CiscoForums.it

Inviato: **sab 14 feb , 2009 5:10 pm**

Ciao a tutti...
Ho un problemino con il mio 877w, e non riesco proprio a capire dove c'e' l'errore... Anche perchè circa la stessa config ce l'ho su un 1801 dove lavoro e la va tutto a posto... Ho provato con tutte le ios che ho trovato (12.4 20t, 12.4 20t1, 12.4 22t, sta sera provo con la 12.4 15t8), ma da sempre lo stesso problema.
Spesso i browser dietro di esso non riescono ad aprire le pagine, faccio un refresh e tutto va a posto. Non riesco a capire se è un problema dns o se è un problema delle connessioni in generale... La comunicazione da me al router è ok, se metto un ping fisso verso fuori è ok (anche con dimensioni alte, tipo 500byte), ma nei browser (avevo ie6 ma ora sono passato a firefox ma fa la stessa cosa) mi da sto maledetto problema. Magari mentre apro una pagina mi carica meta' immagini si e meta' no, oppure non mi apre per niente la pagina. Premetto che ho emule semrpe attivo, ma il router non è sovraccarico e non segnala errori nei log
Questo è un sh ver:

Codice: Seleziona tutto

Cisco 877W (MPC8272) processor (revision 0x200) with 236544K/25600K bytes of mem
ory.
Processor board ID FCZ112920CX
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
1 802.11 Radio
128K bytes of non-volatile configuration memory.
28672K bytes of processor board System flash (Intel Strataflash)

Configuration register is 0x2102

Questo uno sh mem stat

Codice: Seleziona tutto

                Head    Total(b)     Used(b)     Free(b)   Lowest(b)  Largest(b)
Processor   835D93B0   185756752    93123792    92632960    87611272    82407580
      I/O    E700000    26214400     4178816    22035584    21930464    21931068

Questo un sh proc cpu | ex 0.00

Codice: Seleziona tutto

CPU utilization for five seconds: 25%/23%; one minute: 25%; five minutes: 21%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
  46      301492    100422       3002  1.14%  1.05%  0.95%   0 COLLECT STAT COU
  84      202072    118072       1711  0.16%  0.11%  0.15%   0 IP Input
  87         620       149       4161  0.32%  0.39%  0.13%   2 Virtual Exec

Ed infine, questa è la config:

Codice: Seleziona tutto

Building configuration...

