CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Cisco 857W che si impallano...

https://www.ciscoforums.it/viewtopic.php?f=10&t=8540

Pagina 1 di 2

Cisco 857W che si impallano...

Inviato: mer 05 mar , 2008 4:02 pm
da masterx81
Ciao a tutti...
Ho un problemino abbastanza grave con 2 cisco 857w...
Si impallano alla grande!
Tra i 2 c'e' in tunnel ipsec, sul quale viaggiano 2 o 3 connessioni terminal services e posta di outlook a server exchange.
Finchè ci sono 2 postazioni, nessun problema, appena si collega la terza o qualcuno scarica la posta, il router del 'branch office' si pianta (completamente freezzato, non risponde a nulla), ed ogni tanto si impalla pure quello nella sede principale. Le linee sono delle 4mb download e 512 upload (NGI pure... Le linee sono fantastiche...), che per il traffico generato dovrebbero essere sufficienti...
La config del router che si blocca ogni tanto è la seguente (ma anche l'altro ha una config praticamente identica...):

Codice: Seleziona tutto

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
no service dhcp
!
hostname CISCO857-2
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 debugging
logging console critical
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
clock timezone MIAZONA 1
clock summer-time MIAZONA recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.200.201 192.168.200.254
ip dhcp excluded-address 192.168.200.1 192.168.200.9
!
ip dhcp pool sdm-pool1
   import all
   network 192.168.200.0 255.255.255.0
   default-router 192.168.200.254
   dns-server 192.168.200.254
   netbios-name-server 192.168.200.254
!
ip dhcp pool MASTER
   host 192.168.200.1 255.255.255.0
   client-identifier 0100.13d4.03e3.f2
   client-name MASTER
   dns-server 192.168.200.254
   netbios-name-server 192.168.200.254
   default-router 192.168.200.254
!
!
ip cef
ip tcp synwait-time 10
no ip bootp server
ip host PS-569C90 192.168.200.202
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip name-server 88.149.128.12
ip name-server 88.149.128.22
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
crypto pki trustpoint TP-self-signed-894807470
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-894807470
 revocation-check none
 rsakeypair TP-self-signed-894807470
!
!
crypto pki certificate chain TP-self-signed-894807470
 certificate self-signed 01
username xxxxxx privilege 15 secret 5 xxxxxxxx
!
!
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key CHIAVE address INDIRIZZO
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec df-bit clear
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
 description Tunnel to INDIRIZZO
 set peer INDIRIZZO
 set transform-set ESP-3DES-SHA
 match address 100
!
bridge irb
!
!
interface Null0
 no ip unreachables
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 no ip mroute-cache
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5snap
  protocol ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
 hold-queue 224 in
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 ip tcp adjust-mss 1452
 !
 encryption key 1 size 128bit 7 CHIAVE transmit-key
 encryption mode ciphers wep128
 !
 ssid WIFI
    authentication open
    guest-mode
    infrastructure-ssid optional
 !
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
 54.0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Vlan1
 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
 no ip address
 ip tcp adjust-mss 1452
 bridge-group 1
!
interface Dialer0
 description $FW_OUTSIDE$
 mtu 1492
 ip address negotiated
 ip access-group 101 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer pool 1
 dialer-group 1
 no snmp trap link-status
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname UTENTE
 ppp chap password 7 PASSWORD
 ppp pap sent-username UTENTE password 7 PASSWORD
 crypto map SDM_CMAP_1
!
interface BVI1
 description $FW_INSIDE$
 ip address 192.168.200.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip tcp adjust-mss 1452
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source static tcp 192.168.200.1 3389 interface Dialer0 3389
ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
ip dns server
!
logging trap debugging
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 100 permit ip 192.168.200.0 0.0.0.255 192.168.201.0 0.0.0.255
access-list 100 remark SDM_ACL Category=4
access-list 100 remark IPSec Rule
access-list 101 permit tcp any any eq telnet
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip host 0.0.0.0 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 permit tcp any any eq 3389
access-list 101 permit ip host 88.149.181.100 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit tcp any any eq 22
access-list 101 permit udp host 193.204.114.233 eq ntp any eq ntp
access-list 101 permit udp host 193.204.114.232 eq ntp any eq ntp
access-list 101 permit tcp any any established
access-list 101 permit udp any any eq domain
access-list 101 permit udp any any gt 1023
access-list 101 deny   icmp any any
access-list 101 deny   ip any any
access-list 105 remark SDM_ACL Category=2
access-list 105 remark IPSec Rule
access-list 105 deny   ip 192.168.200.0 0.0.0.255 192.168.201.0 0.0.0.255
access-list 105 permit ip 192.168.200.0 0.0.0.255 any
access-list 105 remark SDM_ACL Category=2
access-list 105 remark IPSec Rule
no cdp run
route-map SDM_RMAP_1 permit 1
 match ip address 105
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
banner login ^CCAuthorized access only!
 Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
 no modem enable
 transport output telnet
line aux 0
 transport output telnet
line vty 0 4
 access-class 23 in
 privilege level 15
 transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
ntp clock-period 17175026
ntp master
ntp server 193.204.114.232 prefer
ntp server 193.204.114.233
end

