Показано с 1 по 10 из 13
Комбинированный просмотр
-
21.12.2010, 11:02 #1
- Регистрация
- 26.06.2009
- Сообщений
- 7
- Сказал(а) спасибо
- 0
- Поблагодарили 0 раз(а) в 0 сообщениях
Cisco 2811, падают оба провайдера!
Предыстория:
Есть территориально распределённая сеть по дальнему востоку 7 (городов). Как следствие 7 цисок 2811! Все как сёстры близнецы по конфигу - задачи простые:
1. выход в инет через двух провайдеров (основной/резервный), реализовано на ip sla.
2. поддержание туннелей ipip между одним городом и всеми остальными.
ПРОБЛЕМА !!!
ТОЛЬКО на одном филиале с периодичностью в 1,5 суток падают оба провайдера, как следствие падают туннели - лечиться перезагрузкой!!! В логах много записей типа:
Dec 15 07:05:45 172.16.1.1 956: %TRACKING-5-STATE: 101 ip sla 101 reachability Up->Down
Dec 15 07:05:59 172.16.1.1 957: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel500203, changed state to up
Dec 15 07:06:07 172.16.1.1 958: %OSPF-5-ADJCHG: Process 51, Nbr 255.255.255.255 on Tunnel500101 from EXSTART to DOWN, Neighbor Down: Interface down or detached
Dec 15 07:06:15 172.16.1.1 961: %TRACKING-5-STATE: 101 ip sla 101 reachability Down->Up
очевидно что одно следствие другого! ни каких др. записей просто нет! с какого-то момента начинают сыпать такие мэсэджи, связи нет и до самой перезагрузки забивается лог файл!
ДАНО:
cisco 2811 + HWIC-4ESW
IOS c2800nm-advsecurityk9-mz.124-24.T2.bin
провайдеры подключены к HWIC-4ESW дальше VLAN'ами
СДЕЛАНО:
1. изменены тайминги ip sla с дефолтовых на побольше ~ sla принемает решение около минуты
2. полностью сменено оборудование и cisco 2811 и HWIC-4ESW
3. поставлена перезагрузка по крону раз в сутки <- НЕ ВАРИАНТ!!!
ПОДОЗРЕНИЯ:
1. кто то ложит циску из вне! (DoS атаки)
2. не качественная работа одного из провайдеров (постоянное "дребезжание" провайдера => дерганье ip sla => переполнение какого-нибудь буфера => завал интерфейсов)
-
22.12.2010, 09:11 #2
- Регистрация
- 23.11.2010
- Сообщений
- 100
- Сказал(а) спасибо
- 1
- Поблагодарили 0 раз(а) в 0 сообщениях
Стоит предположить: Аркаим?
Вообще циску мало знаю, но предпологаю что после падения основного канала, резервный не поднимается ввиду не правильной настройки самого интерфейса.
Ну причину падения первого узнать сложно это лучше узнавать у повайдера. Пусть на контроль вас поставят. А у второго просто перепроверь настройки.
-
22.12.2010, 10:54 #3
- Регистрация
- 26.06.2009
- Сообщений
- 7
- Сказал(а) спасибо
- 0
- Поблагодарили 0 раз(а) в 0 сообщениях
Могу точно сказать что переключение настроено правильно! к тому же нет механизма поднятия (либо опускания) провайдера - оба прова сразу в апе - переключается только дг! ПРОВЫ падают одновременно! Т.е. если упал первый то и на второго из вне зайти нельзя! Определённо имеет место какая то ошибка (уязвимость) в циске которой либо пользуются злоумышленники, либо просто циска не справляется с какими то своими обязанностями!
З.Ы. может cef отключить?
-
22.12.2010, 11:42 #4
- Регистрация
- 23.11.2010
- Сообщений
- 100
- Сказал(а) спасибо
- 1
- Поблагодарили 0 раз(а) в 0 сообщениях
Как и говорил циску я мало знаю(очень), могу лишь посоветовать. Если связь идет только между филиалами, фильтруй все ИП кроме своих. По крайней мере узнаешь атака это или нет.
Хотя странно, если не атака, то как могут падать два провайдера одновременно. Хотя в прочем, а если у них "ноги" из одного провода растут?
-
22.12.2010, 11:53 #5
- Регистрация
- 26.06.2009
- Сообщений
- 7
- Сказал(а) спасибо
- 0
- Поблагодарили 0 раз(а) в 0 сообщениях
инетом естественно филиал пользуется
пока поставил фильтр тока на порты ssh и telnet стало видно что с каких то левых ипишников точно регулярно по этим портам бьет - но циска все равно заваливается правда примерно раз в 2,5 суток, все порты я точно не смогу закрыть! они нужны!
-
22.12.2010, 12:03 #6
- Регистрация
- 23.11.2010
- Сообщений
- 100
- Сказал(а) спасибо
- 1
- Поблагодарили 0 раз(а) в 0 сообщениях
Инетом.......
Просто у меня филиал здраво обделен, но и сервисы для внешки все перекрыты, тока из внутренней сети. А я сам туда попадаю через EoIP который естественно проходит через VPN поднятый со стороны филиала на "центр". Таких как у тебя проблем не встречал. Для прикола на центре открыт как сервис FTP без учетных записей, так прелесно смотреть как пароли перебирают. Так для сведения: альтернативные ОС уберегают от проблем распространенности.
Закрой все что можно, используемые порты попробуй "перебросить" на другие порты. Может поможет.
-
23.12.2010, 02:51 #7
- Регистрация
- 26.06.2009
- Сообщений
- 7
- Сказал(а) спасибо
- 0
- Поблагодарили 0 раз(а) в 0 сообщениях
Филиал в др. городе - не разумно имея на филиале подключение к инету пускать их в инет через головной офис в др. городе и сервисы тоже!
К тому же это не есть хорошее администрирование - закрыть все и радоваться какой ты пиз.....ый админ :D
-
23.12.2010, 03:22 #8
- Регистрация
- 23.11.2010
- Сообщений
- 100
- Сказал(а) спасибо
- 1
- Поблагодарили 0 раз(а) в 0 сообщениях
Не ну ясно дело что в инет выходить надо "по месту". У меня просто политика в компании такова, что в инет не всем можно. В филиале никому нельзя. Потому я инет там и не заводил. Да и в любом случае правила на "прохождение" через маршрутизатор и "входящие" у меня под разными разделами. Просто все "входяшие" сервисы убрал. Оставил тока порт управления из локальной сети и вебку из внешки дабы смотреть за состоянием загруженности.
А на счет "хорошего" админа, пользуюсь критерием "запрещено все, что явно не разрешено", пока помогает.
-
29.12.2010, 11:53 #9
- Регистрация
- 26.06.2009
- Сообщений
- 7
- Сказал(а) спасибо
- 0
- Поблагодарили 0 раз(а) в 0 сообщениях
И тишина :)
Подскажите хоть как и какие параметры помониторить на циске, но что б обязательно результаты в лог писались (отправка сообщений на syslog настроена)!
-
-
29.12.2010, 12:37 #10
- Регистрация
- 23.11.2010
- Сообщений
- 100
- Сказал(а) спасибо
- 1
- Поблагодарили 0 раз(а) в 0 сообщениях
Можешь назвать город и провайдеров?
Похожие темы
-
памагитеее!fps в контре падают!!!
от rimsky в разделе Action & ArcadeОтветов: 0Последнее сообщение: 13.01.2009, 18:20
Социальные закладки