Jump to content
Калькуляторы

[РЕШЕНО] ADSL bridge + Cisco router = пропадает связь

Добрый день. Ситуация следующая. Есть ADSL-роутер D-Link, настроенный в режиме моста. К нему подключен маршрутизатор Cisco 881-K9 (из LAN длинка в WAN цсики). На стороне провайдера настроен прямой доступ в интернет (т.е. просто прописываем IP на интерфейсе, без pppoe соединений и прочих туннелей). Интернет работает. 

Проблема: несколько раз в день пропадает интернет. При этом: 
- из локальной сети циска доступна, по телнету на неё подключается 
- линк на интерфейсе WAN есть 
- если включить на циске terminal monitor, в консоли ничего лишнего 
- если программно выключить WAN на циске и включить через несколько секунд, связь появляется. Перезагрузка ADSL, соответственно, тоже помогает. 

Пробовал менять ADSL-модем на Zyxel - проблема осталась. 

До Cisco стоял TP-Link, проблем не было. Подскажите, в чём может быть проблема?

Edited by asid2006

Share this post


Link to post
Share on other sites

Весна. Талые воды залили колодцы кабельной канализации, телефонные кабели подмокли и dsl-линк стал нестабильным.

Share this post


Link to post
Share on other sites
2 minutes ago, Andrei said:

Весна. Талые воды залили колодцы кабельной канализации, телефонные кабели подмокли и dsl-линк стал нестабильным.

но ведь включение-выключение порта на Cisco (не ADSL роутер) помогает

Share this post


Link to post
Share on other sites
2 часа назад, asid2006 сказал:

Перезагрузка ADSL, соответственно, тоже помогает.

Я как-то больше обратил внимание на это.

 

Как вариант: на циске выставить скорость на порту принудительно в 100_full, а не auto.

В момент пропадания связи зайти на циску и посмотреть логи, состояние портов и т.п. диагностику

Share this post


Link to post
Share on other sites

  Диагностика однозначна - зайти на адсл и посмотреть логи и статистику. Затем сунуть показания адсл-статуса технику от рт, пусть приводит линию в порядок. И из их логов увидеть падения сессий. Чтобы глубоко не копать киску , на киске sho log и sho int status. ну и sho ver и sho env all не помешает - никто не вечен.

Share this post


Link to post
Share on other sites
1 час назад, YuryD сказал:

Диагностика однозначна - зайти на адсл

Он в режиме бриджа.

Share this post


Link to post
Share on other sites

Доброе день.

1. Попробовал прописать 100_full на WAN-интерфейсе циски. По ощущениям, связь стала пропадать реже, но всё-равно пропадает.

2. На ADSL зайти не могу - точка далеко и в бридже. Да и что может Zyxel или D-Link в логах показать?

3. Вывод запрошенных команд в момент отсутствия связи ниже. sho in status WAN-порт не показывает, поэтому, не привожу. После вывода логов как обычно на wan-порту делаю shutdown, жду секунд 5, no shutdown и связь появляется.

4. В момент отсутствия связи шлюз в сети провайдера с циски не пингуется.


cisco_router#show interfaces fastEthernet 4

Spoiler

 

FastEthernet4 is up, line protocol is up
  Hardware is PQII_PRO_UEC, address is 7069.5a80.6824 (bia 7069.5a80.6824)
  Description: WAN rt
  Internet address is X.X.X.X/30
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:04:48, output 00:00:14, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 4
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     2696669 packets input, 215114664 bytes
     Received 8 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     2790466 packets output, 314172419 bytes, 0 underruns
     0 output errors, 0 collisions, 10 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     4 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

 

 

 

 

 

В логах только записи о запрете доступа с определённых IP (прописано действие log в ACL) - их удалил из вывода.

cisco_router#show log
 

Spoiler

 

Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filterin                                                                                                                          g disabled)

No Active Message Discriminator.

No Inactive Message Discriminator.


    Console logging: level debugging, 4983 messages logged, xml disabled,
                     filtering disabled
    Monitor logging: level debugging, 1539 messages logged, xml disabled,
                     filtering disabled
    Buffer logging:  level debugging, 4983 messages logged, xml disabled,
                    filtering disabled
    Exception Logging: size (8192 bytes)
    Count and timestamp logging messages: disabled
    Persistent logging: disabled

No active filter modules.

