Re: [cisco-ttl] ip cef sorunu

From: Ilker Temir (ilker_at_ilkertemir.com)
Date: Fri Jul 02 2004 - 07:03:21 GMT

  • Next message: erkan erdem: "Re: [cisco-ttl] ip cef sorunu"

    Gorunuse gore sorununuz ADSL modemden cikan paketlerden kaynaklaniyor.
    Paketler ya cikamiyorlar ya da belli bir cevrime veya filtrelemeye
    ugruyorlar. Sebebini anlamak icin ADSL modemin nasil konfigure edildigi
    ve servis saglayicinin (TTNET oluyor galiba) eger yapiyorsa nasil bir
    filtreleme yaptigini iredelemek gerekli. (NAT'i PIX uzerinde yaptiginizi
    varsayiyorum)

    Ama cozum icin buna gerek de olmayabilir. Anladigim kadariyla PIX'in
    default route'u 2500 ve load-balancing'i 2500 uzerinde yapiyorsunuz.
    Eger boyleyse 2500'un ethernet0'inda yapacaginiz policy based routing
    ile sunuculardan gelen tum paketleri dogrudan serial0'dan
    gonderebilirsiniz. Paketler ADSL modeme ugramayacagi icin bu sekilde
    calisacaktir.

    access-list 10 permit host {sunucu IP adresi}

    route-map pbr
       match ip address 10
       set ip next-hop {serial 0 uzerinden neighbor IP}

