The fragment table has reached its maximum threshold 16 что это
Сообщение IP_VFR-4-FRAG_TABLE_OVERFLOW Ошибка «IP_VFR-4-FRAG_TABLE_OVERFLOW и ip virtual-reassembly»
в логах маршрутизатора появилось такое сообщение:
%IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/1: the fragment table has reached its maximum threshold 64 %IP_VFR-4-TOO_MANY_FRAGMENTS: GigabitEthernet0/1: Too many fragments per datagram (more than 32) — sent by *.*.*.*, destined to *.*.*.*
%IP_VFR-4-FRAG_TABLE_OVERFLOW : [chars]: the fragment table has reached its maximum threshold [dec]
Explanation: The number of datagrams being reassembled at any one time has reached it maximum limit.
Recommended Action: Increase the maximum number of datagrams that can be reassembled by entering the ip virtual-reassembly max-reassemblies number command, with number being the maximum number of datagrams that can be reassembled at any one time.
т.е. количество датаграмм, собранных за промежуток времени, достигло максимального лимита
Рекомендуемые действия: увеличить максимальное число датаграмм которые могут быть собраны, путем ввода команды ip virtual-reassembly с числом максимального количества датаграмм, которые могут быть собранны в промежуток времени.
Небольшое пояснение:
IP пакеты фрагменируются и буферизруются маршрутизатором, до тех пор пока не соберутся в датаграмму и в конце концов не передадутся. Маршрутизатор распределяет пространство для количества датаграмм (и фрагментов на датаграмму) которые ждут сборки. Вы можете увеличить размер таблицы фрагменов, но так же стоит выяснить что вызывает фрагментацию. Это могут быть значения MTU, действия злоумышленника с целью забить всю память фрагментами пакетов или не корректной настройкой оборудования.
выдержка из документации с cisco.com по синаксису команды ip virtual-reassembly: Что бы включить сборку виртуальных фрагментов (VFR) на интерфейсе, используйте команду ip virtual-reassembly в режиме конфигурации интерфейса. Что бы отключить VFR нужно использовать no с это командой.
ip virtual-reassembly [max-reassemblies number] [max-fragments number] [timeout seconds] [drop-fragments]
no ip virtual-reassembly [max-reassemblies number] [max-fragments number] [timeout seconds] [drop-fragments]
max-reassemblies number: (Опционально) Максимальное колчество IP датаграмм, которые могут быть собранны в заданное время. Значение по умолчанию: 16.
Если достигнуто максимальное значение, то все последующие фрагменты будут отбрасываться и в системный журнал будут отправлены тревожные сообщения.
max-fragments number: (Опционально) Максимальное количество фрагментов на одну IP датаграмму (фрагмент). Значение по умолчанию: 32.
Если собирающаяся IP датаграмма получает больше максимального числа разрешенных фрагментов, то IP датаграмма будет отброшена и в системный журнал будет отправлено тревожное соощение.
timeout seconds: (Опционально) значение таймаута в секундах для сборки IP датаграммы. Значение по умолчанию: 3.
Если IP датаграмма не получит все фрагменты в установленное время, то IP датаграмма (и все ее фрагменты) будет отброшена.
drop-fragments: (Опционально) Включает функцию VFR отбрасывать все пакеты, которые приходят на сконфигурированный интерфейс. По умолчанию эта функция отключена. Использование: Когда злоумышленник продолжительное время посылает большое количество дефектных пакетов, может быть осуществлена атака переполнения буфера. Firewall теряет время и память когда пытается пересобрать фейковые пакеты.
Опции max-reassemblies и max-fragments позволяют вам сконфигурировать максимальные пороговые значения, и предотвратить атаку переполнения буфера и контролировать потребление потребление памяти.
В дополнение к конфигурированию максимальных попроговых значений, каждая IP датаграмма ассоциируется с управляемым таймером. Если IP датаграмма не получит все фрагменты через указанный период (который можно установить опцией timeout), время истечет и IP датаграмма (со всеми фрагментами) будет отброшена.