    Trap logging: level informational, 4987 message lines logged
        Logging Source-Interface:       VRF Name:


Log Buffer (8192 bytes):
SSLOGP: list 101 denied tcp 212.109.201.73(54753) -> X.X.X.X(445), 1 packet
Apr  4 03:23:40.594: %SEC-6-IPACCESSLOGP: list 101 denied tcp 192.241.135.59(4277) -> X.X.X.X(23), 1 packet                                                                                                                           
Apr  4 03:24:37.998: %SEC-6-IPACCESSLOGP: list 101 denied tcp 31.163.62.52(6733) -> X.X.X.X(23), 1 packet
Apr  4 03:25:42.148: %SEC-6-IPACCESSLOGP: list 101 denied tcp 92.63.197.100(47668) -> X.X.X.X(22), 1 packet                                                                                                                           
Apr  4 03:27:00.392: %SEC-6-IPACCESSLOGP: list 101 denied tcp 109.130.206.126(1602) -> X.X.X.X(23), 1 packet                                                                                                                          
Apr  4 03:27:03.601: %SEC-6-IPACCESSLOGP: list 101 denied tcp 180.211.159.178(54951) -> X.X.X.X(23), 1 packe                        

 

...

 

 


cisco_router#show version
 

Spoiler

 

Cisco IOS Software, C800 Software (C800-UNIVERSALK9_NPE-M), Version 15.5(3)M5, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2017 by Cisco Systems, Inc.
Compiled Wed 25-Jan-17 04:11 by prod_rel_team

ROM: System Bootstrap, Version 15.4(1r)T1, RELEASE SOFTWARE (fc1)

cisco_router uptime is 3 days, 19 hours, 36 minutes
System returned to ROM by power-on
System restarted at 09:16:45 UTC Sun Mar 31 2019
System image file is "flash:c800-universalk9_npe-mz.SPA.155-3.M5.bin"
Last reload type: Normal Reload
Last reload reason: power-on

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco C881-K9 (revision 1.0) with 488524K/35763K bytes of memory.
Processor board ID FCZ221111AA
5 FastEthernet interfaces
DRAM configuration is 32 bits wide
255K bytes of non-volatile configuration memory.
254976K bytes of ATA System CompactFlash (Read/Write)


License Info:

License UDI:

-------------------------------------------------
Device#   PID                   SN
-------------------------------------------------
*1        C881-K9               FCZ221111AA

License Information for 'c800'
    License Level: advsecurity_npe   Type: Permanent
    Next reboot license Level: advsecurity_npe


Configuration register is 0x2102

 


cisco_router#show environment all

Spoiler

 

 Board Temperature : normal.

 Internal Power Supply  Type: DC
 Internal Power Supply  12V Output Status: Normal


REAL TIME CLOCK BATTERY STATUS
==============================
 Battery OK (checked at power up)

 

 

 

 

Edited by asid2006

Share this post


Link to post
Share on other sites

Если в логах циски падения WANа не видно, то вероятнее всего без диагностки ADSL-модема и линии не обойтись.

Если на циске есть NAT и натится много юзеров, то можно еще посмотреть тюнинговые настройки НАТа на циске. Может переполняется таблица нат-трансляций? Попробовать его подтюнить, типа

ip nat translation timeout 400
ip nat translation tcp-timeout 240
ip nat translation udp-timeout 120
ip nat translation icmp-timeout 20
ip nat translation port-timeout tcp 22 3600
ip nat translation max-entries 20000

 

Share this post


Link to post
Share on other sites

Из моего xDSL-опыта: чаще всего подобная неисправность возникала, когда клиент поймал вирус, который рассылает спам.

При этом полностью забивается узкий обратный канал и никакой TCP трафик не ходит.

Второй вариант -  клиентское оборудование шлет в Ethernet порт xDSL модема много битых пакетов. Через какое-то время модем перестает

принимать вообще все пакеты. Помогало поставить между портами модема и клиента какой-нибудь дешевый свитч, не пропускающий битых пакетов.

Кстати, на порту Cisco надо отключать все лишнее: cdp, lldp, stp

 

Share this post


Link to post
Share on other sites

Какая марка dlink?

Если 2640 u1 - там периодически слетает mac - адрес. Лечится обновлением прошивки.

Share this post


Link to post
Share on other sites
В 04.04.2019 в 08:07, asid2006 сказал:

На ADSL зайти не могу - точка далеко и в бридже. Да и что может Zyxel или D-Link в логах показать?

В смысле далеко? А что в промежутке?

Share this post


Link to post
Share on other sites
В 03.04.2019 в 21:58, Andrei сказал:

Он в режиме бриджа.

 Это совершенно то, что он имеет ip, хотя бы по умолчанию. Подключиться к нему непосредственно кабелем, сбросить в дефолт, затем судорожно пытать провайдера про иные настройки профиля адсл, если не умолчательные. Когда адсл поднимется, статистику адсл посмотреть, заскринить, и тыкнуть  провайдера в них.