    int eth0
       ip policy route-map pbr

    Ilker

    erkan erdem wrote:
    > merhaba ,
    > Evet, sunucularda static mapping nat kullanılıyor.
    > trace çektiğimde ttnet in routerine kadar gidiyor. Bizim routera gelmiyor.
    > Ayrıca vpn lede bağlanamıyorum.
    >
    > ayrıca sadece serial0 dan çıkılmasını istediğim iplerden bize
    > gelişlerde de sorun olmuyor.
    > Örnek olarak;
    > ip route 195.175.148.0 255.255.255.0 serial0 komutunu routera yazdığımda
    > 195.175.148 lu networkten hem web serverlara hem de vpn e
    > ulaşılabiliyor.(vpn konfigim firewallda)
    >
    > Network şeması ekte mevcut.
    > Router konfigurasyonum:
    > version 12.3
    > service timestamps debug uptime
    > service timestamps log uptime
    > no service password-encryption
    > !
    > hostname router
    > !
    > boot-start-marker
    > boot-end-marker
    > !
    > enable secret 5 $1$.UEq$WXt0xKWTmJGat0sSJRAjB0
    > enable password xxxxx
    > !
    > no aaa new-model
    > ip subnet-zero
    > ip cef
    > !
    > !
    > !
    > !
    > interface Ethernet0
    > description connected to EthernetLAN
    > ip address x.x.x.x 255.255.255.224
    > !
    > interface Serial0
    > description connected to Internet
    > ip address x.x.x.x.x 255.255.255.252
    > ip access-group 2 in
    > backup delay 5 5
    > backup interface Serial1
    > no fair-queue
    > !
    > interface Serial1
    > ip address negotiated
    > encapsulation ppp
    > dialer in-band
    > dialer idle-timeout 1800
    > dialer string usr
    > dialer-group 1
    > no peer default ip address
    > pulse-time 1
    > !
    > router rip
    > version 2
    > passive-! interface Serial0
    > network x.x.x.x
    > no auto-summary
    > !
    > no ip http server
    > ip classless
    > ip route 0.0.0.0 0.0.0.0 Serial0
    > ip route 0.0.0.0 0.0.0.0 adsl modem ip'si
    > !
    > access-list 2 permit any
    > access-list 100 permit ip host y.y.y.y any
    > access-list 100 permit ip host y.y.y.y any
    > access-list 100 deny udp any any eq snmp
    > access-list 100 deny udp any any eq snmptrap
    > access-list 100 permit ip any any
    > access-list 100 deny udp any any eq netbios-ss
    > access-list 100 deny tcp any any eq 139
    > access-list 100 deny udp any any eq 445
    > access-list 100 deny tcp any any eq 445
    > access-list 100 deny udp any any eq 5554
    > access-list 100 deny tcp any any eq 5554
    > dialer-list 1 protocol ip permit
    > !
    > snmp-server community public RO
    > snmp-server enable traps tty
    > !
    > line con 0
    > exec-timeout 0 0
    > password xxxx
    > login
    > line aux 0
    > line vty 0
    > exec-timeout 0 0
    > password xxxxx
    > login
    > transport preferred telnet
    > transport input all
    > stopbits 1
    > lin! e vty 1 4
    > exec-timeout 0 0
    > password xxxx
    > login
    > transport preferred telnet
    > transport input all
    > !
    > !
    > end
    >
    >
    > */Ilker Temir <ilker_at_ilkertemir.com>/* wrote:
    >
    > Merhaba,
    >
    > Bu sorunun su anda anlatildigi sekli ile CEF ya da IOS upgrade'i ile
    > bir
    > ilgisi gorunmuyor.
    >
    > > Sorun dışardan bize bağlananlarda oluşuyor. İnternetteki kullanıcılar
    > > bizim iç networkumuzde web serverlardaki web sayfalara bağlanmaya
    > > çalıştıklarında bağlanamıyorlar. Bu sorunu serverlarımızı sadece
    >
    > Sorunun gercekten ne oldugunu anlamak icin "Baglanamiyorlar" kismini
    > biraz daha detayli incelemek gerekiyor. Tam olarak ne oluyor, paketler
    > nereye kadar geliyor, NAT kullaniliyor mu ? Kullaniliyorsa statik
    > mapping mi yapiliyor, sunucunun adresi nedir vb.
    >
    > Izlenimim, sorunun -eger kullaniliyorsa- NAT'da ya da yonlendirmede
    > oldugu yonunde.
    >
    > Ilker
    >
    >
    >
    > Mehmet Ali Suzen wrote:
    > > Malasef ben upgrade edemedim, ama onu tavsiye etmislerdi.
    > > https://puck.nether.net/pipermail/cisco-nsp/2004-March/008871.html
    > > Cisco ile sozlesmemiz olmadigindan. Boyle durumlarda ne yapabiliriz?
    > >
    > >
    > >
    > >>Ben de 12.3 var zaten.Siz sorunu hangi iosa upgrade ettiğinizde
    > düzeldi
    > >>sorun?
    > >>
    > >> Ama aşağıda belittiğim olayı yapacak bir komut bulabilirsem hiç
    > gerek
    > >>kalmayacak upgrade e bence..
    > >>
    > >>
    > >>Mehmet Ali Suzen <msuzen_at_kibris.net> wrote:Ayni sorun ile bende
    > >>karsilasdim, 12.1 IoS un ya bug var yada
    > >>2500 ile uyumsuzluk sorunu var. IoS upgrade sart.
