пресловутый MTU

Все остальное

Re: пресловутый MTU

Сообщение waxmax » 20 мар 2012, 13:09

Вроде нет ничего особенного
Код: Выделить всё
interface GigabitEthernet0/0
 description wan
 no ip address
 ip virtual-reassembly
 ip tcp adjust-mss 1424
 ip policy route-map clear-df
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface Dialer0
 ip address negotiated
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username *****
!
2921#sh int gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Hardware is CN Gigabit Ethernet, address is 1cdf.0f26.ac40 (bia 1cdf.0f26.ac40)
  Description: wan
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 13/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full Duplex, 100Mbps, media type is RJ45
  output flow-control is unsupported, input flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 03:31:48, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 5322000 bits/sec, 521 packets/sec
  5 minute output rate 331000 bits/sec, 327 packets/sec
     926229800 packets input, 4250734900 bytes, 0 no buffer
     Received 24763 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     15353 input errors, 0 CRC, 0 frame, 15353 overrun, 0 ignored
     0 watchdog, 24763 multicast, 0 pause input
     690639567 packets output, 1155249401 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     1 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 pause output
     0 output buffer failures, 0 output buffers swapped out
!
2921#sh int dialer 0
Dialer0 is up, line protocol is up (spoofing)
  Hardware is Unknown
  Internet address is 46.20.67.18/32
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 255/255, rxload 255/255
  Encapsulation PPP, LCP Closed, loopback not set
  Keepalive set (10 sec)
  DTR is pulsed for 1 seconds on reset
  Interface is bound to Vi2
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 22w3d
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 86000
  Queueing strategy: weighted fair
  Output queue: 0/1000/64/0 (size/max total/threshold/drops)
     Conversations  0/0/16 (active/max active/max total)
     Reserved Conversations 0/0 (allocated/max allocated)
     Available Bandwidth 42 kilobits/sec
  5 minute input rate 5357000 bits/sec, 534 packets/sec
  5 minute output rate 264000 bits/sec, 311 packets/sec
     923491268 packets input, 2901919333 bytes
     689047724 packets output, 861840601 bytes
Bound to:
Virtual-Access2 is up, line protocol is up
  Hardware is Virtual Access interface
  MTU 1500 bytes, BW 56 Kbit/sec, DLY 20000 usec,
     reliability 255/255, txload 255/255, rxload 255/255
  Encapsulation PPP, LCP Open
  Stopped: CDPCP
  Open: IPCP
  PPPoE vaccess, cloned from Dialer0
  Vaccess status 0x44, loopback not set
  Keepalive set (10 sec)
  Interface is bound to Di0 (Encapsulation PPP)
  Last input 00:00:00, output never, output hang never
  Last clearing of "show interface" counters 03:32:51
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 5354000 bits/sec, 535 packets/sec
  5 minute output rate 286000 bits/sec, 338 packets/sec
     5508888 packets input, 2278873287 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     3618083 packets output, 553057629 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions


Реальник это что? ИП?
К сожалению нет возможности включица вместо аплинка. Работают до 8 вечера очень много народу((
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: пресловутый MTU

Сообщение lehisnoe » 20 мар 2012, 14:57

waxmax писал(а):Вроде нет ничего особенного
Как минимум, обращают на себя внимание входящие ошибки на gi0/0:
Код: Выделить всё
15353 input errors

Попробуй сделать
Код: Выделить всё
clear counter gi0/0
и понаблюдать, будут ли расти ошибки.

waxmax писал(а):Реальник это что? ИП?
Да, это IP, который напрямую доступен из инета (без NAT, PAT и т.п. преобразований). Аналогичные названия - белый/публичный/прямой IP. Пример - выданный тебе провом IP - 46.20.67.18. На сколько я понимаю, этот адрес и является единственным...

waxmax писал(а):нет возможности включица вместо аплинка.
Жаль. Было бы здорово поднять рррое-соединение с компа, добросив до него локалку прова через 3560, например, через 10-ый влан...

