Index - FAQ - Rechercher - Membres - Groupes - S'enregistrer - Messages Privés - Connexion
Routeur 2821 - MTU

 
Poster un nouveau sujet   Répondre au sujet    Forum du Laboratoire SUPINFO des Technologies Cisco Index du Forum -> Configuration et problèmes de routeurs | Routers configurations and problems
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
Max06
Participant
Participant


Inscrit le: 03 Avr 2007
Messages: 43
MessagePosté le: Mar Jan 15, 2008 10:20 am    Sujet du message: Routeur 2821 - MTU Répondre en citant
Bonjour,

J'ai un problème depuis plusieurs semaines. Le routeur "plante" tous les 2 semaines.
Plus possible d'aller sur internet mais le ping fonctionne toujours.
J'ai remarqué que pendant le "plantage", je ne peux pas faire de ping de plus 400 octets alors qu'en temps normal je peux faire des pings d'environ 1450 octects.

On dirait que la MTU change toute seule!!!
Peut etre que cela est un problème de TCP MSS?

Sachant qu'il suffit de redémarrer le routeur pour le remettre en fonctionnement.

--------
interface Tunnel0
bandwidth 1000
ip address 192.168.200.1 255.255.255.0
no ip redirects
ip mtu 1400
ip inspect SDM_LOW out
ip nhrp authentication DMVPN_NW
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
ip tcp adjust-mss 1360
delay 1000
tunnel source Vlan2
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile SDM_Profile1
!
interface GigabitEthernet0/0
ip address 192.168.6.2 255.255.255.0
ip access-group 107 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_100 in
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip policy route-map clear-df
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
ip address 192.168.1.2 255.255.255.0
ip access-group 108 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_100 in
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip policy route-map clear-df
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0/0
switchport access vlan 2
switchport mode trunk
!
interface FastEthernet0/0/1
switchport trunk native vlan 4
switchport mode trunk
!
interface FastEthernet0/0/2
switchport access vlan 3
switchport trunk native vlan 3
switchport mode trunk
!
interface FastEthernet0/0/3
switchport trunk native vlan 2
switchport mode trunk
!
interface Vlan1
description $FW_OUTSIDE$
ip address 192.168.26.3 255.255.255.0
ip access-group sdm_vlan1_in in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip inspect sdm_ins_in_101 in
ip inspect SDM_LOW out
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
interface Vlan2
description $FW_OUTSIDE$
ip address #### 255.255.255.252
ip access-group sdm_vlan2_in in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect SDM_LOW out
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
interface Vlan3
description $FW_INSIDE$
ip address #### 255.255.255.252
ip access-group sdm_vlan3_in in
no ip proxy-arp
ip inspect SDM_LOW out
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
crypto map SDM_CMAP_1


Avez-vous une idée?

Le traffic internet passe par le Vlan 1 et la plupart des machines allant sur internet sont dans le réseau 192.168.6.0 Wink Wink Wink Wink
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ketchupy
Membre intensif
Membre intensif


Inscrit le: 21 Mai 2004
Messages: 346
MessagePosté le: Mer Jan 16, 2008 12:41 am    Sujet du message: Répondre en citant
Yop,

pour info nous on mets le tcp mss à 1200 (ou 1100 j'ai un doute là) et pas de soucis, mais bon je n'affirme pas que ça ira mieux hein ^^

Sinon je suppose que tuas vérifié : pas de bug IOS, de crash memoire ou autre joyeuseté ? Smile
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Max06
Participant
Participant


Inscrit le: 03 Avr 2007
Messages: 43
MessagePosté le: Mer Jan 16, 2008 9:54 am    Sujet du message: Répondre en citant
Ketchupy a écrit:
Yop,

pour info nous on mets le tcp mss à 1200 (ou 1100 j'ai un doute là) et pas de soucis, mais bon je n'affirme pas que ça ira mieux hein ^^

Sinon je suppose que tuas vérifié : pas de bug IOS, de crash memoire ou autre joyeuseté ? Smile


Merci pour ta réponse.
En effet, j'ai vérifié qu'il n'y avait pas de bug IOS sur le site de CISCO. En revanche, comment fait-on pour vérifier qu'il n'y a pas de crash mémoire.

sh proc?

Merci.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ketchupy
Membre intensif
Membre intensif


Inscrit le: 21 Mai 2004
Messages: 346
MessagePosté le: Jeu Jan 17, 2008 1:44 am    Sujet du message: Répondre en citant
Un "show proc mem history" si la memoire monte dangereusement, c'est pas bon.. Smile
Sinon si tu as des crashinfo sur ta flash..
sinon.. étudie la magie noire pour faire tourner ce routeur dsans plantage Laughing
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Max06
Participant
Participant


Inscrit le: 03 Avr 2007
Messages: 43
MessagePosté le: Ven Jan 25, 2008 10:07 am    Sujet du message: Répondre en citant
Le routeur a planté une nouvelle fois.
A chaque fois le message d'erreur est le même:

decrypt : mac verify failed for connection id=23

Le chiffre id=.. change à chaque fois.