 

 И не надо бояться сунуть провайдера в его собственные говнища, только делать это деликатно, аргументированно. У них логов поведения вашего порта побольше, чем у вас, так что - без надрыва в голосе, доказывайте, просите логи вашего адсл-порта, скорость и прочие падения. Желаю удачи, просто боюсь что в верхнюю техподдержку в рт вас не пропустят... Но ябеды могут сослужить, чем их больше, тем лучше.

Share this post


Link to post
Share on other sites
В 03.04.2019 в 19:58, Andrei сказал:

Он в режиме бриджа.

 

В 04.04.2019 в 08:07, asid2006 сказал:

2. На ADSL зайти не могу - точка далеко и в бридже. Да и что может Zyxel или D-Link в логах показать?

И что что он в бридже!?

У него всё равно вебморда доступна по какомунить 192.168.1.1, туда можно хоть из нета запросы через кошку натить.

Там всякие уровни видно, а может и о потере линка будут логи.

Share this post


Link to post
Share on other sites
6 минут назад, Ivan_83 сказал:

Там всякие уровни видно, а может и о потере линка будут логи.

 

В 03.04.2019 в 16:23, asid2006 сказал:

если программно выключить WAN на циске и включить через несколько секунд, связь появляется.

нестыковка.

Share this post


Link to post
Share on other sites
1 минуту назад, Andrei сказал:

нестыковка.

Значит кошка говно.

Включить на ней LCP или поставить какойнить тплинк перешитый в опенврт.

Share this post


Link to post
Share on other sites
5 минут назад, Andrei сказал:

 

нестыковка.

вачдог ?

 

5 минут назад, Ivan_83 сказал:

Значит кошка говно.

Включить на ней LCP или поставить какойнить тплинк перешитый в опенврт.

 :) делов-то, на копеечку, отловить мак-адреса на ван_якобы порту киски. sho mac | incl fa0/x. нету маков - что-то там не так.

Share this post


Link to post
Share on other sites

1. Детальнее обрисую общую схему:

Если очень упростить. Есть несколько серверов, которые установлены в удалённом подразделении (100+ км). В каждом из них по 2 сетевые карты. Одна смотрит в основной канал связи (своя ВОЛС), вторая в резервный (тот самый ADSL с интернетом, с которым проблемы). Серверы подключены напрямую в маршрутизатор. Этот маршрутизатор поднимает GRE до основного офиса, через который серверы общаются с основной сетью. NAT на нём не настроен. Есть маршрут до маршрутизатора в интернете, с которым поднимается GRE-туннель. Маршрута по-умолчанию нет.

 

2. Когда заметили проблемы, там стоял ADSL-роутер D-Link. Потом поменяли на Zyxel - проблемы остались.

 

3. Связь если после потери связи ничего не трогать, она восстановится сама через 2 минуты - 3 часа

 

4. Попробовал поставить между ADSL-роутером и циской неуправляемый 8-и портовый свитч длинк за 500 рублей, на WAN циски отключить cdp, lldp, stp - проблема осталась

 

5. Пробовал поставить второй IP из сети ADSL-роутера (192.168.1.2/24) на WAN циски (роутер не пингуется, но в sho arp его видно) - не помогло

 

6. show run:

Spoiler

Cisco_router#show running-config
Building configuration...

Current configuration : 3860 bytes
!
! Last configuration change at 15:53:54 UTC Fri Apr 5 2019 by admin
! NVRAM config last updated at 15:56:33 UTC Fri Apr 5 2019 by admin
!
version 15.5
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco_router
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 ***
!
no aaa new-model
ethernet lmi ce
!
!
!
!
!
!
!
!
!
!
!
no ip domain lookup
no ip cef optimize neighbor resolution
ip cef
no ipv6 cef
!
!
!
!
license udi pid C881-K9 sn ***
!
!
!
no spanning-tree vlan 1
no spanning-tree vlan 2
no spanning-tree vlan 16
vtp mode transparent
username admin privilege 15 password 7 ***
!
!
vlan 2
!
vlan 16
!
!
!
!
!
interface Tunnel106
 description VE
 ip address 10.10.10.18 255.255.255.252
 ip mtu 1400
 ip tcp adjust-mss 1360
 tunnel source [внешний_IP]
 tunnel destination <IP_головного_офиса>
!
interface FastEthernet0
 switchport access vlan 16
 no ip address
!
interface FastEthernet1
 description TechLan_Rezerv
 switchport access vlan 16
 no ip address
!
interface FastEthernet2
 switchport access vlan 16
 no ip address
!
interface FastEthernet3
 description corp net
 switchport access vlan 2
 no ip address
!
interface FastEthernet4
 description WAN rt
 ip address 192.168.1.2 255.255.255.0 secondary
 ip address [внешний_IP] 255.255.255.252
 ip virtual-reassembly in
 duplex full
 speed 100
 no lldp transmit
 no lldp receive
 no cdp enable
!
interface Vlan1
 no ip address
 ip virtual-reassembly in
!
interface Vlan2
 ip address 10.11.11.62 255.255.255.192
!
interface Vlan16
 ip address 10.12.12.17 255.255.255.240
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat inside source list 110 interface FastEthernet4 overload
ip route 10.0.0.0 255.0.0.0 10.10.10.17
ip route 172.16.0.0 255.240.0.0 10.10.10.17
ip route <IP_головного_офиса> 255.255.255.255 <шлюз_в_сети_провайдера>
ip route 192.168.0.0 255.255.0.0 10.10.10.17
!
!