Все-таки, у меня стойкое подозрение, что ноги у твоих проблем растут из 2921, т.к. на 3560, судя по запощенным тобой данным, проблемам взяться просто не откуда.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: пресловутый MTU

Сообщение lehisnoe » 20 мар 2012, 15:20

Так же советую почитать Adjust the PPPoE MTU Size on the Cisco DSL Router.
Не смущайся присутствия "DSL" - принцип там описан верно. И привести конфиг на своей 2921 в соответствие:

    Код: Выделить всё
    ip adjust-mss 1452
    должны быть даны на ифейсах, смотрящих в сторону локалки (gi0/2.10, gi0/2.20 и т.д.)

    на Dialer0 следует дать
    Код: Выделить всё
    mtu 1492

    во всех остальных местах убрать, команды, касаемые mss и сброса df.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: пресловутый MTU

Сообщение waxmax » 20 мар 2012, 15:36

Код: Выделить всё
2921#sh int gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Hardware is CN Gigabit Ethernet, address is 1cdf.0f26.ac40 (bia 1cdf.0f26.ac40)
  Description: wan
  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 5/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full Duplex, 100Mbps, media type is RJ45
  output flow-control is unsupported, input flow-control is unsupported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 05:57:47, output 00:00:00, output hang never
  Last clearing of "show interface" counters 00:07:34
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 2148000 bits/sec, 243 packets/sec
  5 minute output rate 221000 bits/sec, 180 packets/sec
     106842 packets input, 108270143 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 4294942533 multicast, 0 pause input
     80551 packets output, 13111100 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier, 0 pause output
     0 output buffer failures, 0 output buffers swapped out

Очистил, покидал файлы по rdp,- так же зависает и не пролазят в итоге.
сходил не ленту ру, потом увеличил мту до 1500 на компе, о5 сходил на лентуру, все время выводил шоу инт, вот то что выше все время было.

Проблема то возникла после поднятия виланов на каталисте.

Сейчас попробую почитать и поправить mss и мту на 2921
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: пресловутый MTU

Сообщение waxmax » 20 мар 2012, 16:14

lehisnoe писал(а): И привести конфиг на своей 2921 в соответствие:

    Код: Выделить всё
    ip adjust-mss 1452
    должны быть даны на ифейсах, смотрящих в сторону локалки (gi0/2.10, gi0/2.20 и т.д.)

    на Dialer0 следует дать
    Код: Выделить всё
    mtu 1492

    во всех остальных местах убрать, команды, касаемые mss и сброса df.


АЛИЛУЯ!
Все заработало!
Покорнейше благодарю! :)

Теперь нижайше прошу объяснить, что это было, а то я совсем запутался в этих mss итд. :(
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: пресловутый MTU

Сообщение waxmax » 21 мар 2012, 09:31

Вроди лента ру заработало и тд, но
Вот проблема с RDP осталась((
Не возможно передавать файлы, и соответственно зависают другие терминальные сеансы поверх этого рдп.
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: пресловутый MTU

Сообщение lehisnoe » 21 мар 2012, 10:13

waxmax писал(а):прошу объяснить, что это было
Все просто: на ифейсе Dialer0, подключающемся по PPPoE, указываем реальный mtu - 1492 (фреймы большего размера по PPPoE без фрагментации просто не проходят, т.к. сам заголовок РРРоЕ 8 байт). На ифейсах, смотрящих в локалку говоришь, что mss не больше 1452 байт (1492 байта mtu минус 20 байт заголовка IP-пакета и еще минус 20 байт заголовка tcp). Вот и вся "магия".
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: пресловутый MTU

Сообщение waxmax » 21 мар 2012, 11:04

Ну а с RDP что тогда?
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Re: пресловутый MTU

Сообщение lehisnoe » 21 мар 2012, 12:25

waxmax писал(а):Ну а с RDP что тогда?

Нужно смотреть на размер mss в заголовках tcp-пакетов с установленными флагами SYN, SYN+ACK.
Для этого можно воспользоваться снифером wireshark, указав в нем фильтр
Код: Выделить всё
tcp.flags.syn==1 or ( tcp.flags.ack ==1 and tcp.flags.syn==1)


P.S. А давай ка сюда полный конфиг 2921.
P.P.S. Ошибки на gi0/0 появились?
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: пресловутый MTU