La rete dell'ufficio distaccato è 192.168.201.x, mentre la sede principale è 192.168.200.x.
Questo è lo sh ver:

Codice: Seleziona tutto

Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(6)T6, REL
EASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Fri 08-Dec-06 22:38 by kellythw

ROM: System Bootstrap, Version 12.3(8r)YI3, RELEASE SOFTWARE

MIOROUTER uptime is 1 day, 18 hours, 44 minutes
System returned to ROM by power-on
System restarted at 21:11:17 Asti Mon Mar 3 2008
System image file is "flash:c850-advsecurityk9-mz.124-6.T6.bin"

Cisco 857W (MPC8272) processor (revision 0x200) with 59392K/6144K bytes of memor
y.
Processor board ID FCZ111322R9
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
1 802.11 Radio
128K bytes of non-volatile configuration memory.
20480K bytes of processor board System flash (Intel Strataflash)

Configuration register is 0x2102



Non ho ancora aggiornato il fw dell'adsl...

Codice: Seleziona tutto

Init FW:         embedded
Operation FW:    embedded
FW Version:      2.5.42
Se non fai troppo traffico attraverso la vpn, no problem... Va benissimo-
Mi sto gia' muovendo per aggiornare ios ed i fw adsl...

Qualcuno sa dirmi cosa hanno visto? E' un problema di config?

Grazie a tutti!

Inviato: mer 05 mar , 2008 5:21 pm
da Wizard
A parte il fatto che odio le config fatte con SDM (quanto sono brutte le description?!) ti do 2 suggerimenti:

1) guarda, da console, se quando si bloccano ci sono dei log
2) aggiorna la ios su entrambi gli apparati

Inviato: mer 05 mar , 2008 5:27 pm
da masterx81
Wizard ha scritto:A parte il fatto che odio le config fatte con SDM (quanto sono brutte le description?!) ti do 2 suggerimenti:

1) guarda, da console, se quando si bloccano ci sono dei log
2) aggiorna la ios su entrambi gli apparati
No, la config è stata fatta solo alla base da sdm (per configurare wifi e qualche altra cavolata su cui non avevo dimestichezza), ma è stata praticamente tutta riscritta, tranne alcune cavolate come il wifi, ed alcune cose che sono rimaste li perchè non mi interessava muovere. Le description non le guardo neppure... tanto se vuoi una vista pulita sull'interfaccia bast l'sh run int 'e quello che vuoi'... Lo so, non è il massimo di pulizia, ma funziona :-) Anzi, piu' o meno funziona!

Ora sto provando a contattare un amico che ha accesso agli aggiornamenti IOS, anche perchè nella config (a parte che non sara' il massimo dell'ordine :-) ) non mi sembra che ci sia nulla compromettente.

Se hai qualche consiglio per migliorarla, ogni critica è molto ben accetta!

Una config molto simile l'ho messa anche tra due 1801, e quelli non si impallano, sono su da anni ormai... E tirate praticamente sempre al collo (C'e' un DFS tra 2 server windows... piu' applicativi + exchange/outlook + 2 connessioni terminal services...)

La prox volta che vado dal cliente, provo a collegarci un pc via seriale...
Ma l'ios anche se si impalla (tirando giu' tutte le interfacce e led fissi) risponde comunque via seriale? Cmq provero'...

Se trovi qualcosa che non va nella config, sono tutt'orecchi!

Grazie mille!

Inviato: mer 05 mar , 2008 11:12 pm
da proton
Potresti farmi vedere cpu e ram come stai messo? :)

Codice: Seleziona tutto

 sh proc cpu | e 0.00
 sh memory statistics


Magari dopo il blocco.

Inviato: gio 06 mar , 2008 10:04 am
da Wizard
Se il router si blocca i casi possono essere:

- Problemi hardware al router
- RAM saturata (usano sw x p2p?)
- bug ios
- ...

Inviato: gio 06 mar , 2008 10:39 am
da masterx81
proton ha scritto:Potresti farmi vedere cpu e ram come stai messo? :)

Codice: Seleziona tutto

 sh proc cpu | e 0.00
 sh memory statistics


Magari dopo il blocco.
Questa è la cpu prima che si impallano, con 2 postazioni collegate in terminal services:

Codice: Seleziona tutto

CPU utilization for five seconds: 9%/2%; one minute: 3%; five minutes: 3%
Questa invece è la ram:

Codice: Seleziona tutto

                Head    Total(b)     Used(b)     Free(b)   Lowest(b)  Largest(b)
Processor   82186DE4    25661980    14119380    11542600    11451060    11384224
      I/O    3A00000     6291456     4047572     2243884     2243884     2222012
Dopo questa situazione, basta aprire outlook su una postazione per far saltare tutto.
Ora non ho sottomano i router per poterli analizzare da console quando si piantano, ma appena riesco ad andare là ricreo la situazione e vedo se il router almeno via console riesce a rispondere...