!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 exec-timeout 0 0
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler allocate 20000 1000
ntp server ***
!
end
 

 

Share this post


Link to post
Share on other sites
24 минуты назад, asid2006 сказал:

3. Связь если после потери связи ничего не трогать, она восстановится сама через 2 минуты - 3 часа

Все же похоже на плохой dsl-линк на adsl-модеме.

Share this post


Link to post
Share on other sites

На все интерфейсы с адресами no ip proxy-arp / no ip redirects / no ip unreachable

 

как должен с такими маршрутами то трафик должен пойти в 192.168.1.1 ?

Share this post


Link to post
Share on other sites
48 minutes ago, Andrei said:

Все же похоже на плохой dsl-линк на adsl-модеме.

До этого вместо циски стоял тплинк. Связь пропадала, но где-то раз в месяц. Сейчас поставили циску - пропадает 3-5 раз за день. 

 

32 minutes ago, zhenya` said:

На все интерфейсы с адресами no ip proxy-arp / no ip redirects / no ip unreachable

 

как должен с такими маршрутами то трафик должен пойти в 192.168.1.1 ?

Вчера на этом интерфейсе висел acl, который вообще блокировал icmp с чужих хостов. Сейчас его нет, проблема осталась. Но на всякий случай прописал как говорите.

По проводу 192.168.1.1. На интерфейсе fa 4 (WAN) висит второй IP 192.168.1.2 с маской 255.255.255.0. Т.е. роутер в той же подсети, что и интерфейс. Дополнительные маршруты не нужны.

Наверно, не точно описал. Пинговать 192.168.1.1 пробовал с самой циски.

 

Также, отмечу, что по основному каналу связь с этой циской не пропадает.

Edited by asid2006

Share this post


Link to post
Share on other sites

внешний адрес также вам этот отдают через adsl ? 

 

у вас пинг то в нормальном состоянии есть до 1.1 ? 

 

 

Share this post


Link to post
Share on other sites
1 hour ago, zhenya` said:

внешний адрес также вам этот отдают через adsl ? 

 

у вас пинг то в нормальном состоянии есть до 1.1 ? 

 

 

Есть провайдер, который отдаёт интернет без поднятия pppoe-соединения - нужно только прописать IP на интерфейсе. Телефонка от него заходит в ADSL-роутер, который настроен в режиме моста. Из LAN порта этого роутера ethernet-кабель идёт в WAN-порт циски. С циски 192.168.1.1 не пингуется даже когда связь есть.

 

Заметил такой момент.

sho arp

Spoiler

...

Internet  х.х.х.х        255   yyyy.yyyy.yyyy  ARPA   FastEthernet4

...

 

x.x.x.x - это шлюз в сети провайдера, yyyy.yyyy.yyyy - его mac

 

Время жизни показывает 255 минут (что больше 4 часов).

 

При том, что ARP Timeout - 4 часа:

show interfaces fastEthernet 4
 

Spoiler

FastEthernet4 is up, line protocol is up
  Hardware is PQII_PRO_UEC, address is xxx (bia xxx)
  Description: WAN rt
  Internet address is x.x.x.x/30
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  ...

 

Возможно, шлюз провайдера и эта циска не могут договориться по ARP?

Edited by asid2006

Share this post


Link to post
Share on other sites

то есть вы смешали эти 2 соединения и подаете это на фа4? разбирайтесь почему у вас нет связи между адсл модемом и циской. ))

Share this post


Link to post
Share on other sites

Попробуйте проделать следующий эксперимент:

Подключите свитч между Cisco и модемом и при очередном обрыве связи

отключите/подключите кабель от свитча к модему и посмотрите, восстановится ли связь.

 

При случае попробуйте на Cisco вместо "shutdown/no shutdown"  команду "clear arp fa4"

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now