Cisco: ATM, BVI, проблемы с GRE-туннелем (output drops)

Загадочная для меня история, связанная с этой. На Cisco 877 был сделан туннель, выходящий из BVI-интерфейса. Примерно такой:

interface Tunnel2
 bandwidth 128
 ip address xx.x.x.xx 255.255.255.252
 ip authentication mode eigrp 100 md5
 ip authentication key-chain eigrp 100 XXXXXXXX
 ip tcp adjust-mss 1436
 tunnel source BVI1
 tunnel destination yyy.yyy.yyy.yy
 tunnel protection ipsec profile CRYPTO_PROFILE
 max-reserved-bandwidth 90
 service-policy output WAN128
!

В BVI1 входит ATM0.1:

interface ATM0
 no ip address
 no atm auto-configuration
 no atm ilmi-keepalive
 no atm address-registration
 no atm ilmi-enable
 dsl operating-mode auto
!
interface ATM0.1 point-to-point
 pvc 8/35
  encapsulation aal5snap
 !
 bridge-group 1
!

И, собственно, BVI1:

bridge irb
!
interface BVI1
 ip address zzz.zzz.zzz.zz 255.255.255.252
 mtu 1500
!
bridge 1 protocol ieee
bridge 1 route ip

Непостижимая проблема заключалась в том, что время от времени (иногда раз в сутки, иногда реже) по туннелю переставали ходить пакеты. По sh int tun2 было видно некоторое количество Total output drops, другие счетчики не увеличивались. Выявить, что именно случалось в этот момент, не удалось: никакой debug не прояснял картину. Помогала только перезагрузка*. Сценарий наблюдался на C870 Advanced IP Services 12.4(15)T7 и 12.4(15)T12.

Сейчас, после мучительных поисков первопричины, убрал BVI как таковой и повесил адрес непосредственно на ATM0.1. Интерфейс на этот момент выглядит так:

interface ATM0.1 point-to-point
 ip address zzz.zzz.zzz.zz 255.255.255.252
 ip mtu 1500
 atm route-bridged ip
 pvc 8/35
  encapsulation aal5snap
 !
!

В такой конфигурации сама циска не будет пинговать адрес zzz.zzz.zzz.zz — это бридж. Разумеется, в туннеле

interface Tunnel2
 ...
 tunnel source ATM0.1
 ...
!

Кстати, такая переконфигурация помогла туннелю подняться без всякой перезагрузки, что наводит на позитивные мысли. Пока полет нормальный.

См. также ATM Routed Bridge Encapsulation.

UPD:
*) эксперимент показал, что проблема проявляется только при включенном ip cef; таким образом, решение для исходной конфигурации — no ip cef.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *