asid2006 Опубликовано 3 апреля, 2019 (изменено) · Жалоба Добрый день. Ситуация следующая. Есть ADSL-роутер D-Link, настроенный в режиме моста. К нему подключен маршрутизатор Cisco 881-K9 (из LAN длинка в WAN цсики). На стороне провайдера настроен прямой доступ в интернет (т.е. просто прописываем IP на интерфейсе, без pppoe соединений и прочих туннелей). Интернет работает. Проблема: несколько раз в день пропадает интернет. При этом: - из локальной сети циска доступна, по телнету на неё подключается - линк на интерфейсе WAN есть - если включить на циске terminal monitor, в консоли ничего лишнего - если программно выключить WAN на циске и включить через несколько секунд, связь появляется. Перезагрузка ADSL, соответственно, тоже помогает. Пробовал менять ADSL-модем на Zyxel - проблема осталась. До Cisco стоял TP-Link, проблем не было. Подскажите, в чём может быть проблема? Изменено 22 апреля, 2019 пользователем asid2006 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2019 · Жалоба Весна. Талые воды залили колодцы кабельной канализации, телефонные кабели подмокли и dsl-линк стал нестабильным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asid2006 Опубликовано 3 апреля, 2019 · Жалоба 2 minutes ago, Andrei said: Весна. Талые воды залили колодцы кабельной канализации, телефонные кабели подмокли и dsl-линк стал нестабильным. но ведь включение-выключение порта на Cisco (не ADSL роутер) помогает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2019 · Жалоба 2 часа назад, asid2006 сказал: Перезагрузка ADSL, соответственно, тоже помогает. Я как-то больше обратил внимание на это. Как вариант: на циске выставить скорость на порту принудительно в 100_full, а не auto. В момент пропадания связи зайти на циску и посмотреть логи, состояние портов и т.п. диагностику Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 3 апреля, 2019 · Жалоба Диагностика однозначна - зайти на адсл и посмотреть логи и статистику. Затем сунуть показания адсл-статуса технику от рт, пусть приводит линию в порядок. И из их логов увидеть падения сессий. Чтобы глубоко не копать киску , на киске sho log и sho int status. ну и sho ver и sho env all не помешает - никто не вечен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 3 апреля, 2019 · Жалоба 1 час назад, YuryD сказал: Диагностика однозначна - зайти на адсл Он в режиме бриджа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asid2006 Опубликовано 4 апреля, 2019 (изменено) · Жалоба Доброе день. 1. Попробовал прописать 100_full на WAN-интерфейсе циски. По ощущениям, связь стала пропадать реже, но всё-равно пропадает. 2. На ADSL зайти не могу - точка далеко и в бридже. Да и что может Zyxel или D-Link в логах показать? 3. Вывод запрошенных команд в момент отсутствия связи ниже. sho in status WAN-порт не показывает, поэтому, не привожу. После вывода логов как обычно на wan-порту делаю shutdown, жду секунд 5, no shutdown и связь появляется. 4. В момент отсутствия связи шлюз в сети провайдера с циски не пингуется. cisco_router#show interfaces fastEthernet 4 Spoiler FastEthernet4 is up, line protocol is up Hardware is PQII_PRO_UEC, address is 7069.5a80.6824 (bia 7069.5a80.6824) Description: WAN rt Internet address is X.X.X.X/30 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:04:48, output 00:00:14, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 4 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 2696669 packets input, 215114664 bytes Received 8 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog 0 input packets with dribble condition detected 2790466 packets output, 314172419 bytes, 0 underruns 0 output errors, 0 collisions, 10 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 4 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out В логах только записи о запрете доступа с определённых IP (прописано действие log в ACL) - их удалил из вывода. cisco_router#show log Spoiler Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filterin g disabled) No Active Message Discriminator. No Inactive Message Discriminator. Console logging: level debugging, 4983 messages logged, xml disabled, filtering disabled Monitor logging: level debugging, 1539 messages logged, xml disabled, filtering disabled Buffer logging: level debugging, 4983 messages logged, xml disabled, filtering disabled Exception Logging: size (8192 bytes) Count and timestamp logging messages: