ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Eugene M. Zheganin                   2:5054/37.63   08 Nov 2007  19:54:46
 To : All
 Subject : ipsec-isakmp trouble
 -------------------------------------------------------------------------------- 
 

 
 Есть 2821, IOS 12.4(15)T1.
 К ней звездой 100+ тоннелей, gre/ipinip, поверх них ipsec/isakmp ah+esp.
 
 Со временем появилась проблема - некоторые точки, это одна-две из более чем
 сотни, не могут пропихнуть isakmp sa, и перейти в Quick Mode. И дальше не
 заводится туннель, потому что невозможно пропихнуть друг другу SA.
 
 Диагностика такая: фильтров между ними, мешающих isakmp нет, оба конца
 пингуются, оба шлют друг другу пакеты, и оба ругаются на Death by
 retransmission. И снова начинают друг другу пропозалы слать. Также в логах стоит
 ругань в ключе "ремота начала Main Mode proposals заново, тогда я тоже начну
 заново".
 
 В данный момент все это лечится cle crypto isakmp на центральном Ipsec-хабе.
 После этого все некоторое время работает.
 cle crypto isakmp на ремотах не помогает. Также известно, что такой бедой
 периодически страдают все ремоты, в случайном порядке.
 
 Hет ли каких таймеров MM, которые можно подкрутить ?
 Пробовал заменить MM на Aggressive Mode, те же яйца.
 
                                     Hа этом остаюсь искренне Ваш, Евгений.
 --- GoldED+/BSD 1.1.5-b20061116
  * Origin:  Если drook оказался vdrook (c)  (2:5054/37.63)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    ipsec-isakmp trouble   Eugene M. Zheganin   08 Nov 2007 19:54:46   ipsec-isakmp trouble   Slawa Olhovchenkov   08 Nov 2007 19:58:12   ipsec-isakmp trouble   Eugene M. Zheganin   15 Nov 2007 20:17:22