Cisco 837 su Alice con IP dinamico

[luancarli]

Ciao a tutti,
posto la configurazione dell' 837 su alice, sembra che tutto funzioni, ma ogni tanto il router si impalla e sono costretto a resettarlo. Ho già provato con due router diversi. Ho notato che cambiando l' incapsulazione da LLC a VC-Mux ho eliminato un problema di CRC che aumentavano a dismisura sull' interaccia ATM. Il router si collega ad altri due presso le sedi della mia società con dei tunnel GRE. L' indirizzo dinamico del peer sui due remoti viene aggiornato attraverso due script attivati dal kron.
Ogni idea è ben accetta.

Current configuration : 3144 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname aliceadsl
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$50qC$2PCDhB3blqB1yyvepL61t1
!
no aaa new-model
!
resource policy
!
no ip source-route
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.1 192.168.0.150
!
ip dhcp pool dhcp-casaruda
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 212.216.112.112 212.216.172.62
!
!
ip cef
ip name-server 212.216.172.62
ip name-server 212.216.172.162
no ip bootp server
ip ddns update method myupdate
HTTP
add http://xxxxxxxxxx:[email protected] ... .org&myip=
interval maximum 29 0 0 0
!
!
!
!
!
!
!
!
!
interface Tunnel0
description tunnel verso Juliacom UD
ip address 10.10.30.2 255.255.255.252
tunnel source Dialer0
tunnel destination --ip destination--
tunnel mode nos
!
interface Tunnel1
description tunnel verso Juliacom TS
ip address 10.10.40.2 255.255.255.252
tunnel source Dialer0
tunnel destination --ip destination--
tunnel mode nos
!
interface Ethernet0
description Casa
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
description ADSL INTERFACCIA ATM
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
description ALICEADSL 7MBit
ip ddns update hostname xxxxxxxxx.dyndns.org
ip ddns update myupdate
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
no cdp enable
ppp chap hostname aliceadsl
ppp chap password 7 094D42001A0016161800
ppp pap sent-username aliceadsl password 7 082040470A1C04130107
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.1.0 255.255.255.0 Tunnel0
ip route 192.168.5.0 255.255.255.0 Tunnel0
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.0.3 3389 interface Dialer0 9000
ip nat inside source static tcp 192.168.0.2 3389 interface Dialer0 3389
ip nat inside source static tcp 192.168.0.2 10897 interface Dialer0 10897
ip nat inside source static udp 192.168.0.2 6639 interface Dialer0 6639
ip nat inside source static tcp 192.168.0.130 8099 interface Dialer0 8099
ip nat inside source static tcp 192.168.0.2 4711 interface Dialer0 4711
ip nat inside source static tcp 192.168.0.2 4712 interface Dialer0 4712
!
kron policy-list tunnel
cli tclsh flash:tunnel.tcl
!
kron policy-list tunnel1
cli tclsh flash:tunnel1.tcl
!
access-list 1 permit 192.168.0.0 0.0.0.255
no cdp run
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password 7 15011B08577A73
login
!
scheduler max-task-time 5000
end

[Wizard]

I casi potrebbero essere:

- saturazione della ram (troppe righe di nat molto probabilmente)
- probemi hardware alla macchina
- bug ios

Intanto un aggiornamento di ios non fa certo male!
Configura la parte firewall che direi essere fondamentale (non solo per questo problema)
Configura i timeout x la tabella di nat
Verifica regolarmente la tabella di nat (si usano sw per il p2p dietro al 837?)
Configura il logging

[luancarli]

Intanto grazie,
effettivamente si usa il p2p, ma i blocchi del router accadono anche quando il p2p non è attivo, escluderei pure problemi del router, ho provato due 837 diversi ed il problema persiste.
Poi, siccome non sono molto ferrato in termini di IOS, e non sono partner cisco, non ho la possibilità di avere aggiornamenti del IOS. Ci sono forse altre vie?
Per quanto riguarda le nat statiche non mi sembra che ce ne siano molte, una telecamera IP, due desktop remoti ed il p2p incriminato. Quante nat statiche si possono usare?
Mi potresti indicare il comando per il timeout del nat e per verificare la tabella di natting?
Proverò a vedere anche il firewall, magari con l' aiuto dell' SDM che è un po' più user friendly...

Luan

[Wizard]

Codice: Seleziona tutto

ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation syn-timeout 120
ip nat translation udp-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120

[luancarli]

Ho messo per disperazione uno zyxel 660, e non si blocca per niente. Ho paura che sia forse la configurazione del cisco che ha qualcosa di sbagliato. Ho ridotto le sessioni nat, i tempi, attivato il fiewall, disattivato il p2p eppure continua a bloccarsi. Forse è il caso di usare le Crypto VPN al posto del GRE tunnel? Questo server per collegarsi ad un gatekeeper Voip con un apparecchio telefonico IP Ericsson. L' unica cosa strana che ho potuto verificare è che avendo lasciato collegato hyperterminal sulla seriale ho trovato un errore di scrittura sulla ram...

*Mar 1 20:45:14.582: %ALIGN-3-SPURIOUS: Spurious memory access made at 0x803A69C4 reading 0x8
*Mar 1 20:45:14.582: %ALIGN-3-TRACE: -Traceback= 0x803A69C4 0x8027C464 0x8027FA80 0x0 0x0 0x0 0x0 0x0

Non so se questo sia significativo...

Griazie
Luan