Автоматическое включение и выключение VFR: VFR реализвана для работы с любой функцией которая использует сборку фрагментов (таких как Cisco IOS firewall и NAT). В данный момент NAT включает и выключает VFR автоматически. т.е. когда NAT включен на интерфейсе, то на этом интерфейсе автоматически включена VFR.
Если более чем одна функция пытается автоматически включить VFR на интерфейсе, VFR начинает вести учет функций использующих его, и когда это количество становится равным нулю — он автоматически отключается.
ip virtual-reassembly и IP_VFR-4-FRAG_TABLE_OVERFLOW
IP_VFR-4-FRAG_TABLE_OVERFLOW и ip virtual-reassembly
Mar 20 11:48:14 192.168.20.10 832: Mar 20 08:48:13.629: %IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/1: the fragment table has reached its maximum threshold 64
Mar 20 11:48:32 192.168.20.10 833: Mar 20 08:48:31.437: %IP_VFR-4-TOO_MANY_FRAGMENTS: GigabitEthernet0/1: Too many fragments per datagram (more than 32) — sent by *.*.*.*, destined to *.*.*.*
%IP_VFR-4-FRAG_TABLE_OVERFLOW : [chars]: the fragment table has reached its maximum threshold [dec]
Explanation: The number of datagrams being reassembled at any one time has reached it maximum limit.
Recommended Action: Increase the maximum number of datagrams that can be reassembled by entering the ip virtual-reassembly max-reassemblies number command, with number being the maximum number of datagrams that can be reassembled at any one time.
т.е. количество датаграмм, собранных за промежуток времени, достигло максимального лимита
Рекомендуемые действия: увеличить максимальное число датаграмм которые могут быть собраны, путем ввода команды ip virtual-reassembly с числом максимального количества датаграмм, которые могут быть собраны в промежуток времени.
IP пакеты фрагменируются и буферизруются маршрутизатором, до тех пор пока не соберутся в датаграмму и в конце концов не передадутся. Маршрутизатор распределяет пространство для количества датаграмм (и фрагментов на датаграмму) которые ждут сборки. Вы можете увеличить размер таблицы фрагменов, но так же стоит выяснить что вызывает фрагментацию. Это могут быть значения MTU, действия злоумышленника с целью забить всю память фрагментами пакетов или не корректной настройкой оборудования.
выдержка из документации с cisco.com по синтаксису команды ip virtual-reassembly:
Что бы включить сборку виртуальных фрагментов (VFR) на интерфейсе, используйте команду ip virtual-reassembly в режиме конфигурации интерфейса. Что бы отключить VFR нужно использовать no с это командой.
синтаксис:
ip virtual-reassembly [max-reassemblies number] [max-fragments number] [timeout seconds] [drop-fragments]
no ip virtual-reassembly [max-reassemblies number] [max-fragments number] [timeout seconds] [drop-fragments]
max-reassemblies number: (Опционально) Максимальное количество IP датаграмм, которые могут быть собраны в заданное время. Значение по умолчанию: 16.
Если достигнуто максимальное значение, то все последующие фрагменты будут отбрасываться и в системный журнал будут отправлены тревожные сообщения.
max-fragments number: (Опционально) Максимальное количество фрагментов на одну IP датаграмму (фрагмент). Значение по умолчанию: 32.
Если собирающаяся IP датаграмма получает больше максимального числа разрешенных фрагментов, то IP датаграмма будет отброшена и в системный журнал будет отправлено тревожное сообщение.
timeout seconds: (Опционально) значение таймаута в секундах для сборки IP датаграммы. Значение по умолчанию: 3.
Если IP датаграмма не получит все фрагменты в установленное время, то IP датаграмма (и все ее фрагменты) будет отброшена.
drop-fragments: (Опционально) Включает функцию VFR отбрасывать все пакеты, которые приходят на сконфигурированный интерфейс. По умолчанию эта функция отключена.
Использование:
Когда злоумышленник продолжительное время посылает большое количество дефектных пакетов, может быть осуществлена атака переполнения буфера. Firewall теряет время и память когда пытается пересобрать фейковые пакеты.
