我们希望将 Cisco VPN 设备 3000 系列配置作为文本文件来查看实际配置,但显然该界面不是 CLI,而是图形界面或菜单驱动的。
有没有办法以文本形式访问完整的配置?并将其复制并粘贴到文本文件中?
我们在使用站点到站点 IPsec VPN 时遇到一些奇怪的行为,该 VPN 每周都会关闭 30 分钟(我准确地说是30 分钟)。
我无权访问日志,因此很难进行故障排除。
同样奇怪的是,这两个 VPN 设备被设置为使用 SHA 哈希算法,但显然最终同意使用 MD5。
有人有线索吗?或者这只是信息不足?
编辑:
这是两个 VPN 设备之一的日志摘录,它是 Cisco 3000 系列 VPN 集中器。
27981 03/08/2010 10:02:16.290 SEV=4 IKE/41 RPT=16120 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
27983 03/08/2010 10:02:56.930 SEV=4 IKE/41 RPT=16121 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
27986 03/08/2010 10:03:35.370 SEV=4 IKE/41 RPT=16122 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
[……同样的情况又持续了 15 分钟……]
28093 03/08/2010 10:19:46.710 SEV=4 IKE/41 RPT=16140 xxxxxxxx IKE 发起者:新阶段 1,Intf 2,IKE Peer xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA (L2L: 1A)
28096 03/08/2010 10:20:17.720 SEV=5 IKE/172 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 自动 NAT 检测状态:远程端不在 NAT 设备后面 此端在 NAT 设备后面
28100 03/08/2010 10:20:17.820 SEV=3 IKE/134 RPT=79 xxxxxxxx 组 [xxxxxxxx] 不匹配:配置的 LAN 到 LAN 提议与协商提议不同。验证本地和远程 LAN 到 LAN 连接列表。
28103 03/08/2010 10:20:17.820 SEV=4 IKE/119 RPT=1197 xxxxxxxx 组 [xxxxxxxx] 第一阶段完成
28104 03/08/2010 10:20:17.820 SEV=4 AUTH/22 RPT=1031 xxxxxxxx 用户 [xxxxxxxx] 组 [xxxxxxxx] 已连接,会话类型:IPSec/LAN-to-LAN
28106 03/08/2010 10:20:17.820 SEV=4 AUTH/84 RPT=39 LAN 到 LAN 隧道到头端设备 xxxxxxxx 已连接
28110 03/08/2010 10:20:17.920 SEV=5 IKE/25 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28113 03/08/2010 10:20:17.920 SEV=5 IKE/24 RPT=88 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28116 03/08/2010 10:20:17.920 SEV=5 IKE/66 RPT=1290 xxxxxxxx 组 [xxxxxxxx] 为 SA 配置的 IKE 远程对等体:L2L:1A
28117 03/08/2010 10:20:17.930 SEV=5 IKE/25 RPT=1292 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到远程代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28120 03/08/2010 10:20:17.930 SEV=5 IKE/24 RPT=89 xxxxxxxx 组 [xxxxxxxx] 在 ID 有效负载中收到本地代理主机数据:地址 xxxxxxxx,协议 0,端口 0
28123 03/08/2010 10:20:17.930 SEV=5 IKE/66 RPT=1291 xxxxxxxx 组 [xxxxxxxx] 为 SA 配置的 IKE 远程对等体:L2L:1A
28124 03/08/2010 10:20:18.070 SEV=4 IKE/173 RPT=17330 xxxxxxxx 组 [xxxxxxxx] NAT 遍历成功协商!IPSec 流量将被封装以通过 NAT 设备。
28127 03/08/2010 10:20:18.070 SEV=4 IKE/49 RPT=17332 xxxxxxxx 组 [xxxxxxxx] LAN 到 LAN 组 (xxxxxxxx) 响应者的安全协商完成,入站 SPI = 0x56a4fe5c,出站 SPI = 0xcdfc3892
28130 03/08/2010 10:20:18.070 SEV=4 IKE/120 RPT=17332 xxxxxxxx 组 [xxxxxxxx] 阶段 2 已完成 (msgid=37b3b298)
28131 03/08/2010 10:20:18.750 SEV=4 IKE/41 RPT=16141 xxxxxxxx 组 [xxxxxxxx] IKE 发起方:新阶段 2,Intf 2,IKE 对等方 xxxxxxxx 本地代理地址 xxxxxxxx,远程代理地址 xxxxxxxx,SA( L2L:1A)
28135 03/08/2010 10:20:18.870 SEV=4 IKE/173 RPT=17331 xxxxxxxx 组 [xxxxxxxx] NAT 遍历成功协商!IPSec 流量将被封装以通过 NAT 设备。
我们有一个文件传输速度封顶(最大速度)的案例如下:
- 1 文件传输上限为 5Mbps;
- 2 个并行文件传输(同一文件),上限为 10 Mbps
什么可以解释这种行为?
它似乎不是IP层(网络)。那会是TCP层的设置吗?
编辑:
我将尝试澄清上下文和我的问题。
文件传输发生在两个 FTP 服务器(我不确定哪个操作系统或 FTP 软件)之间,通过广域网(专用网络,而不是 Internet)。所以我们有这样的事情:
FTP 服务器 A --> LAN --> WAN --> LAN --> FTP 服务器 B
第一个文件传输作业获得 5Mbps 带宽。我们认为 WAN 在某处存在限制带宽的瓶颈。但随后额外的文件传输作业设法找到另外 5Mbps 的带宽......
如何确保两个数据网络链路没有 SPOF(单点故障)?
我们正在研究数据中心网络连接,需要确保不会出现 SPOF。我们将有两个网络链接连接到数据中心。
问题是:如何确保这两个链接没有 SPOF?
您会建议从同一个网络提供商处订购这两个链接吗?还是不同的供应商?如果不同的提供商,您通常会获得什么级别的信息?