Configurazione ip inspect

[tricca]

Ciao a tutti,

da qualche giorno sto giocando con l'ip inspect. Non ho quindi alcuna esperienza a riguardo. Funziona tutto bene fatta eccezione per il tcp. Per qualche tipo di applicazione (ad es. update di AVG) o per lo streaming video. Qui ogni tanto i pacchetti tcp (per ragioni che non comprendo) vengono droppati e lo streaming si blocca. Ho provato a cambiare vari parametri "ip inspect tcp....." ma senza alcun successo.


Qualche suggerimento ?

Di seguito la configurazione dell'inspect :

ip inspect log drop-pkt
ip inspect name myfirewall udp
ip inspect name myfirewall ftp
ip inspect name myfirewall fragment maximum 256 timeout 1
ip inspect name myfirewall icmp
ip inspect name myfirewall tftp
ip inspect name myfirewall cuseeme
ip inspect name myfirewall esmtp
ip inspect name myfirewall h323
ip inspect name myfirewall netshow
ip inspect name myfirewall rcmd
ip inspect name myfirewall realaudio
ip inspect name myfirewall rtsp
ip inspect name myfirewall sip
ip inspect name myfirewall skinny
ip inspect name myfirewall sqlnet
ip inspect name myfirewall streamworks
ip inspect name myfirewall vdolive
ip inspect name myfirewall tcp audit-trail on

[active]

Ciao, hai controllato i log del router? Potrebbe essere la coda del riassemblamento dei frammenti tcp troppo corta e troppa poca memoria per gestirla.

Proprio oggi sto provando i seguenti settaggi:

Codice: Seleziona tutto

ip inspect tcp reassembly queue length 128
ip inspect tcp reassembly memory limit 500

[tricca]

Potrebbe essere...solo che mi mancano quei comandi. Il mio cisco è un 1841. Ho provato con queste due ios c1841-advsecurityk9-mz.123-11.T10 e c1841-advsecurityk9-mz.124-13b ma quei comandi mi mancano.

[tricca]

La dritta era giusta comunque. Dentro l'interfaccia WAN ho dato il comando:
ip virtual-reassembly max-reassemblies 256

Ha funzionato. il default è per la coda è 128. Evidentemente non era sufficiente.

Per chi volesse un po di documentazione in a riguardo:

http://www.cisco.com/en/US/docs/ios/12_ ... vfrag.html

Grazie Active

Ciao

[active]

Di niente. Effettivamente non sapendo che router/ios hai non sapevo se erano presenti quelle istruzioni. Sul mio 877 con ios 12.4 ci sono. Avevo il tuo stesso problema e giocando un pò con le code "mi sembra" di averlo risolto... spero

[walter48022]

Ciao, hai controllato i log del router? Potrebbe essere la coda del riassemblamento dei frammenti tcp troppo corta e troppa poca memoria per gestirla.

Proprio oggi sto provando i seguenti settaggi:

Codice: Seleziona tutto

ip inspect tcp reassembly queue length 128
ip inspect tcp reassembly memory limit 500

rispolvero questo argomento... premetto che ho 256 mb di ram nel cisco, questi comandi se uno li mette molto ampi sono contro producenti? O e' meglio farli mirati in base alle proprie esigenze? Che controindicazioni hanno?