请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 543|回复: 9

IPsec vpn通道问题

[复制链接]
发表于 2019-7-2 17:11:35 | 显示全部楼层 |阅读模式
10可用金钱
两个公司分别为A和B公司,通过IPsecVPN通道来异地组网的,两面分别访问外网都是正常不丢包的,但是B访问A公司的业务系统一直连接不上,我ping了一下一直是丢包的状态,五个包丢二个,但是下班了,我在PING就是好的了,这个我要怎么排查出问题呢。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-2 17:26:31 | 显示全部楼层
2端出口设备监控带宽使用情况,
推测上班时出口带宽上行或下行被占满了;
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-2 18:44:06 | 显示全部楼层
YilinChen 发表于 2019-7-2 17:26
2端出口设备监控带宽使用情况,
推测上班时出口带宽上行或下行被占满了;

这个怎么监控呢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-2 18:54:35 | 显示全部楼层

show interface ethernet 0/1这个命令看5分钟内进出多少包和多少流量吗
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-3 08:33:26 | 显示全部楼层

搞个开源第三方监控软件呀,基于SNMP采集数据画图形,CACTI/ZABBIX 都可以。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-3 09:27:48 | 显示全部楼层
YilinChen 发表于 2019-7-3 08:33
搞个开源第三方监控软件呀,基于SNMP采集数据画图形,CACTI/ZABBIX 都可以。

我用的是zabbix可是一直丢包,图形上面就只会显示一个点一个点的,根本不成曲线图,我看了每个接口的进出流量都很小的,不会是网内有人电脑中毒了吧
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-4 09:45:17 | 显示全部楼层
如果内部网段内PING包都存在丢包,建议先排查内网情况
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-10 10:39:24 | 显示全部楼层
1.在二端的面向互联网接口查看流量,互联网带宽是否超载了?
router(config)#int fa 0/0
router(config-if)#ip accounting output-packets
router#sh ip accounting output-packets
2.在VPN丢包时,在内网电脑PING下你外网的网关IP或公网DNS测试互联网性能
3.VPN MTU问题。在接口下 ip tcp adjust-mss 1370
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-11 11:59:03 | 显示全部楼层
luodaheng 发表于 2019-7-10 10:39
1.在二端的面向互联网接口查看流量,互联网带宽是否超载了?
router(config)#int fa 0/0
router(config-i ...

谢谢你,这个问题解决了,但是还有一个问题,我能PING通隧道对端防火墙的下连所有设备,也能ping通防火墙的公网ip,就是ping不通防火墙的内网接口IP这是怎么回事呢,不但ping不通ssh也连不上,就有他的下连设备可以ssh和ping通这个防火墙
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-17 10:07:58 | 显示全部楼层
seasonli72658 发表于 2019-7-11 11:59
谢谢你,这个问题解决了,但是还有一个问题,我能PING通隧道对端防火墙的下连所有设备,也能ping通防火墙 ...

安全策略不允许从VPN直接到内网接口的流量,因为ASA防火墙状态化监控SESSION,流量必须穿越防火墙,或者达到防火墙的直连接口。例如,你只能ping防火墙的直连接口,但是不能除直连接口之外的接口
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-10-24 05:26 , Processed in 0.094251 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表