Avez-vous une idée de l'origine de ce message d'erreur?

Merci beaucoup.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Max06
Participant
Participant


Inscrit le: 03 Avr 2007
Messages: 43
MessagePosté le: Mer Fév 06, 2008 11:27 am    Sujet du message: Répondre en citant
Je reviens vers vous concernant mon problème de routeur. (Cisco 2821)
Voici un résumé du problème.
Tous les 3 ou 4 jours (très aléatoire), le routeur se « fige ». L’accès à internet devient impossible( Internet Explorer reste bloqué sur « Attente de la réponse de…. ») alors que les pings fonctionnent encore. Pas tout à fait !!! Les pings ne dépassent pas les 400 octets environ alors que normalement les pings dépassent largement les 1400 octets. Je suis obligé de redémarrer le routeur à chaque fois !!
Je pense qu’il s’agit d’un problème de MTU. Pourquoi plante-il tout seul au bout d’un certain temps ?

Ci-dessous un aperçu de la config. Les PCs sont connectés sur le port gigaethernet0/0 et internet sur le port vlan1 via un modem.

Si cela peut vous aider, j’ai constaté que les pings continuaient de fonctionner normalement (+ de 1400 octets) entre les machines connectés sur le port gigaethernet0/0 et celles sur le port gigaethernet0/1 lorsque le routeur plante..

J’ai ouvert un incident chez le TAC Cisco. Le technicien m’a dit qu’il fallait changé le routeur. Je trouve çà bizarre.

interface GigabitEthernet0/0
ip address 192.168.6.2 255.255.255.0
ip access-group 107 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_100 in
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip policy route-map clear-df
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description $FW_INSIDE$$ETH-LAN$
ip address 192.168.1.2 255.255.255.0
ip access-group 108 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_100 in
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip policy route-map clear-df
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0/0
switchport access vlan 2
switchport mode trunk
!
interface FastEthernet0/0/1
switchport trunk native vlan 4
switchport mode trunk
!
interface FastEthernet0/0/2
switchport trunk native vlan 3
switchport mode trunk
!
interface FastEthernet0/0/3
switchport trunk native vlan 2
switchport mode trunk
!
interface Vlan1
description $FW_OUTSIDE$
ip address 192.168.26.3 255.255.255.0
ip access-group sdm_vlan1_in in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_101 in
ip inspect SDM_LOW out
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
interface Vlan2
description $FW_OUTSIDE$
ip address ********* 255.255.255.252
ip access-group sdm_vlan2_in in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect SDM_LOW out
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
interface Vlan3
description $FW_INSIDE$
ip address ********* 255.255.255.252
ip access-group sdm_vlan3_in in
no ip proxy-arp
ip inspect SDM_LOW out
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
crypto map SDM_CMAP_1
!
interface Vlan4
ip address 11.11.10.30 255.255.255.0
ip access-group sdm_vlan4_in in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
!

Merci à tous pour vos réponses. Very Happy
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Max06
Participant
Participant


Inscrit le: 03 Avr 2007
Messages: 43
MessagePosté le: Mer Mai 14, 2008 11:03 pm    Sujet du message: Répondre en citant
Bonsoir,

Le routeur a donc été changé il y a 1 mois. Hélas, j'ai toujours le même problème. Le routeur se fige au bout de 3 ou 4 jours. Internet ne fonctionne plus (uniquement les pings fonctionne). Les clients VPN ne peuvent plus se connecter sur l'EASY VPN Server et les tunnels DMVPNs tombent. Je suis obligé de le redémarrer et le routeur refonctionne pour quelques jours.

Ci-dessous la configuration actuelle. J'ai pris soin de supprimer ce qui ne sert à rien. J'ai paramétré tout çà avec SDM. Je sais c'est pas bien!!

Un incident est toujours ouvert chez le TAC de CISCO mais ils ne trouvent pas de solutions!!!
Je ne sais plus quoi faire.

Je ne pense pas qu'il s'agit d'un problème de timer car le routeur peut se figer au bout de 2 jours comme au bout de 1 semaine. C'est très aléatoire. Je ne pense pas qu'il s'agit non plus d'une surcharge CPU ou de mémoire car les "sh cpu" et "sh memory" n'affiche rien d'anormal.
Il y a 8 tunnels DMPNs, un serveur Easy VPN serveur configuré dessus.