Опции max-reassemblies и max-fragments позволяют вам сконфигурировать максимальные пороговые значения, и предотвратить атаку переполнения буфера и контролировать потребление потребление памяти.
В дополнение к конфигурированию максимальных пороговых значений, каждая IP датаграмма ассоциируется с управляемым таймером. Если IP датаграмма не получит все фрагменты через указанный период (который можно установить опцией timeout), время истечет и IP датаграмма (со всеми фрагментами) будет отброшена.
Автоматическое включение и выключение VFR:
VFR реализована для работы с любой функцией которая использует сборку фрагментов (таких как Cisco IOS firewall и NAT). В данный момент NAT включает и выключает VFR автоматически. т.е. когда NAT включен на интерфейсе, то на этом интерфейсе автоматически включена VFR.
Если более чем одна функция пытается автоматически включить VFR на интерфейсе, VFR начинает вести учет функций использующих его, и когда это количество становится равным нулю — он автоматически отключается.
Подключение пула внешних IP, и исправление ошибок
Здравствуйте, ув. Киберфорумчани!
Сразу скажу я не сертифицированный специалист Cisco.
Недавно случилась необходимость подключения 2 внешних IP-адресов, в связи с установлением нового сервера видеоконференций. Мы запросили у провайдера 2 дополнительных IP, но они смогли только предоставить подсеть из 6 IP,
сеть: XXX.XXX.45.160 255.255.255.248.
Старый IP забрали, дали сеть. Раньше всей маршрутизацией занимался Win2008r2 и IP был статический, но выдавался провайдером. Как только произошли эти изменения, естественно интернета не стало, офис в панике, отовсюду идёт мат и вопросы когда снова появиться инет.
После долгих переговоров с тех поддержкой провайдера, выяснилось, что для работы с данной подсетью, простого Win-серва недостаточно, а требуется более сложное сетевое оборудование, к счастью мы давно закупили Router Cisco 2900, до этого до него руки не доходили, но в связи текущих обстоятельств пришлось всё брать в свои руки, и в срочном порядке настраивать его.
К счастью для начало требовался всем хотя-бы просто доступ в интернет, и не составило труда найти огромное количество мануалов по настройки.
После 4 часов консоли интернет появился, Т.К. я делал это впервые и без интернета(шаблон по настройке я дома заготовил), то по моему где-то накосячил и теперь у меня выдаёт сообщение:»%IP_VFR-4-FRAG_TABLE_OVERFLOW: Dialer1: the fragment table has reached its maximum threshold 16″, подключение к нету осуществляется с аутентификацией PPPoE.
Вот текущий конфиг:
Я сделал переброс с помощью NAT, Т.К. подругому не нашол.
На самом деле надо реализовать примерно такую схему:
P.S. как удалить строчку из конфига?
Надеюсь Вы мне положите, только большая просьба поподробнее 
The fragment table has reached its maximum threshold 16 что это
Коллеги в логах cisco 2811 в последнее время появилась такая запись
%IP_VFR-4-FRAG_TABLE_OVERFLOW: Vlan428: the fragment table has reached its maximum threshold 16
Что бы это могло значить??
| 1. «IP_VFR-4-FRAG_TABLE_OVERFLOW» | + / – |  |
Сообщение от mdenisov  (ok) on 26-Июн-09, 12:06 | ||
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору | ||
 | ||
| 2. «IP_VFR-4-FRAG_TABLE_OVERFLOW» | + / – |  |
| Сообщение от klin (ok) on 26-Июн-09, 12:35 | ||
Если не сложно, обьясните пожалуйста на пальцах что он делает этот virtual reassembly | ||
| Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 3. «IP_VFR-4-FRAG_TABLE_OVERFLOW» | + / – | |
| Сообщение от mdenisov (ok) on 26-Июн-09, 12:39 | ||
| Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору | ||
| 4. «IP_VFR-4-FRAG_TABLE_OVERFLOW» | + / – |  |
| Сообщение от Анонима on 27-Июн-09, 20:04 | ||
| ||
| Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору | ||