Current configuration : 9989 bytes
!
! Last configuration change at 17:03:38 Where Sat Feb 14 2009 by enrico
! NVRAM config last updated at 17:03:39 Where Sat Feb 14 2009 by enrico
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
service sequence-numbers
!
hostname MASTERX81
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging message-counter syslog
logging buffered 51200
enable secret 5 xxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login local_authen local
aaa authorization exec local_author local
!
!
aaa session-id common
clock timezone Where 1
clock summer-time Where recurring last Sun Mar 2:00 last Sun Oct 3:00
!
crypto pki trustpoint TP-self-signed-xxxxxxxxxxx
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxxx
 revocation-check none
 rsakeypair TP-self-signed-xxxxxxxxx
!
!
crypto pki certificate chain TP-self-signed-xxxxxxxxxx
 certificate self-signed 01
dot11 syslog
!
dot11 ssid Masterx81
   max-associations 5
   authentication open
   authentication key-management wpa
   guest-mode
   wpa-psk ascii 7 xxxxxxxxxxxxxxx
!
no ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.200 192.168.1.254
ip dhcp excluded-address 192.168.1.1 192.168.1.10
!
ip dhcp pool masterx81
   import all
   network 192.168.1.0 255.255.255.0
   domain-name bla.bla.bla
   default-router 192.168.1.1
   dns-server 192.168.1.1
!
!
ip cef
no ip bootp server
ip domain name bla.bla.bla
ip name-server 193.70.152.15
ip name-server 193.70.152.25
ip ips config location flash:ips-store/ retries 1
ip ips name IPS-IN
!
ip ips signature-category
  category all
   retired true
   event-action reset-tcp-connection deny-packet-inline produce-alert
  category ddos
   retired false
  category dos
   retired false
  category ios_ips basic
   retired false
  category p2p
   retired false
  category other_services ssh
   retired false
!
ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name inspection-out tcp router-traffic
ip inspect name inspection-out udp router-traffic
ip inspect name inspection-out ftp
ip inspect name inspection-out https
ip inspect name inspection-out dns
ip inspect name inspection-out ntp
ip inspect name inspection-out icmp router-traffic
ip inspect name inspection-out bittorrent
ip inspect name inspection-out edonkey
ip inspect name inspection-out http java-list 30
ip inspect name inspection-out imap
ip inspect name inspection-out irc
ip inspect name inspection-out l2tp
ip inspect name inspection-out pptp
ip inspect name inspection-out pop3
ip inspect name inspection-out smtp
ip inspect name inspection-out telnet
ip inspect name inspection-in edonkey
ip inspect name inspection-in bittorrent
ip inspect name inspection-in ssh
ip ddns update method no-ip
 HTTP
  add http://bla%40bla.bla:[email protected]/nic/update?hostname=bla.bla.bla
  remove http://bla%40bla.bla:[email protected]/nic/update?hostname=bla.bla.bla
 interval maximum 0 0 5 0
 interval minimum 0 0 1 0
!
login block-for 300 attempts 3 within 30
login delay 3
login quiet-mode access-class 111
login on-failure log every 10
login on-success log every 10
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
username enrico privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxx
!
crypto key pubkey-chain rsa
 named-key realm-cisco.pub signature
  address 195.210.87.131
  key-string
   30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
   00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
   17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
   B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
   5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
   FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
   50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
   006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
   2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
   F3020301 0001
  quit
!
!
!
archive
 log config
  hidekeys
!
!
ip ssh time-out 60
ip ssh version 2
!
class-map match-any voip-data
 description Class-map traffico audio
 match protocol rtp
 match  dscp ef
 match ip precedence 5
 match protocol rtcp
 match protocol rtsp
 match ip dscp ef
 match access-group 118
 match protocol skype
class-map match-any voip-control
 description Class-map traffico SIP, dati e segnalazioni
 match protocol sip
 match  dscp cs3
 match ip dscp cs3
!
!
policy-map VOIP
 description Policy per VOIP
 class voip-data
  set dscp ef
    priority percent 70
 class voip-control
    bandwidth percent 10
  set dscp cs3
 class class-default
    fair-queue 128
!
!
bridge irb
!
!
interface Null0
 no ip unreachables
!
interface ATM0
 mtu 1500
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip mroute-cache
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5snap
  protocol ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
 hold-queue 224 in
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 no ip redirects
 no ip unreachables
 ip directed-broadcast
 no ip proxy-arp
 !
 encryption mode ciphers aes-ccm tkip
 !
 broadcast-key change 3600
 !
 !
 ssid Masterx81
 !
 speed basic-1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
 world-mode dot11d country IT both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Vlan1
 description $FW_INSIDE$
 no ip address
 ip directed-broadcast
 bridge-group 1
!
interface Dialer0
 description $FW_OUTSIDE$
 ip ddns update hostname bla.bla.bla
 ip ddns update no-ip
 ip address negotiated
 ip access-group 101 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip ips IPS-IN in
 ip ips IPS-IN out
 ip inspect inspection-in in
 ip inspect inspection-out out
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no snmp trap link-status
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname bla
 ppp chap password 7 bla
 ppp pap sent-username bla password 7 bla
!
interface BVI1
 ip address 192.168.1.1 255.255.255.0
 no ip redirects
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1460
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
ip http access-class 2
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
ip dns server
ip nat inside source list 10 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 1755 interface Dialer0 1755
ip nat inside source static udp 192.168.1.2 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.1.2 3389 interface Dialer0 3389
ip nat inside source static tcp 192.168.1.2 8080 interface Dialer0 8080
ip nat inside source static tcp 192.168.1.2 7002 interface Dialer0 7002
!
!
logging trap debugging
access-list 2 remark HTTP Access-class list
access-list 2 remark SDM_ACL Category=1
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 2 deny   any
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 30 remark *** ACCESS LIST PER JAVA CBAC ***
access-list 30 permit any
access-list 101 remark *** ACL ANTI-SPOOFING ***
access-list 101 deny   ip host 0.0.0.0 any log
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 101 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 101 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 101 deny   ip 202.106.0.0 0.0.255.255 any log
access-list 101 remark *** ACL PER MSTSC ***
access-list 101 permit tcp any any eq 3389 log
access-list 101 remark *** ACL PER P2P ***
access-list 101 permit udp any any eq 4672
access-list 101 permit tcp any any eq 1755
access-list 101 permit tcp any any eq 7002
access-list 101 remark *** ACL PER SSH ***
access-list 101 permit tcp any any eq 22 log
access-list 101 remark *** ACL PER STREAMING HTTP VLC ***
access-list 101 permit tcp any any eq 8080 log
access-list 101 remark *** ACL PER Traffico GRE ***
access-list 101 permit gre any any
access-list 101 remark *** ACL PER BLOCCARE ACCESSI ***
access-list 101 deny   ip any any
access-list 111 permit ip 192.168.1.0 0.0.0.255 any
access-list 118 permit udp any any range 16384 32767
access-list 118 permit udp any any dscp ef
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login ^CAuthorized access only! Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
 login authentication local_authen
 no modem enable
 transport output telnet
line aux 0
 access-class 111 in
 login authentication local_authen
 transport output telnet
line vty 0 4
 access-class 111 in
 privilege level 15
 authorization exec local_author
 login authentication local_authen
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp server 193.204.114.232 prefer
ntp server 193.204.114.233
end

