Перейти к содержимому
Калькуляторы

7sergeynazarov7

Пользователи
  • Публикации

    61
  • Зарегистрирован

  • Посещение

О 7sergeynazarov7

  • Звание
    Абитуриент
  1. ASR1001x NAT+CGN+PAT

    asr-1#show processes memory Processor Pool Total: 3946782608 Used: 1730896744 Free: 2215885864 lsmpi_io Pool Total: 6295128 Used: 6294296 Free: 832 C Cisco все есть, со стороны абонентов нету, дальше сабинтерфейса не пускает.
  2. ASR1001x NAT+CGN+PAT

    Что то с BGP. Два канала, на одном работает, второй подключаешь начинаются проблемы. Не создаются NAT трансляции. Подскажите куда копать router bgp XXXXX bgp router-id XX.XXX.XXX.X bgp log-neighbor-changes neighbor MEGAFON peer-group neighbor MEGAFON remote-as XXXX neighbor MEGAFON-FULL peer-group neighbor MEGAFON-FULL remote-as XXXX neighbor BEE peer-group neighbor BEE remote-as XXXX neighbor XX.XX.XX.XXX peer-group MEGAFON neighbor XX.XX.XX.XXX shutdown neighbor XX.XX.XX.XXX peer-group MEGAFON-FULL neighbor XX.XX.XXX.XXX shutdown neighbor XX.XX.XXX.XXX ebgp-multihop 2 neighbor XX.XX.XX.XX peer-group BEE ! address-family ipv4 network XX.XXX.XXX.0 mask 255.255.255.0 network XXX.XXX.XXX.0 mask 255.255.255.0 neighbor MEGAFON soft-reconfiguration inbound neighbor MEGAFON prefix-list MEGAFON-IN in neighbor MEGAFON route-map MEGAFON-OUT out neighbor MEGAFON-FULL soft-reconfiguration inbound neighbor MEGAFON-FULL route-map MEGAFON-OUT out neighbor BEE soft-reconfiguration inbound neighbor BEE route-map BEE-OUT out neighbor XX.XX.XXX.XXX activate neighbor XXX.XXX.XXX.XXX activate neighbor XXX.XX.XX.XX activate neighbor XX.XX.XX.XX activate exit-address-family ip prefix-list BEE-OUT seq 5 permit XX.XXX.XXX.0/24 ip prefix-list BEE-OUT seq 6 permit XX.XXX.XXX.0/24 ! ip prefix-list BEE-OUT-1 seq 5 permit XX.XXX.XXX.0/24 ! ip prefix-list BEE-OUT-2 seq 6 permit XX.XXX.XXX.0/24 ! ! ip prefix-list MEGAFON-OUT seq 5 permit XXX.XXX.XXX.0/24 ip prefix-list MEGAFON-OUT seq 6 permit XXX.XXX.XXX.0/24 ! ip prefix-list MEGAFON-OUT-1 seq 5 permit XX.XXX.XXX.0/24 ! ip prefix-list MEGAFON-OUT-2 seq 6 permit XX.XXX.XXX.0/24 route-map BEE-OUT permit 10 match ip address prefix-list BEE-OUT-1 set as-path prepend 56392 ! route-map BEE-OUT permit 20 match ip address prefix-list BEE-OUT-2 set as-path prepend 56392 56392 56392 56392 ! route-map MEGAFON-OUT permit 10 match ip address prefix-list MEGAFON-OUT-1 set as-path prepend 56392 ! route-map MEGAFON-OUT permit 20 match ip address prefix-list MEGAFON-OUT-2 set as-path prepend 56392 56392 56392 56392 Где искать проблему коллеги, подскажите пожалуйста.
  3. ASR1001x NAT+CGN+PAT

    Какую версию посоветуете ?. NAT порядка 2 К абонентов, ЧНН 2 Гбит/с. Некоторые версии IOs не поднимаются 10 Гбит порты.
  4. ASR1001x NAT+CGN+PAT

    От без исходности перебровыл кучу версий. Cisco IOS XE Software, Version 16.09.01 Сейчас эта. Сколько сессий было в пике ?
  5. ASR1001x NAT+CGN+PAT