    > >>-Mehmet
    > >>
    > >>>merhaba arkadaşlar,
    > >>>2500 router üzerinde iki hat arasında(leased line ve adsl modem) ip
    > >>>cef ile load balancing per destination yapıyorum. İç networkten
    > >>>internete
    > >>>çıkışlarımda! hiç bir sorun yok. Trafik iki taraftan çıkıyor.
    > >>>Sorun dışardan bize bağlananlarda oluşuyor. İnternetteki
    > kullanıcılar
    > >>>bizim iç networkumuzde web serverlardaki web sayfalara bağlanmaya
    > >>>çalıştıklarında bağlanamıyorlar. Bu sorunu serverlarımızı sadece
    > leased
    > >>>line dan (serial0 ) internete çıkararak düzeltmeyi
    > düşünüyoruz.Diğer
    > >>>kullanıcılar iki hattıda kullanıcak. Böyle bir şey yapmak
    > mümkün müdür?
    > >>>değilse başka bir yol önerebilir misiniz?
    > >>>
    > >>>
    > >>>
    > >>>---------------------------------
    > >>>Do you Yahoo!?
    > >>>Yahoo! Mail is new and improved - Check it out!
    > >>
    > >>
    > >>
    > >>Bu listenin Cisco Systems ile herhangi bir baglantisi
    > bulunmamaktadir.
    > >>
    > >>Listeden cikmak için cisco-ttl-unsubscribe_at_yahoogroups.com
    > adresine bir
    > >>e-posta gönderebilirsiniz.
    > >>
    > >>
    > >>Yahoo! Groups SponsorADVERTISEMENT
    > >>
    > >>
    > >>---------------------------------
    > >>Yahoo! Groups Links
    > >>
    > >> To visit your group on the web, go to:
    > >>http://groups.yahoo.com/group/cisco-ttl/
    > >>
    > >> To unsubscribe from this group, send an email to:
    > >>cisco-ttl-unsubscribe_at_yahoogroups.com
    > >>
    > >> Your use of Yahoo! Groups is subject to the Yahoo! Terms of
    > Service.
    > >>
    > >>
    > >>
    > >>
    > >>---------------------------------
    > >>Do you Yahoo!?
    > >>New and Improved Yahoo! Mail - 100MB free storage!
    > >
    > >
    > >
    > >
    > >
    > > Bu listenin Cisco Systems ile herhangi bir baglantisi
    > bulunmamaktadir.
    > >
    > > Listeden cikmak için cisco-ttl-unsubscribe_at_yahoogroups! .com
    > adresine bir e-posta gönderebilirsiniz.
    > > Yahoo! Groups Links
    > >
    > >
    > >
    > >
    >
    >
    > Bu listenin Cisco Systems ile herhangi bir baglantisi bulunmamaktadir.
    >
    > Listeden cikmak için cisco-ttl-unsubscribe_at_yahoogroups.com adresine
    > bir e-posta gönderebilirsiniz.
    >
    >
    > ------------------------------------------------------------------------
    > Do you Yahoo!?
    > Yahoo! Mail Address AutoComplete
    > <http://us.rd.yahoo.com/mail_us/taglines/aac/*http://promotions.yahoo.com/new_mail/static/ease.html>
    > - You start. We finish.
    >
    > Bu listenin Cisco Systems ile herhangi bir baglantisi bulunmamaktadir.
    >
    > Listeden cikmak için cisco-ttl-unsubscribe_at_yahoogroups.com adresine bir
    > e-posta gönderebilirsiniz.
    >
    >
    > *Yahoo! Groups Sponsor*
    > ADVERTISEMENT
    > <http://us.ard.yahoo.com/SIG=1291et65u/M=295196.4901138.6071305.3001176/D=groups/S=1705004726:HM/EXP=1088785832/A=2128215/R=0/SIG=10se96mf6/*http://companion.yahoo.com>
    >
    >
    > ------------------------------------------------------------------------
    > *Yahoo! Groups Links*
    >
    > * To visit your group on the web, go to:
    > http://groups.yahoo.com/group/cisco-ttl/
    >
    > * To unsubscribe from this group, send an email to:
    > cisco-ttl-unsubscribe_at_yahoogroups.com
    > <mailto:cisco-ttl-unsubscribe_at_yahoogroups.com?subject=Unsubscribe>
    >
    > * Your use of Yahoo! Groups is subject to the Yahoo! Terms of
    > Service <http://docs.yahoo.com/info/terms/>.
    >
    >
    >
    > ------------------------------------------------------------------------
    >

    ------------------------ Yahoo! Groups Sponsor --------------------~-->
    Yahoo! Domains - Claim yours for only $14.70
    http://us.click.yahoo.com/Z1wmxD/DREIAA/yQLSAA/26EolB/TM
    --------------------------------------------------------------------~->

    Bu listenin Cisco Systems ile herhangi bir baglantisi bulunmamaktadir.

    Listeden cikmak için cisco-ttl-unsubscribe_at_yahoogroups.com adresine bir e-posta gönderebilirsiniz.
    Yahoo! Groups Links

    <*> To visit your group on the web, go to:
        http://groups.yahoo.com/group/cisco-ttl/

    <*> To unsubscribe from this group, send an email to:
        cisco-ttl-unsubscribe_at_yahoogroups.com

    <*> Your use of Yahoo! Groups is subject to:
        http://docs.yahoo.com/info/terms/
     



    This archive was generated by hypermail 2.1.5 : Fri Jul 02 2004 - 11:04:07 GMT