Сообщение waxmax » 21 мар 2012, 12:54

ошибок не появилось.
wireshark'ом где сниферить? могу заркалить порт с каталиста

Код: Выделить всё
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw-mfc
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
clock timezone EST 3
!
no ipv6 cef
ip source-route
ip cef
!
!
ip dhcp excluded-address 172.16.20.1
ip dhcp........... и тд
...
!
ip dhcp pool v21
   network 172.16.21.0 255.255.255.0
   default-router 172.16.21.1
!
ip dhcp pool v.....
...... и тд
!
ip domain name ..........
........
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
!
!
!
crypto pki trustpoint TP-self-signed-181778778
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-181778778
 revocation-check none
 rsakeypair TP-self-signed-181778778
!
!
crypto pki certificate chain TP-self-signed-181778778
 certificate self-signed 01
  3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 31383137 37383737 38301E17 0D313230 32313631 34303935
  385A170D 32303031 30313030 30303030 .........
............ и тд
!
username admin password 7 ......
............. итд
!
!
interface GigabitEthernet0/0
 description wan
 no ip address
 ip virtual-reassembly
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/1
 ip address 172.16.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 no ip address
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/2.10
 encapsulation dot1Q 10
 ip address 172.16.3.1 255.255.255.0
 ip access-group 120 in
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface GigabitEthernet0/2.15
 encapsulation dot1Q 15
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface GigabitEthernet0/2.19
 encapsulation dot1Q 19
 ip address 10.63.1.197 255.255.255.192
!
interface GigabitEthernet0/2.20
 encapsulation dot1Q 20
 ip address 172.16.20.1 255.255.255.0
 ip access-group 120 in
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1452
!
interface GigabitEthernet0/2.21
 encapsulation dot1Q 21
 ip address 172.16.21.1 255.255.255.0
!
interface GigabitEthernet0/2.22
 encapsulation dot1Q 22
 ip address 172.16.22.1 255.255.255.0
!
interface GigabitEthernet0/2.23
 encapsulation dot1Q 23
 ip address 172.16.23.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface GigabitEthernet0/2.24
 encapsulation dot1Q 24
 ip address 172.16.24.1 255.255.255.0
!
interface GigabitEthernet0/2.25
 encapsulation dot1Q 25
 ip address 172.16.25.1 255.255.255.0
!
interface GigabitEthernet0/2.30
 encapsulation dot1Q 30
 ip address 172.15.30.1 255.255.255.0
!
interface GigabitEthernet0/2.40
 encapsulation dot1Q 40
 ip address 172.16.40.1 255.255.255.0
!
interface GigabitEthernet0/2.41
 encapsulation dot1Q 41
 ip address 172.16.41.1 255.255.255.0
!
interface GigabitEthernet0/2.50
 encapsulation dot1Q 50
 ip address 172.16.90.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface Virtual-Template1
 ip unnumbered GigabitEthernet0/0
 peer default ip address pool mfcvpn
 no keepalive
!
interface Dialer0
 mtu 1492
 ip address negotiated
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username ..................
!
ip local pool mfcvpn 10.9.8.1 10.9.8.250
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip flow-export version 5
ip flow-export destination ..........
ip flow-export destination ...........
!
ip nat inside source list 114 interface Dialer0 overload
ip nat inside source list 115 interface Dialer0 overload
ip nat inside source list 140 interface Dialer0 overload
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source list 102 interface Dialer0 overload
ip nat inside source list 104 interface Dialer0 overload
ip nat inside source list 105 interface Dialer0 overload
ip nat inside source list 106 interface Dialer0 overload
ip nat inside source list 108 interface Dialer0 overload
ip nat inside source list 109 interface Dialer0 overload
ip nat inside source list 110 interface Dialer0 overload