    Сколько BGP сессий у Вас ? PAP включен был ?
  6. Добрый день коллеги,нужна сильно ваша помощь. В ACL Абонентов гораздо больше привел для примера, переодически отваливаются абоненты самопроизвольно,после очистки таблицы NAT начинают работать, но не все, начинают работать другие и так после каждой очистки таблицы НАТ, загрузка CPU при этом держится порядка 4-7%. Максимум проходит 2 Гбит. Уже перепробовал кучу вариантов успеха не удается добиться, подскажите куда копать. Логи максимум, что выдает и при этом не отваливается интернет: Nov 7 20:54:20.229: %IOSXE-5-PLATFORM: SIP0: cpp_cp: QFP:0.0 Thread:002 TS:00000025245019424724 %PUNT_INJECT-5-DROP_PUNT_CAUSE: punt cause policer drop packet casue 60 VER: Cisco IOS XE Software, Version 16.06.04 Cisco IOS Software [Everest], ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.6.4, RELEASE SOFTWARE MEMORY: Processor Pool Total: 3954733344 Used: 1877418456 Free: 2077314888 lsmpi_io Pool Total: 6295128 Used: 6294296 Free: 832 NAT: Пул при этом забит всего на 60 % Dynamic mappings: -- Inside Source [Id: 1] access-list ACL-NAT-Customer1 pool NAT-Pool-Customer1 refcount 85189 pool NAT-Pool-Customer1: id 1, netmask 255.255.255.224 start 91.XXX.XXX.8 end 91.XXX.XXX.30 type generic, total addresses 23, allocated 16 (69%), misses 0 [Id: 2] access-list ACL-NAT-Customer2 pool NAT-Pool-Customer2 refcount 112132 pool NAT-Pool-Customer2: id 2, netmask 255.255.255.224 start 91.XXX.XXX.8 end 91.XXX.XXX.30 type generic, total addresses 23, allocated 16 (69%), misses 0 nat-limit statistics: max entry: max allowed 1000000, used 197322, missed 0 All Host Max allowed: 1000 In-to-out drops: 1056833 Out-to-in drops: 0 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 traceroute доходит до ASR дальше в интернет не пускает, проблема проявляется с разной переодичностью, час, два, пол дня, день. Настройки NAT: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap ip nat translation timeout 60 ip nat translation tcp-timeout 3000 ip nat translation finrst-timeout 120 ip nat translation syn-timeout 20 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 180 ip nat translation port-timeout tcp 8080 180 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries 1000000 ip nat translation max-entries all-host 1000 no ip nat service all-algs no ip nat service gatekeeper ip nat pool NAT-Pool-Customer1 91.XXX.XXX.8 91.XXX.XXX.30 netmask 255.255.255.224 ip nat pool NAT-Pool-Customer2 91.XXX.XXX.8 91.XXX.XXX.30 netmask 255.255.255.224 ip nat inside source list ACL-NAT-Customer1 pool NAT-Pool-Customer1 overload ip nat inside source list ACL-NAT-Customer2 pool NAT-Pool-Customer2 overload ip access-list extended ACL-NAT-Customer1 permit ip host 10.0.101.108 any permit ip host 10.0.16.102 any permit ip host 10.0.16.106 any permit ip host 10.0.16.110 any permit ip host 10.0.16.114 any permit ip host 10.0.16.118 any permit ip host 10.0.16.122 any permit ip host 10.0.16.126 any permit ip host 10.0.16.130 any ip access-list extended ACL-NAT-Customer2 permit ip host 10.0.37.18 any permit ip host 10.0.37.182 any permit ip host 10.0.37.186 any permit ip host 10.0.37.190 any permit ip host 10.0.37.194 any permit ip host 10.0.37.198 any permit ip host 10.0.37.202 any permit ip host 10.0.37.206 any
  7. Добрый вечер. Подскажите пожалуйста растёт счетчик постоянно каждый раз при просмотре Subcode #7 PARSE_ERR non_extended 0 entry_timeouts 4696 statics 0 static net 0 hits 1192713 misses 4424 Proxy stats: ipc_retry_fail 0 cfg_rcvd 141 cfg_rsp 254 Subcode #7 PARSE_ERR 590488 Hits: 2315976027 Misses: 9459726 Expired translations: 9387017 Dynamic mappings: -- Inside Source [Id: 3] access-list ХХХХХ pool ХХХХХХХ refcount 85658 pool NAT: id 5, netmask 255.255.255.240 start 91.224.Х.Х end 91.224.Х.Х type generic, total addresses 16, allocated 7 (43%), misses 0 [Id: 5] access-list ХХХХХ pool ХХХХХХХ refcount 134914 pool ХХХХХХХ: id 6, netmask 255.255.255.240 start 91.224.Х.Х end 91.224.Х.Х type generic, total addresses 16, allocated 9 (56%), misses 0 nat-limit statistics: max entry: max allowed 1024000, used 220572, missed 0 All Host Max allowed: 3400 In-to-out drops: 16176694 Out-to-in drops: 43412 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 В чем может быть проблема ?
  8. IOSXE-RP Punt Se происходит высокая загрузка и в этот момент снижается утилизацию одного канала. У абонентов пропадает доступ через браузер. Пинги идут. Подскажите куда смотреть и как возможно устранить ? Cisco IOS XE Software, Version 03.12.00a.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(2)S0a, RELEASE SOFTWARE (fc1
  9. DNS CIsco ASR1001-x