Che ne dite???

Grazie mille!!!!

Inviato: **sab 14 feb , 2009 5:43 pm**

Ok, anche con la 12.4 15t8 ho lo stesso problema...
Credo proprio che sia qualcosa a livello di configurazione... Ma cosa?
Premetto che la mia connessione pppoa va con l'mtu a 1500byte, ma cmq ho provato anche a mettere l'mtu a 1492 (ed mss a 1452) ma il problema è rimasto... Che altro guardare?

---EDIT---

Ulteriore aggiornamento, anche facendo connessioni telnet sulle porte 80 dei server web ogni tanto non mi ci si collega...
Che non sia il CBAC che da i numeri?

---EDIT---
Ok, anche staccando l'inspect http del cbac da lo stesso problema
Ora sto provando a fare un bel po di connessioni telnet usando l'ip anzichè il nome...

---EDIT---
Non ho ancora risolto il problema, ma staccando l'ips il mulo mi è decollato... Nonostante la cpu del router non stesse lavorando al massimo, comunque l'ips introduceva una latenza che mi rallentava il muletto...

Inviato: **lun 16 feb , 2009 11:22 am**

Hai una bella config!
Verifica dai log se è un probela causato dal ips o ip-inspect.
IPS tienilo solo x controllare il traffico in entrata

Inviato: **lun 16 feb , 2009 12:27 pm**

Grazie!

Ci ho perso un po' di tempo a farla...

Ma chissa come mai mi da questo problema...
Ho controllato le nat del router, ed ho attivi sempre poco piu' di 1000 nat... Emule è configurato pre 800 connessioni amssime, le altre sono ntp, web, e servizi vari...
Come farei a capire se il router fosse al limite delle sue possiiblita'? Al di la di controllare ram e cpu?

Cmq credo che il provider (libero 7m down 512k up) mi faccia dei casini quando c'e' del traffico p2p... Quasi sicuro mi limita la banda in determinati orari, ma ho paura che sia anche per quello che mi avvengono questi problemi...
Pero' i ping sono stabili... Vai a sapere! Mi sta facendo incavolare questa cosa!
Ora pago 29.99 al mese, ma ho una mezza voglia di passare ad NGI 7m/384k... Costa 25 al mese e deve essere davvero una bomba...

Inviato: **mar 17 feb , 2009 2:49 am**

Incredibile, credo sia colpa di libero!!!!
Nelle ore notturne si sistema tutto!! Da mezzanotte inizia ad andare bene, ma verso le 2 è quasi tutto perfetto!
Possibile?
Il mulo si sblocca, che connessioni http vanno bene...
Mi sa che devo aprire una segnalazione di guasto, se non sistemano, NGI...