-------------
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
crypto keyring dmvpnspokes
pre-shared-key address 0.0.0.0 0.0.0.0 key ########
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp invalid-spi-recovery
!
crypto isakmp client configuration group VMCC
key ######
dns 192.168.1.4 194.6.128.3
domain ######.fr
pool SDM_POOL_1
include-local-lan
crypto isakmp profile DMVPN
keyring dmvpnspokes
match identity address 0.0.0.0
crypto isakmp profile VPNclient
match identity group VMCC
client authentication list sdm_vpn_xauth_ml_4
isakmp authorization list sdm_vpn_group_ml_4
client configuration address respond
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile DMVPN
!
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA1
set isakmp-profile VPNclient
reverse-route
crypto dynamic-map SDM_DYNMAP_1 2
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_4
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_4
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
interface Tunnel0
bandwidth 1000
ip address 192.168.200.1 255.255.255.0
no ip redirects
ip mtu 1400
ip inspect SDM_LOW out
ip hold-time eigrp 1 120
ip nhrp authentication DMVPN_NW
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 360
ip tcp adjust-mss 1360
delay 1000
tunnel source Vlan2
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile SDM_Profile1
!
interface GigabitEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_LAN$$FW_INSIDE$$ETH-LAN$
ip address 192.168.6.2 255.255.255.0
ip access-group 107 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_102 in
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip policy route-map clear-df
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description $FW_INSIDE$$ETH-LAN$
ip address 192.168.1.2 255.255.255.0
ip access-group 108 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_100 in
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip policy route-map clear-df
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0/0
switchport access vlan 2
switchport mode trunk
!
interface FastEthernet0/0/1
switchport trunk native vlan 4
switchport mode trunk
!
interface FastEthernet0/0/2
switchport access vlan 3
switchport trunk native vlan 3
switchport mode trunk
!
interface FastEthernet0/0/3
switchport trunk native vlan 2
switchport mode trunk
!
interface Vlan1
description $FW_OUTSIDE$
ip address 192.168.26.3 255.255.255.0
ip access-group sdm_vlan1_in in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect sdm_ins_in_101 in
ip hold-time eigrp 1 120
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
interface Vlan2
description $FW_OUTSIDE$
ip address ####### 255.255.255.252
ip access-group sdm_vlan2_in in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect SDM_LOW out
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
interface Vlan3
description $FW_INSIDE$
ip address ######## 255.255.255.252
ip access-group sdm_vlan3_in in
no ip proxy-arp
ip inspect SDM_LOW out
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
crypto map SDM_CMAP_1
!
interface Vlan4
ip address ######## 255.255.255.0
ip access-group sdm_vlan4_in in
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
!
router eigrp 100
network 192.168.1.0
network 192.168.6.0
network 192.168.26.0
network 192.168.151.0
network 192.168.160.0
network 192.168.200.0
no auto-summary
!
route-map clear-df permit 10
match ip address 102
set ip df 0
-------------

Merci pour votre aide. J'en ai grandement besoin.
Rolling Eyes
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Samoussa
Visiteur
Visiteur


Inscrit le: 22 Mai 2008
Messages: 3
MessagePosté le: Jeu Mai 22, 2008 9:00 pm    Sujet du message: Répondre en citant
Salut,

Vu ton log "mac verify failed", c'est coté des conf crypto qu'il faut chercher: Mauvais KEY qu'un part ou d'autre.

Peut-être également que tu subis un DoS ou une tentative d'intrusion.

Sinon, je vérifierais également si ton problème ne vient pas d'un paramètre sur interface. Essaies de remettre certaines options par défaut (proxy arp) ou en supprimer (no ip route-cache)

Sinon un problème aléatoire peut venir d'un problème matériel, vu que le routeur a été changé: Vérifier les autres équipements interconnectés à ton routeur (Le fait de le redémarrer, réinitialise également le status de l'interface des équipements interconnectés avec lui: Retires les câbles réseaux et remets-les après 10 ou 20s et regardes si le PB persiste)

L’IOS également : Procéder à un upgrade corriger des disfonctionnements par toujours très connus.

Sinon, voir également coté énergie: T'as un onduleur? Changes de source d'énergie également.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Forum du Laboratoire SUPINFO des Technologies Cisco Index du Forum -> Configuration et problèmes de routeurs | Routers configurations and problems Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum


Powered by phpBB © phpBB Group
phpBB SEO

© Copyright 2000-2005 SUPINFO Paris, Paris Academy of Computer Science
23, rue de Château Landon - 75010 PARIS - Tél : +33 (0) 153359700 Fax : +33 (0) 153359701
Conditions d'utilisation et Copyright |  Respect de la vie privée

Site audité par