    Vlan6 вообще не принимает запросы ни от кого по TCP dump, но на vlan6 сидит ip dns-а 172.16.24.1, eth1 нет ip, все запросы с обращением слушает eth1   Какие еще варианты, подскажите пожалуйста ?
  10. DNS CIsco ASR1001-x

    тогда как заставить идти на vlan 6 root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110 tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 2 packets received by filter 0 packets dropped by kernel Убрал правила, все равно не попадает.   Уже 3 сутки воюю, ни как победить не получится, поэтому прощу помощи в разрешение этого вопроса.
  11. DNS CIsco ASR1001-x

    vlan6 сидит на eth1 iptables -F снова, закрыло доступ помогла отсроченная перезагрузка.   root@rnat1:/# tcpdump -n -v -i vlan6 host 10.10.0.110 tcpdump: listening on vlan6, link-type EN10MB (Ethernet), capture size 65535 bytes ^C 0 packets captured 2 packets received by filter 0 packets dropped by kernel На этом пусто.
  12. DNS CIsco ASR1001-x

    root@rnat1:/sbin# cat /etc/iptables-mangle.conf *mangle :PREROUTING ACCEPT [0:0] # ----- ANTI-HACK ----- -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP # #-A PREROUTING -p tcp ! -s 10.0.101.100 --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan4 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan4 -j TEE --gateway 172.16.34.1 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT root@rnat1:/sbin# cat /etc/iptables-nat.conf *nat :PREROUTING ACCEPT [0:0] # ssh for support UTM5 #-A PREROUTING -s 77.72.80.1 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # -A PREROUTING -s 91.224.137.5 -d 91.224.137.4 -p tcp --dport 22 -j DNAT --to-destination 172.16.8.2:22 # ------------- Доступ к биллингу для ФСБ #-A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 443 -j DNAT --to-destination 172.16.16.2:443 -A PREROUTING -s 10.0.0.250 -d 172.16.26.2 -p tcp --dport 11758 -j DNAT --to-destination 172.16.16.2:11758 :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.0.0/8 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.1.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.16.16.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.16.16.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 -A POSTROUTING -s 172.31.0.0/21 -d 10.0.0.0/8 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 172.16.0.0/12 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -d 192.168.0.0/16 -j RETURN -A POSTROUTING -s 172.31.0.0/21 -o vlan12 -j SNAT --to-source 91.224.136.6 :OUTPUT ACCEPT [0:0] COMMIT   По тому же принципу и их можно обновлять.
  13. DNS CIsco ASR1001-x

    Обновление происходит iptables-restore /etc/iptables-filter.conf
  14. DNS CIsco ASR1001-x

    root@rnat1:/sbin# cat /etc/iptables-mangle.conf *mangle :PREROUTING ACCEPT [0:0] # ----- ANTI-HACK ----- -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j LOG -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP # #-A PREROUTING -p tcp ! -s 10.0.101.100 --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p tcp -i vlan4 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan3 -j TEE --gateway 172.16.34.1 -A PREROUTING -p udp -m udp --dport 53 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 80 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 443 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -p tcp --dport 8001 -i vlan4 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan3 -j TEE --gateway 172.16.34.1 #-A PREROUTING -i vlan4 -j TEE --gateway 172.16.34.1 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT   root@rnat1:/sbin# service --status-all [ + ] acpid [ + ] atd [ + ] bacula-fd [ - ] bootlogs [ ? ] bootmisc.sh [ ? ] checkfs.sh [ ? ] checkroot-bootclean.sh [ - ] checkroot.sh [ - ] console-setup [ + ] cron [ + ] dbus [ - ] exim4 [ ? ] fprobe-ulog [ - ] hostname.sh [ ? ] hwclock.sh [ - ] kbd [ - ] keyboard-setup [ ? ] killprocs [ ? ] kmod [ + ] mdadm [ + ] mdadm-raid [ ? ] mdadm-waitidle [ - ] motd [ ? ] mountall-bootclean.sh [ ? ] mountall.sh [ ? ] mountdevsubfs.sh [ ? ] mountkernfs.sh [ ? ] mountnfs-bootclean.sh [ ? ] mountnfs.sh [ ? ] mtab.sh [ ? ] networking [ - ] procps [ ? ] quagga [ ? ] rc.local [ + ] resolvconf [ - ] rmnologin [ - ] rsync [ + ] rsyslog [ - ] schroot [ ? ] sendsigs [ + ] snmpd [ + ] ssh [ + ] udev [ ? ] udev-mtab [ ? ] umountfs [ ? ] umountnfs.sh [ ? ] umountroot [ - ] urandom
  15. DNS CIsco ASR1001-x

