE.
У меня везде IPSec over GRE, и везде на тоннельных интерфейсах ip MTU = 1400, ибо надежды на MTUD нет, да и по рекомендациям того же Cisco для IPSec over GRE такой MTU. И на практике такое значение себя оправдало. Так что, пинг локальных интерфейсов (т.е. через тоннель) равный 1400, это нормально и объяснимо. Мне непонятно, почему внешние интерфейсы пингуются по 1427!?

Да и насчёт снижения MTU из-за IPSec over GRE, мои расчеты были таковы:
1500 - 24 (GRE + IP) - 58 (IPSec, max, в моем случае реально меньше) - 8 (ADSL) = 1410 bytes.
Итого, 1400 вполне нормально.

and3008 писал(а):Настройки туннельного интерфейса так же не приведены, типа догадайтесь сами.
Да нет, конечно. Просто речь о пингах между внешними интерфейсами, тоннели тут не при чем (вот аксес-листы крипто другое дело).
Но ваше пожелание будет исполнено незамедлительно:
Рутер 1:
interface Tunnel3
description GRE_VPN_Vlan5_2Router2_Operator2
ip address 192.168.93.1 255.255.255.0
ip mtu 1400
ip ospf network point-to-point
ip ospf cost 20
ip ospf hello-interval 3
ip ospf dead-interval 9
keepalive 3 3
tunnel source Vlan5
tunnel destination t.t.t.t
tunnel path-mtu-discovery
!
interface Tunnel4
description GRE_VPN_Fa1_2Router2_Operator1
ip address 192.168.91.1 255.255.255.0
ip mtu 1400
ip ospf network point-to-point
ip ospf cost 10
ip ospf hello-interval 3
ip ospf dead-interval 9
keepalive 3 3
tunnel source FastEthernet1
tunnel destination z.z.z.z
tunnel path-mtu-discovery
Рутер2:
interface Tunnel3
description GRE_VPN_Fa1_2Router1_Operator2
ip address 192.168.93.2 255.255.255.0
ip mtu 1400
ip ospf network point-to-point
ip ospf cost 20
ip ospf hello-interval 3
ip ospf dead-interval 9
keepalive 3 3
tunnel source FastEthernet1
tunnel destination y.y.y.y
tunnel path-mtu-discovery
!
interface Tunnel4
description GRE_VPN_Fa1_2Router1_Operator1
ip address 192.168.92.2 255.255.255.0
ip mtu 1400
ip ospf network point-to-point
ip ospf cost 10
ip ospf hello-interval 3
ip ospf dead-interval 9
keepalive 3 3
tunnel source Vlan3
tunnel destination x.x.x.x
tunnel path-mtu-discovery

Black-Dragon
Advanced member
Сообщения: 507
Зарегистрирован: 17 апр 2009, 00:49
Откуда: Yerevan

Re: MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Сообщение Black-Dragon » 01 окт 2010, 14:12

Поднимаю тему.
Всё ещё в ожидании помощи...

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Сообщение and3008 » 01 окт 2010, 22:18

Я, конечно, понимаю, что меня тут ждут, но увы. Кавалерийский наскок на сайт Cisco, даже с привелегированным логином не дал ответа, почему такое у вас.

Предлагаю поиск методом мелких шагов. Надо нащупать, где беда начинается.
Я бы сохранил конфиг, снес с внешнего интерфейса на 1811 настройки IPSec, NAT, virtual-reasembly. Проверил пинг.
Потом бы последовательно включал NAT, IPSec, потом virtual-reassembly. После включения каждой фичи запускать пингалки. Возможно найдется хотя бы с какого момента беда начинается. Может она вообще на голых интерфейсах существует? И пинговать не только "свое", но и чужое тоже! Например роутер провайдера.

У меня было нечто аналогичное. Пиннали провайдера. Пиннали месяц. Допиннали, они сделали, но к концу их работ, мы уже ушли к другому оператору через неделю. У меня не работал EIGRP путью. Проблема была примерно схожая. В одну сторону трафик шел, а в другую сперва ни гугу. Потом заработал, но IEGRP постоянно сбрасывал маршруты. Другие каналы на филиалы стояли как вкопанные. Не знаю уж что у них там было, но они починили, но поздно. Ушли мы от них. У меня там вообще сборная солянка была. Huawei+Cisco.

Black-Dragon
Advanced member
Сообщения: 507
Зарегистрирован: 17 апр 2009, 00:49
Откуда: Yerevan

Re: MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Сообщение Black-Dragon » 02 окт 2010, 13:53

and3008 писал(а):Я, конечно, понимаю, что меня тут ждут, но увы. Кавалерийский наскок на сайт Cisco, даже с привелегированным логином не дал ответа, почему такое у вас.
Спасибо большое, а я уж думал, что вам тема более не интересна.
and3008 писал(а):Предлагаю поиск методом мелких шагов. Надо нащупать, где беда начинается.Я бы сохранил конфиг, снес с внешнего интерфейса на 1811 настройки IPSec, NAT, virtual-reasembly. Проверил пинг. Потом бы последовательно включал NAT, IPSec, потом virtual-reassembly. После включения каждой фичи запускать пингалки. Возможно найдется хотя бы с какого момента беда начинается. Может она вообще на голых интерфейсах существует? И пинговать не только "свое", но и чужое тоже! Например роутер провайдера.
Спасибо. Видимо так и придется делать, только немного по-другому. У меня на этих линиях круглосуточные сервисы, играть не могу. Но есть резервные 1811-тые, залью в них те же конфиги (давно уже должен был это сделать, чтоб при сгорании основного не тратить время на заливку конфигов. Сами конфиги забекаплены, конечно) и поиграюсь на столе. Но это уже позже, в ближайшее время не смогу, времени нет.

Но всё равно понять не могу, как такое может быть. Уверен на 99,(9)%, это от моих цисок, но как такое возможно, что оба всех пингуют нормально, и даже самые крайние от себя шлюзы провайдеров, а друг друга - нет, и никаких видимых причин (в конфиге) нет!? Ну как такое может быть?


Спасибо за помощь. Как только найду время на эксперименты, сразу отпишусь о результатах.
Если по ходу вдруг возникнут идеи о причинах, буду рад их проверить.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: MTU=1427 между 2-мя Cisco 1811, никаких настроек MTU нет!?

Сообщение and3008 » 02 окт 2010, 22:02

Если бы вы хоть раз прочитали какие баги закрывают в разных версиях IOS, вы бы многому перестали удивляться...

Ответить

Вернуться в «Сети - Технические вопросы, решение проблем»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей