Перейти к содержимому
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

Добрый вечер всем. Подскажите кто в курсе, как там сейчас дела с Nat overload на ASR, на новых прошивках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling).

bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out.

Symptom:

When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped.

Conditions:

ASR running NAT PAP

Workaround:

none

 

Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно.

Если пофиксят, то можно будет сказать, что работает нормально.

 

Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

емнип CGN-NAT на ASR работает только для ppoe, никто не в курсе планов циски насчет реализации для ipoe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не совсем понимаю - а что все так пристали к CGNAT? В нём глюки всегда были, есть, и, похоже, ещё долго будут.

Если не считать увеличения ёмкости по трансляциям при использовании CGNAT вдвое - "обычный" NAT вполне нормально работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"обычный" NAT вполне нормально работает

Без overload - да, работает.

С overload только делает вид, что работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле?

 

А как без paired address может нормально работать пул на несколько адресов. На каждый новый коннект рандомный адрес из пула?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling).

bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out.

Symptom:

When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped.

Conditions:

ASR running NAT PAP

Workaround:

none

 

Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно.

Если пофиксят, то можно будет сказать, что работает нормально.

 

Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает.

 

Данный баг имеет статус Fixed.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Данный баг имеет статус Fixed

Ну да, fixed - дата 4 октября.

Официальный ответ Cisco TAC: "The bug will be fixed in 3.10.1 release. The release date for the IOS is 31st Oct".

Пока доступен только 3.10.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну да ведь релизы выпускают раз в 3 месяца.

Изменено пользователем shaytan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не понимаю, вот честно. Даже у нас, обычной конторы (пусть и самой крупной в своем роде в россии) хватило денег купить /20... Зачем НАТ то?

Изменено пользователем myst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потому что не всех устраивает L2 до браса, и не всем нравится голый зад абонента, то бишь его белый айпи наружу. Мы в числе тех кого не устраивает, да и нет у нас /20.

Холиварить на эту тему можно до усеру абсолютно без результата.

 

По сабжу интересует кто юзал с ISG, 1 в 1 работает, но overload видимо будет нужен, т.к. темпы роста ipv6 очень унылые

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

 

http://www.cisco.com/en/US/docs/routers/asr1000/release/notes/asr1k_rn_rel_notes.pdf

Рекомендуемый rom-mon к IOS XE 3.10.x для:

ASR1000-RP2: 15.2(1r)S

ASR1000-ESP20: 15.3(3r)S

ASR1000-SIP10: 15.3(3r)S1

Изменено пользователем shaytan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Работает ли в связке с ISG на одной коробке?

Не знаю, у нас BRAS на MX80, ASR только для NAT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

поделитесь 3.10.1 для rp1 и rp2 пожалуйста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом.

Я не в РФ, не в курсе нюансов, а СОРМ netflow с интерфейса в локальную сеть недостаточно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом.

Думаю просто будем сливать до BRAS, чтож делать то :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

 

 

 

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

 

 

 

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

 

откатился на 10.1 Все заработало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

 

 

 

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

 

откатился на 10.1 Все заработало.

 

А мы на 3.10.0 (классический nat) имеем проблему с работой nat passive ftp, но при этом nat active ftp работает корректно.

Настройка nat:

 

ip nat settings pap

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation pptp-timeout 1800

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation port-timeout tcp 1600 10

ip nat translation port-timeout tcp 8080 10

ip nat translation port-timeout tcp 110 60

ip nat translation port-timeout tcp 25 60

ip nat translation port-timeout tcp 80 15

ip nat pool Pool-1 176.x.x.0 176.x.x.255 prefix-length 24

ip nat inside source list NAT-USERS pool Pool-1 overload

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.