    root@rnat1:/home/user# cat /etc/rc.local #!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. sysctl -p modprobe ip_gre modprobe ip_nat_pptp /etc/rc.chroot-fs-mount /etc/rc.chroot-bind9-start exit 0 Куда то засунули хорошо.   root@rnat1:/home/user# locate iptables /data0/chroot_1/sbin/iptables /data0/chroot_1/sbin/iptables-restore /data0/chroot_1/sbin/iptables-save /data0/chroot_1/usr/bin/iptables-xml /data0/chroot_1/usr/sbin/iptables-apply /data0/chroot_1/usr/share/iptables /data0/chroot_1/usr/share/doc/iptables /data0/chroot_1/usr/share/doc/iptables/INCOMPATIBILITIES /data0/chroot_1/usr/share/doc/iptables/README.Debian /data0/chroot_1/usr/share/doc/iptables/changelog.Debian.gz /data0/chroot_1/usr/share/doc/iptables/changelog.gz /data0/chroot_1/usr/share/doc/iptables/copyright /data0/chroot_1/usr/share/iptables/iptables.xslt /data0/chroot_1/usr/share/lintian/overrides/iptables /data0/chroot_1/usr/share/man/man8/iptables-apply.8.gz /data0/chroot_1/usr/share/man/man8/iptables-restore.8.gz /data0/chroot_1/usr/share/man/man8/iptables-save.8.gz /data0/chroot_1/usr/share/man/man8/iptables-xml.8.gz /data0/chroot_1/usr/share/man/man8/iptables.8.gz /data0/chroot_1/usr/share/mime/text/x-iptables.xml /data0/chroot_1/var/cache/apt/archives/iptables_1.4.14-3.1_amd64.deb /data0/chroot_1/var/lib/dpkg/info/iptables.list /data0/chroot_1/var/lib/dpkg/info/iptables.md5sums /data0/chroot_1/var/lib/dpkg/info/iptables.postinst /data0/chroot_1/var/lib/dpkg/info/iptables.postrm /data0/chroot_1/var/lib/dpkg/info/iptables.shlibs /etc/iptables-filter.conf /etc/iptables-mangle.conf /etc/iptables-nat.conf /home/rimidal/DNS/iptables-filter.conf /home/rimidal/DNS/iptables-mangle.conf /home/rimidal/DNS/iptables-nat.conf /sbin/iptables /sbin/iptables-restore /sbin/iptables-save /usr/bin/iptables-xml /usr/sbin/iptables-apply /usr/share/iptables /usr/share/bash-completion/completions/iptables /usr/share/doc/iptables /usr/share/doc/iptables/INCOMPATIBILITIES /usr/share/doc/iptables/README.Debian /usr/share/doc/iptables/changelog.Debian.gz /usr/share/doc/iptables/changelog.gz /usr/share/doc/iptables/copyright /usr/share/iptables/iptables.xslt /usr/share/lintian/overrides/iptables /usr/share/man/man8/iptables-apply.8.gz /usr/share/man/man8/iptables-restore.8.gz /usr/share/man/man8/iptables-save.8.gz /usr/share/man/man8/iptables-xml.8.gz /usr/share/man/man8/iptables.8.gz /usr/share/mime/text/x-iptables.xml /var/lib/dpkg/info/iptables.list /var/lib/dpkg/info/iptables.md5sums /var/lib/dpkg/info/iptables.postinst /var/lib/dpkg/info/iptables.postrm /var/lib/dpkg/info/iptables.shlibs