disabled Persistent logging: disabled No active filter modules. Trap logging: level informational, 4987 message lines logged Logging Source-Interface: VRF Name: Log Buffer (8192 bytes): SSLOGP: list 101 denied tcp 212.109.201.73(54753) -> X.X.X.X(445), 1 packet Apr 4 03:23:40.594: %SEC-6-IPACCESSLOGP: list 101 denied tcp 192.241.135.59(4277) -> X.X.X.X(23), 1 packet Apr 4 03:24:37.998: %SEC-6-IPACCESSLOGP: list 101 denied tcp 31.163.62.52(6733) -> X.X.X.X(23), 1 packet Apr 4 03:25:42.148: %SEC-6-IPACCESSLOGP: list 101 denied tcp 92.63.197.100(47668) -> X.X.X.X(22), 1 packet Apr 4 03:27:00.392: %SEC-6-IPACCESSLOGP: list 101 denied tcp 109.130.206.126(1602) -> X.X.X.X(23), 1 packet Apr 4 03:27:03.601: %SEC-6-IPACCESSLOGP: list 101 denied tcp 180.211.159.178(54951) -> X.X.X.X(23), 1 packe ... cisco_router#show version Spoiler Cisco IOS Software, C800 Software (C800-UNIVERSALK9_NPE-M), Version 15.5(3)M5, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2017 by Cisco Systems, Inc. Compiled Wed 25-Jan-17 04:11 by prod_rel_team ROM: System Bootstrap, Version 15.4(1r)T1, RELEASE SOFTWARE (fc1) cisco_router uptime is 3 days, 19 hours, 36 minutes System returned to ROM by power-on System restarted at 09:16:45 UTC Sun Mar 31 2019 System image file is "flash:c800-universalk9_npe-mz.SPA.155-3.M5.bin" Last reload type: Normal Reload Last reload reason: power-on This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at:http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco C881-K9 (revision 1.0) with 488524K/35763K bytes of memory. Processor board ID FCZ221111AA 5 FastEthernet interfaces DRAM configuration is 32 bits wide 255K bytes of non-volatile configuration memory. 254976K bytes of ATA System CompactFlash (Read/Write) License Info: License UDI: ------------------------------------------------- Device# PID SN ------------------------------------------------- *1 C881-K9 FCZ221111AA License Information for 'c800' License Level: advsecurity_npe Type: Permanent Next reboot license Level: advsecurity_npe Configuration register is 0x2102 cisco_router#show environment all Spoiler Board Temperature : normal. Internal Power Supply Type: DC Internal Power Supply 12V Output Status: Normal REAL TIME CLOCK BATTERY STATUS ============================== Battery OK (checked at power up) Изменено 4 апреля, 2019 пользователем asid2006 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 4 апреля, 2019 · Жалоба Если в логах циски падения WANа не видно, то вероятнее всего без диагностки ADSL-модема и линии не обойтись. Если на циске есть NAT и натится много юзеров, то можно еще посмотреть тюнинговые настройки НАТа на циске. Может переполняется таблица нат-трансляций? Попробовать его подтюнить, типа ip nat translation timeout 400 ip nat translation tcp-timeout 240 ip nat translation udp-timeout 120 ip nat translation icmp-timeout 20 ip nat translation port-timeout tcp 22 3600 ip nat translation max-entries 20000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Umux Опубликовано 4 апреля, 2019 · Жалоба Из моего xDSL-опыта: чаще всего подобная неисправность возникала, когда клиент поймал вирус, который рассылает спам. При этом полностью забивается узкий обратный канал и никакой TCP трафик не ходит. Второй вариант - клиентское оборудование шлет в Ethernet порт xDSL модема много битых пакетов. Через какое-то время модем перестает принимать вообще все пакеты. Помогало поставить между портами модема и клиента какой-нибудь дешевый свитч, не пропускающий битых пакетов. Кстати, на порту Cisco надо отключать все лишнее: cdp, lldp, stp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Димыч Опубликовано 4 апреля, 2019 · Жалоба Какая марка dlink? Если 2640 u1 - там периодически слетает mac - адрес. Лечится обновлением прошивки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 5 апреля, 2019 · Жалоба В 04.04.2019 в 08:07, asid2006 сказал: На ADSL зайти не могу - точка далеко и в бридже. Да и что может Zyxel или D-Link в логах показать? В смысле далеко? А что в промежутке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 5 апреля, 2019 · Жалоба show run Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 апреля, 2019 · Жалоба В 03.04.2019 в 21:58, Andrei сказал: Он в режиме бриджа. Это совершенно то, что он имеет ip, хотя бы по умолчанию. Подключиться к нему непосредственно кабелем, сбросить в дефолт, затем