Grazie a tutti per l'interesse!!!
Almeno ora so che non ho fatto grandi schifezze nella config

Grazie ancora!!!

Inviato: **mar 17 feb , 2009 2:35 pm**

Senti da Libero però fai così anche:

Codice: Seleziona tutto

interface Dialer0
no ip ips IPS-IN out
no ip inspect inspection-in in

Inviato: **mar 17 feb , 2009 3:17 pm**

Wizard ha scritto:Senti da Libero però fai così anche:
Codice: Seleziona tutto
interface Dialer0
no ip ips IPS-IN out
no ip inspect inspection-in in

Mah, tanto ip inspesct in direzione in non funge (speravo che mi controllase lo stato dele connessioni in ingresso, ma non lo fa), e l'ips out lo utilizzavo piu' per latro per vedere se dalla mia opstazione aprtiva traffico strano...
Ma non dovrebbe creare problemi, no? Finchè la cpu non è al 100%...

Inviato: **mer 18 feb , 2009 10:58 am**

Io però è appunto inutile...
IPS in out in effetti puàò verificare se hai die virus o simili...

Inviato: **ven 20 feb , 2009 9:36 pm**

A quanto pare sembra risolto...
Io qua mi sono sempre collegato in pppoa, perchè mi era stato detto di fare così, e perchè col pppoa potevo stare con l'mtu a 1500.
Ho chiamato il tecnico che mi ha consigliato di mettere in pppoe (ed io lo stavo gia' mandando a stendere, essendo convito che se fosse stato un problema di protocollo, non mi sarei manco collegato)... Con scetticiscmo sono passato in pppoe e tutto sembra essere andato a posto...
Mo faccio un po di speed test

Inviato: **lun 23 feb , 2009 3:03 pm**

Con scetticiscmo sono passato in pppoe e tutto sembra essere andato a posto...

Mhm... facci sapere se hai altre news che sn curioso

Inviato: **sab 07 mar , 2009 12:00 pm**

Nulla, anche in pppoe mi continua a buttare giu'...
Lunedi' provo a prendere in prestito dalla ditta un 1801 e ci butto sopra la mia attuale config dell'877 e vediamo se è il router ciucco...
Se no potrei provare a fare una config pulita pulita per il mio, anche se quella attuale non dovrebbe avere nulla che non va...
Ho notato che la cosa peggiora se attatto il mulo...
In piu' il comportamento è molto strano, sembra che il problema avvenga in maniera ciclica, ovvero, per 5 minuti mi fa casini, tipo aprirmi a meta' le pagine, poi per altri 5 minuti va abbastanza bene, poi rida il problema... Ma sta facendo impazzire sta cosa!!!

Inviato: **lun 09 mar , 2009 12:37 am**

... io proverei con una configurazione nuda e cruda prima di dare la colpa al router.... in 10 anni di Cischi rotti ne ho trovati 1 (ammazzato da un fulmine in pieno petto)

Inviato: **lun 09 mar , 2009 3:29 pm**

Io ultimamente di ios bacate ne ho viste parecchie ahimè!

Inviato: **lun 09 mar , 2009 11:45 pm**

Ho prelevato un 1801 dalla ditta, così almeno non sto a mettere mano al mio router...
Pecato che ora abbia il pc totalmente impallato perchè ho un raid 5 da 2tb (1000 * 3) in rebuild da 24 ore... E ne mancano ancora 24!!
E' talmente lento che mi ci impiega un'ora ad aprire le pagine

I test li faccio appena ha finito il rebuild (ammeso che lo finisca, temo che almeno uno dei 3 seagate che ho sono di quella serie buggata che dopo pochi mesi si inciuccano! Sigh...).
Cmq anche il muletto patisce le perdite di connessione, date un'occhiata che bel grafico a dente di sega:

Ps.: Confermo innumerevoli buchi nelle IOS di ultima produzione, ma temo che non sia il mio caso...
Cmq appena ho tutto a posto mi rimetto a fare i test!!!

CiscoForums.it

Cisco 877w che da problemi con le connessioni HTTP

Cisco 877w che da problemi con le connessioni HTTP