Non mi sembra particolarmente stressato...

Questo è proprio il router che si pianta piu' di frequente...

Inviato: gio 06 mar , 2008 10:45 am
da masterx81
Wizard ha scritto:Se il router si blocca i casi possono essere:

- Problemi hardware al router
- RAM saturata (usano sw x p2p?)
- bug ios
- ...
Problemi hardware non credo, perchè gia' trovare un cisco che abbia difetti hardware credo che sia difficile, ma 2... Ricordo che entrambi si sono impallati nella stessa modalita' (entrambi stesso fw, circa stessa config, e stesso fw adsl), solo che quello nella sede principale si è impallato una sola volta, l'altro (quello connesso a tutti i client) invece si impalla in maniera sistematica...

Cmq no, non usano p2p...
Forse mi sbaglio, ma, in qualsiasi caso, se finisse la ram, non dovrebbe limitarsi droppare le connessioni, perdere tabelle di nat, etc?

Mi sembra strano un impallamento totale...

Inviato: gio 06 mar , 2008 6:25 pm
da masterx81
Ho trovato questa ios:
c850-advsecurityk9-mz.124-15.T3.bin

Durante la giornata ho monitorato lo stato di utilizzo della memoria e cpu, ed ALMENO 11 mb sono sempre liberi... C'e' spazio per un sacco di roba in 11 mb...
La CPU non lavora quasi...

Speremo!

Inviato: gio 06 mar , 2008 8:36 pm
da Helix
Facci sapere!!! :) Situazione interessante direi!

Inviato: ven 07 mar , 2008 8:37 am
da masterx81
Helix ha scritto:Facci sapere!!! :) Situazione interessante direi!
Bhu, spero che sia un buco nell'ios... Se no nel week end faccio un giro dai routers, e mentre li controllo in console provo a farli impallare...

Cmq se notate qualcosa di strano o migliorabile nella config, fatemi sapere!

Grazie!

Inviato: sab 08 mar , 2008 5:11 pm
da masterx81
Sto aggiornando i routers...
prima pecca, il nuovo ios non gestisce l'ntp client...
Peccato... Hoa nche aggiornato il fw dell'adsl, faccio un po di test e vi faccio sapere...

Inviato: sab 08 mar , 2008 7:49 pm
da masterx81
Sembra risolto, era un buco dell'IOS, c'era anche un crash dump che parlava di un problema sotto il driver del dot 11 radio (che non usavo, ma era in una bvi insieme alla ethernet...)
Il contenuto del crash era questo:

Codice: Seleziona tutto

*Mar  1 00:00:04.483: ASSERTION FAILED: file "../dot11t/t_moosehead_hal_ath.c", line 2685
Praticamente il router si piantava e da console mi ripeteva all'infinito:

Codice: Seleziona tutto

%SYS-2-NOTQ: unqueue didn't find 0 in queue 82335B34 -Process= "<interrupt level
>", ipl= 2 -Traceback= 0x8057C374 0x80FE008C 0x80FEF640 0x8107A8C8 0x8107A954 0x
8107A6D0 0x8107A714 0x8107A7DC 0x8107A98C 0x801738AC 0x80156FFC 0x80489948 0x804
89AB4 0x80363A00 0x80220868 0x80215398
La verione software era questa:

Codice: Seleziona tutto

Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(6)T6, RELEASE SOFTWARE (fc2)
Ed è affetta dal bug che ho riscontrato.
L'unica cosa negativa è che nonostante il feature set fosse lo stesso per entrambe le ios, quella nuova non aveva la sezione dell'NTP, quindi ora i mi log saranno datati a cavolo...
Vabbe...

Immediatamente prima del blocco la ram era a 11mb disponibili, e la cpu a meno del 6%.

Un'altra cosa che ho notato solo ora è che NGI a gennaio mi ha alzato la banda da 1280/512 a 4mb/256... Li ho gia' contattati, in quanto il tunnel così si satura troppo in fretta... Devono aver fatto qualche cavolata...

Inviato: lun 10 mar , 2008 10:46 am
da Wizard
Per l'NTP magari ora supporta il comando il "sntp"

Inviato: lun 10 mar , 2008 10:52 am
da masterx81
Wizard ha scritto:Per l'NTP magari ora supporta il comando il "sntp"
Doh, vero :D

L'avevo visto di sfuggita nell'help, ma non so perchè la prima cosa che mi ha ricordato è stato l'snmp, allora l'ho ignorato :-)

Mitico! Grazie mille Wizard! Riconfiguro subito...

Giusto per fare una statistica, a quanti sono gia' capitati degli IOS buggati?

Inviato: lun 10 mar , 2008 11:09 am
da Wizard
A tutti direi!
Tutti gli orari sono UTC+01:00
Pagina 1 di 2

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it