судорожно пытать провайдера про иные настройки профиля адсл, если не умолчательные. Когда адсл поднимется, статистику адсл посмотреть, заскринить, и тыкнуть провайдера в них. И не надо бояться сунуть провайдера в его собственные говнища, только делать это деликатно, аргументированно. У них логов поведения вашего порта побольше, чем у вас, так что - без надрыва в голосе, доказывайте, просите логи вашего адсл-порта, скорость и прочие падения. Желаю удачи, просто боюсь что в верхнюю техподдержку в рт вас не пропустят... Но ябеды могут сослужить, чем их больше, тем лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 апреля, 2019 · Жалоба В 03.04.2019 в 19:58, Andrei сказал: Он в режиме бриджа. В 04.04.2019 в 08:07, asid2006 сказал: 2. На ADSL зайти не могу - точка далеко и в бридже. Да и что может Zyxel или D-Link в логах показать? И что что он в бридже!? У него всё равно вебморда доступна по какомунить 192.168.1.1, туда можно хоть из нета запросы через кошку натить. Там всякие уровни видно, а может и о потере линка будут логи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 5 апреля, 2019 · Жалоба 6 минут назад, Ivan_83 сказал: Там всякие уровни видно, а может и о потере линка будут логи. В 03.04.2019 в 16:23, asid2006 сказал: если программно выключить WAN на циске и включить через несколько секунд, связь появляется. нестыковка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 5 апреля, 2019 · Жалоба 1 минуту назад, Andrei сказал: нестыковка. Значит кошка говно. Включить на ней LCP или поставить какойнить тплинк перешитый в опенврт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 5 апреля, 2019 · Жалоба 5 минут назад, Andrei сказал: нестыковка. вачдог ? 5 минут назад, Ivan_83 сказал: Значит кошка говно. Включить на ней LCP или поставить какойнить тплинк перешитый в опенврт. :) делов-то, на копеечку, отловить мак-адреса на ван_якобы порту киски. sho mac | incl fa0/x. нету маков - что-то там не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asid2006 Опубликовано 6 апреля, 2019 · Жалоба 1. Детальнее обрисую общую схему: Если очень упростить. Есть несколько серверов, которые установлены в удалённом подразделении (100+ км). В каждом из них по 2 сетевые карты. Одна смотрит в основной канал связи (своя ВОЛС), вторая в резервный (тот самый ADSL с интернетом, с которым проблемы). Серверы подключены напрямую в маршрутизатор. Этот маршрутизатор поднимает GRE до основного офиса, через который серверы общаются с основной сетью. NAT на нём не настроен. Есть маршрут до маршрутизатора в интернете, с которым поднимается GRE-туннель. Маршрута по-умолчанию нет. 2. Когда заметили проблемы, там стоял ADSL-роутер D-Link. Потом поменяли на Zyxel - проблемы остались. 3. Связь если после потери связи ничего не трогать, она восстановится сама через 2 минуты - 3 часа 4. Попробовал поставить между ADSL-роутером и циской неуправляемый 8-и портовый свитч длинк за 500 рублей, на WAN циски отключить cdp, lldp, stp - проблема осталась 5. Пробовал поставить второй IP из сети ADSL-роутера (192.168.1.2/24) на WAN циски (роутер не пингуется, но в sho arp его видно) - не помогло 6. show run: Spoiler Cisco_router#show running-config Building configuration... Current configuration : 3860 bytes ! ! Last configuration change at 15:53:54 UTC Fri Apr 5 2019 by admin ! NVRAM config last updated at 15:56:33 UTC Fri Apr 5 2019 by admin ! version 15.5 service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Cisco_router ! boot-start-marker boot-end-marker ! ! enable secret 5 *** ! no aaa new-model ethernet lmi ce ! ! ! ! ! ! ! ! ! ! ! no ip domain lookup no ip cef optimize neighbor resolution ip cef no ipv6 cef ! ! ! ! license udi pid C881-K9 sn *** ! ! ! no spanning-tree vlan 1 no spanning-tree vlan 2 no spanning-tree vlan 16 vtp mode transparent username admin privilege 15 password 7 *** ! ! vlan 2 ! vlan 16 ! ! ! ! ! interface Tunnel106 description VE ip address 10.10.10.18 255.255.255.252 ip mtu 1400 ip tcp adjust-mss 1360 tunnel source [внешний_IP] tunnel destination <IP_головного_офиса> ! interface FastEthernet0 switchport access vlan 16 no ip address ! interface FastEthernet1 description TechLan_Rezerv switchport access vlan 16 no ip address ! interface FastEthernet2 switchport access vlan 16 no ip address ! interface FastEthernet3 description corp net switchport access vlan 2 no ip address ! interface FastEthernet4 