sirmax Опубликовано 3 июня, 2010 · Жалоба Есть странная проблема с маршрутизацией. Есть сервер. Есть клиенты, подключаемые по ВПН (pptp) [сервер]----VLAN10--[Cat 4900M int vlan 10 vrf srv ]----BGP--[C76 Sup32]---OSPF---[VPN (c3800)]--[клиент] При этом часть клиентов с VPN могут "достучаться" до сервера, а часть - нет. Никакой логики не выявлено. Все маршруты одинаковые. Есть предположение что где-то существует какая-то запись в кеше... но что проверять. Естественно, со всех промежуточных точек связь как до клиента так и до сервера есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 3 июня, 2010 · Жалоба Так это, смотрите в фиб первым же делом. А там по ситуации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 3 июня, 2010 · Жалоба Дополню. Клиент - это динамический IP из /22 и связи с тем какой IP выдан нет. 2 соседних IP могут вести себя по-разному. Общее для них только IP сервера. Ломаю голову 2-й день Так это, смотрите в фиб первым же делом. А там по ситуации.Подскажите плз комманду.Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 3 июня, 2010 · Жалоба посмотрите на количество маршрутов в BGP. если у вас BGP фулвью, то возможно анонсируются не все маршруты, у SUP32 ограничение на количество маршрутов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 3 июня, 2010 · Жалоба Маршрутов мало, никакого фулл-вью там нет. Все очевидные вещи вроде "нет маршрута" или "мало памяти" - проверил. Повторюсь, с самого SUP32 все нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 3 июня, 2010 · Жалоба езерченелы есть? может быть кривая балансировка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 3 июня, 2010 · Жалоба езерченелы есть?может быть кривая балансировка. Хм.. Да, есть по пути (на схеме не показаны).Действительно, вариант. но как проверить? (все остальное работает нормально, а траффика там под 3 гига по PortChennel ходит..) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 3 июня, 2010 · Жалоба для начала показать конфигурацию с указанием на обеих свичах типа балансировки и сколько maximum-paths в BGP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 3 июня, 2010 · Жалоба ingress Про BGP это вы зря, там 2 маршрута. Более того, они работают. Более того, они продублированы статикой. (т.ак сложилось исторически). Этот ВРФ (см. схему) просто имитирует снятый роутер с АС и БГП, к которому были подключены когда-то сервера. Ни траффика ни кучи маршрутов там нет, копейки какие-то. Осталось какая-то мелочь. Насчет балансировки - соврал. Сейчас проверил, этот влан идет отдельным физическим линком. Приношу извинения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 3 июня, 2010 · Жалоба а что значит достучаться до сервера? ping не проходит? по http не заходит? если ping проходит, а http нет, то копать в сторону MTU, ну или проще на темплейтах сделать tcp mss-adjust до 1400 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 3 июня, 2010 · Жалоба нет связи, значит что не ходит пинг. При этом его не видит tcpdump. Файрволл проверил, естественно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 3 июня, 2010 · Жалоба Уверены, что не возникает косяков с маршрутизацией на клиенте, все маршруты устанавливаются (не только отдаются, но и устанавливаются) нормально? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 3 июня, 2010 · Жалоба В vlan 10 что-нибудь, кроме озвученного сервера, есть? Есть ли связь с другими серверами в тот момент, когда нет связи с самим сервером? tcpdump-ом где траффик смотрите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 3 июня, 2010 · Жалоба Nailer Становлюсь tcpdump на сервер, вижу что пакеты уходят. От других (на том же ВПНсервере, более того, с тем же логином но с другим IP после пересоединения) - все ОК. на клиенте, пускаю traceroute, вижу до M4900, потом звезды на сервер, пускаю traceroute, вижу 1-й хоп (4900), потом звезды. в Влан10 есть другие сервера, с ними нет проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 3 июня, 2010 · Жалоба tcpdumpом видны приходящие пакеты от клиента? Т.е. теряются пакеты в обе стороны или только от сервера к клиенту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 3 июня, 2010 · Жалоба Valaskor перепроверю утром, но, если я не ошибаюсь, то на сервер видны и приходящие и уходящие (т.е. как будо все ОК). но до клиента ответы уже не доходят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 3 июня, 2010 · Жалоба Трейс с сервера запускаете на адрес клиента? При этом трейс на адрес соседнего клиента в той же ip-сети проходит? Конфиги цисок покажите и маршруты в vrf-ах.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 4 июня, 2010 · Жалоба Подскажите плз комманду. sh ip cef вестимо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 8 июня, 2010 · Жалоба tgz Хм... Похоже что Вы натолкнули меня на решение. Очистка маршрутов (no ip route ... ip route ...) (на 4900) решила проблему... Вероятно все таки что то было в cef хотя .... ( Вобщем, очень странно. делал diff для конфигов "до" и "после" - нет изменений... В любом случае, спасибо всем кто откликнулся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tgz Опубликовано 9 июня, 2010 · Жалоба Очистка маршрутов (no ip route ... ip route ...) (на 4900) решила проблему... Это бывает, рассинхронизация риба и фиба у цыски обычное дело. Но лечить лучше через clear ip route, что бы разом. Хотя оно и неприятно, так как приводит к минутному перерыву сервиса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...