取消
显示结果 
搜索替代 
您的意思是: 
cancel
7338
查看次数
0
有帮助
9
回复

IPsec vpn通道问题

seasonli72658
Spotlight
Spotlight
两个公司分别为A和B公司,通过IPsecVPN通道来异地组网的,两面分别访问外网都是正常不丢包的,但是B访问A公司的业务系统一直连接不上,我ping了一下一直是丢包的状态,五个包丢二个,但是下班了,我在PING就是好的了,这个我要怎么排查出问题呢。
9 条回复9

YilinChen
Spotlight
Spotlight
2端出口设备监控带宽使用情况,
推测上班时出口带宽上行或下行被占满了;

seasonli72658
Spotlight
Spotlight
YilinChen 发表于 2019-7-2 17:26
2端出口设备监控带宽使用情况,
推测上班时出口带宽上行或下行被占满了;

这个怎么监控呢

seasonli72658
Spotlight
Spotlight
seasonli72658 发表于 2019-7-2 18:44
这个怎么监控呢

show interface ethernet 0/1这个命令看5分钟内进出多少包和多少流量吗

YilinChen
Spotlight
Spotlight
seasonli72658 发表于 2019-7-2 18:44
这个怎么监控呢

搞个开源第三方监控软件呀,基于SNMP采集数据画图形,CACTI/ZABBIX 都可以。

seasonli72658
Spotlight
Spotlight
YilinChen 发表于 2019-7-3 08:33
搞个开源第三方监控软件呀,基于SNMP采集数据画图形,CACTI/ZABBIX 都可以。

我用的是zabbix可是一直丢包,图形上面就只会显示一个点一个点的,根本不成曲线图,我看了每个接口的进出流量都很小的,不会是网内有人电脑中毒了吧

YilinChen
Spotlight
Spotlight
如果内部网段内PING包都存在丢包,建议先排查内网情况

luodaheng1
Spotlight
Spotlight
1.在二端的面向互联网接口查看流量,互联网带宽是否超载了?
router(config)#int fa 0/0
router(config-if)#ip accounting output-packets
router#sh ip accounting output-packets
2.在VPN丢包时,在内网电脑PING下你外网的网关IP或公网DNS测试互联网性能
3.VPN MTU问题。在接口下 ip tcp adjust-mss 1370

seasonli72658
Spotlight
Spotlight
luodaheng 发表于 2019-7-10 10:39
1.在二端的面向互联网接口查看流量,互联网带宽是否超载了?
router(config)#int fa 0/0
router(config-i ...

谢谢你,这个问题解决了,但是还有一个问题,我能PING通隧道对端防火墙的下连所有设备,也能ping通防火墙的公网ip,就是ping不通防火墙的内网接口IP这是怎么回事呢,不但ping不通ssh也连不上,就有他的下连设备可以ssh和ping通这个防火墙

luodaheng1
Spotlight
Spotlight
seasonli72658 发表于 2019-7-11 11:59
谢谢你,这个问题解决了,但是还有一个问题,我能PING通隧道对端防火墙的下连所有设备,也能ping通防火墙 ...

安全策略不允许从VPN直接到内网接口的流量,因为ASA防火墙状态化监控SESSION,流量必须穿越防火墙,或者达到防火墙的直连接口。例如,你只能ping防火墙的直连接口,但是不能除直连接口之外的接口
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接