ip nat inside source list 111 interface Dialer0 overload
ip nat inside source list 112 interface Dialer0 overload
ip nat inside source list 113 interface Dialer0 overload
ip nat inside source list 141 interface Dialer0 overload
ip nat inside source list 142 interface Dialer0 overload
ip nat inside source list 143 interface Dialer0 overload
ip nat inside source list 144 interface Dialer0 overload
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.2.8.226 ..........
.............. проброс портов
.............
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.0.100.0 255.255.255.0 172.16.3.2
ip route 10.2.8.0 255.255.255.128 172.16.3.2
ip route 10.2.8.128 255.255.255.192 172.16.3.2
ip route 10.2.8.224 255.255.255.240 172.16.3.2
ip route 10.2.9.0 255.255.255.0 172.16.3.2
ip route 10.63.1.192 255.255.255.192 172.16.3.2
ip route 172.16.1.0 255.255.255.0 172.16.1.2
ip route 172.16.3.0 255.255.255.0 172.16.3.2
ip route 172.16.4.0 255.255.255.0 172.16.3.2
ip route 172.16.21.0 255.255.255.0 172.16.3.2
ip route 172.16.95.0 255.255.255.0 172.16.90.2
ip route 172.16.96.0 255.255.255.0 172.16.90.2
ip route 172.16.97.0 255.255.255.0 172.16.90.2
ip route 172.16.98.0 255.255.255.0 172.16.3.2
ip route 172.16.100.0 255.255.255.0 172.16.3.2
ip route 172.16.101.0 255.255.255.0 172.16.90.2
ip route 172.16.105.0 255.255.255.0 172.16.1.2
!
ip access-list extended NAT
 permit ip host 172.16.4.0 any
 permit ip host 172.16.3.0 any
 permit ip host 172.16.98.0 any
 permit ip host 10.2.8.0 any
 permit ip host 172.16.20.0 any
 permit ip host 10.2.8.224 any
 permit ip host 172.16.23.0 any
 permit ip host 172.16.1.0 any
 permit ip host 172.16.105.0 any
 permit ip 172.16.101.0 0.0.0.255 any
 permit ip 172.16.96.0 0.0.0.255 any
 permit ip 172.16.90.0 0.0.0.255 any
 permit ip 172.16.95.0 0.0.0.255 any
 permit ip 172.16.97.0 0.0.0.255 any
 permit ip 10.2.8.128 0.0.0.63 any
 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended NT
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 101 permit ip 172.16.3.0 0.0.0.255 any
access-list 102 permit ip 172.16.100.0 0.0.0.255 any
access-list 103 permit ip 172.16.3.0 0.0.0.255 any
access-list 104 permit ip 172.16.98.0 0.0.0.255 any
access-list 105 permit ip 172.16.4.0 0.0.0.255 any
access-list 106 permit ip 10.2.8.0 0.0.0.127 any
access-list 108 permit ip 172.16.20.0 0.0.0.255 any
access-list 109 permit ip 10.2.8.224 0.0.0.15 any
access-list 110 permit ip 172.16.23.0 0.0.0.255 any
access-list 111 permit ip 10.2.9.0 0.0.0.255 any
access-list 112 permit ip 172.16.1.0 0.0.0.255 any
access-list 113 permit ip 172.16.105.0 0.0.0.255 any
access-list 114 permit ip 10.2.8.128 0.0.0.63 any
access-list 115 permit ip 192.168.1.0 0.0.0.255 any
access-list 119 permit ip 0.0.0.0 255.255.255.192 any
access-list 120 permit tcp 10.2.8.224 0.0.0.15 any eq smtp
access-list 120 permit tcp 172.16.20.0 0.0.0.225 any eq smtp
access-list 120 deny   tcp any any eq smtp
access-list 120 permit ip any any
access-list 121 permit ip 172.16.21.0 0.0.0.255 any
access-list 130 permit ip 10.0.100.0 0.0.0.255 any
access-list 140 permit ip 172.16.101.0 0.0.0.255 any
access-list 141 permit ip 172.16.96.0 0.0.0.255 any
access-list 142 permit ip 172.16.95.0 0.0.0.255 any
access-list 143 permit ip 172.16.90.0 0.0.0.255 any
access-list 144 permit ip 172.16.97.0 0.0.0.255 any
access-list 150 remark clear df bit for this traffic
access-list 150 permit tcp object-group netmfc any
dialer-list 1 protocol ip permit
!
route-map clear-df permit 10
 match ip address 150 106
 set ip df 0
!


немного стремно конешн показывать этот конфиг))) ибо много стремов особенно с ACL, но переделывать многие моменты без особой необходимости не хочу.
Вообщем "Не обращайте внимания на бардак")))
Я бы выложил больше фрагментов сердца, Да не позволяет провайдер...
waxmax
новичок
 
Сообщения: 65
Зарегистрирован: 28 май 2009, 14:55

Пред.След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24

cron