description WAN rt ip address 192.168.1.2 255.255.255.0 secondary ip address [внешний_IP] 255.255.255.252 ip virtual-reassembly in duplex full speed 100 no lldp transmit no lldp receive no cdp enable ! interface Vlan1 no ip address ip virtual-reassembly in ! interface Vlan2 ip address 10.11.11.62 255.255.255.192 ! interface Vlan16 ip address 10.12.12.17 255.255.255.240 ! ip forward-protocol nd no ip http server no ip http secure-server ! ip nat inside source list 110 interface FastEthernet4 overload ip route 10.0.0.0 255.0.0.0 10.10.10.17 ip route 172.16.0.0 255.240.0.0 10.10.10.17 ip route <IP_головного_офиса> 255.255.255.255 <шлюз_в_сети_провайдера> ip route 192.168.0.0 255.255.0.0 10.10.10.17 ! ! ! ! ! line con 0 no modem enable line aux 0 line vty 0 4 exec-timeout 0 0 privilege level 15 login local transport input telnet ssh ! scheduler allocate 20000 1000 ntp server *** ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 апреля, 2019 · Жалоба 24 минуты назад, asid2006 сказал: 3. Связь если после потери связи ничего не трогать, она восстановится сама через 2 минуты - 3 часа Все же похоже на плохой dsl-линк на adsl-модеме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 апреля, 2019 · Жалоба На все интерфейсы с адресами no ip proxy-arp / no ip redirects / no ip unreachable как должен с такими маршрутами то трафик должен пойти в 192.168.1.1 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asid2006 Опубликовано 6 апреля, 2019 (изменено) · Жалоба 48 minutes ago, Andrei said: Все же похоже на плохой dsl-линк на adsl-модеме. До этого вместо циски стоял тплинк. Связь пропадала, но где-то раз в месяц. Сейчас поставили циску - пропадает 3-5 раз за день. 32 minutes ago, zhenya` said: На все интерфейсы с адресами no ip proxy-arp / no ip redirects / no ip unreachable как должен с такими маршрутами то трафик должен пойти в 192.168.1.1 ? Вчера на этом интерфейсе висел acl, который вообще блокировал icmp с чужих хостов. Сейчас его нет, проблема осталась. Но на всякий случай прописал как говорите. По проводу 192.168.1.1. На интерфейсе fa 4 (WAN) висит второй IP 192.168.1.2 с маской 255.255.255.0. Т.е. роутер в той же подсети, что и интерфейс. Дополнительные маршруты не нужны. Наверно, не точно описал. Пинговать 192.168.1.1 пробовал с самой циски. Также, отмечу, что по основному каналу связь с этой циской не пропадает. Изменено 6 апреля, 2019 пользователем asid2006 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 апреля, 2019 · Жалоба внешний адрес также вам этот отдают через adsl ? у вас пинг то в нормальном состоянии есть до 1.1 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asid2006 Опубликовано 6 апреля, 2019 (изменено) · Жалоба 1 hour ago, zhenya` said: внешний адрес также вам этот отдают через adsl ? у вас пинг то в нормальном состоянии есть до 1.1 ? Есть провайдер, который отдаёт интернет без поднятия pppoe-соединения - нужно только прописать IP на интерфейсе. Телефонка от него заходит в ADSL-роутер, который настроен в режиме моста. Из LAN порта этого роутера ethernet-кабель идёт в WAN-порт циски. С циски 192.168.1.1 не пингуется даже когда связь есть. Заметил такой момент. sho arp Spoiler ... Internet х.х.х.х 255 yyyy.yyyy.yyyy ARPA FastEthernet4 ... x.x.x.x - это шлюз в сети провайдера, yyyy.yyyy.yyyy - его mac Время жизни показывает 255 минут (что больше 4 часов). При том, что ARP Timeout - 4 часа: show interfaces fastEthernet 4 Spoiler FastEthernet4 is up, line protocol is up Hardware is PQII_PRO_UEC, address is xxx (bia xxx) Description: WAN rt Internet address is x.x.x.x/30 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 ... Возможно, шлюз провайдера и эта циска не могут договориться по ARP? Изменено 6 апреля, 2019 пользователем asid2006 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 апреля, 2019 · Жалоба то есть вы смешали эти 2 соединения и подаете это на фа4? разбирайтесь почему у вас нет связи между адсл модемом и циской. )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Umux Опубликовано 6 апреля, 2019 · Жалоба Попробуйте проделать следующий эксперимент: Подключите свитч между Cisco и модемом и при очередном обрыве связи отключите/подключите кабель от свитча к модему и посмотрите, восстановится ли связь. При случае попробуйте на Cisco вместо "shutdown/no shutdown" команду "clear arp fa4" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...