kartashevav

коллеги, дело было не в бобине проблема в аплинке, через который аонсились юзеры из пул2

апну тему коллеги, такой вопрос имеем asr1001-x asr1001x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin около 6000 рррое сессий без isg, только шейп скорости через avpair около 400k трансляций в ЧНН два пула по /24 юзеры натятся в оба пула примерно поровну заметил вчера, что юзеры из пул2 имеют проблемы с доступом в инет, это выражается в постепенном увеличением пинга, величина пинга росла по мере увеличения транляций при этом юзеры из пула1 такой проблемы не испытавали, проверил переключением тестовой машины из пула в пул без pppoe через тот же маршрутизатор тоже все ОК по процу 14% в пике вопрос, что это? как будто упираемся в какой-то лимит на ASR? к сожалению повторить проблему не получится, пришлось переносить часть абонов на другую asr добавлю, что кроме pppoe на железке около 100 ip unnambered интерфейсов и BGP )) трафику 6,5 Гбит/с in+out вообще получился хороший повод проверить как 1001-x может все сразу и много, до определенного времени все работало норм

Коллеги, может кому пригодится, все получилось через Cisco AVpair sub-qos-policy-out/in создали две политики на вход и на выход ip access-list extended LAN_in permit ip any x.x.0.0 0.0.0.255 class-map match-all LAN-servers-in match access-group name LAN_in policy-map pol-LAN-in class LAN-servers-in police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop ip access-list extended LAN_out permit ip x.x.0.0 0.0.0.255 any class-map match-all LAN-servers-out match access-group name LAN_out policy-map pol-LAN-out class LAN-servers-out police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop и передали их двумя атрибутами на сессию RADIUS: Vendor, Cisco [26] 31 RADIUS: Cisco AVpair [1] 25 "sub-qos-policy-out=pol-LAN-out" RADIUS: Vendor, Cisco [26] 34 RADIUS: Cisco AVpair [1] 28 "sub-qos-policy-in=pol-LAN-in"

Коллеги, апну тему, вопрос такой сейчас asr1001-x термирует рррое абонентов без isg, шейп выдает билинг простым атрибутом ssg-account-info Возникла необходимость дифференцировать шейп на внутренние и внешние ресурсы, это можно сделать без внедрения isg ? просто передав, например, имя политики, в которой разным классам разный шейп или это мои фантазии?

Коллеги, спасибо за подсказку, то что нужно, проблема именно в том, что абоненты неправильно настраивают роутер и он долбится в биллинг. Радиус используется, просто кроме шейпа ничего не передаем для абонента.

isg не используем, радиус отдает пользователю только шейпы мне интересно, есть ли на cisco команда аналогичная ppp connection chasten на Huawei ME60

Коллеги, не смог нагуглить, подскажите, возможно ли на ASR1001-x (ios ex 03.16.02.S) банить пользователей на некоторое время, если они несколько раз ввели неверный логин/пароль. Или это должно делаться на RADIUS сервере?

Интересная штука получается смотрим show platform hardware qfp active feature nat datapath pool | i x.x.204.21 addr x.x.204.21 refcnt 4 flags 0x0 vrfid 0 next 0x0 4 трансляций на адресе x.x.204.21 show platform hardware qfp active feature nat datapath bind | i x.x.204.21 bind 0x2f3e3340 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 6 domain 0 create time 1189523 refcnt 1 mask 0x2ef46c60 flags 20004800 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2f43f500 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 17 domain 0 create time 1187135 refcnt 1 mask 0x2ef46c60 flags 0 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2ef46c60 oaddr 100.64.22.133 taddr x.x.204.21 oport 0 tport 0 vrfid 0 tableid 0 proto 0 domain 0 create time 1128276 refcnt 3 mask 0x0 flags 0 timeout 2 ifhandle 162 wlan_info 0x0 flags 0x0 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229774 mibp 0x0 rg 0nak_retry 0 bind 0x2f374300 oaddr 100.64.22.133 taddr x.x.204.21 oport 143 tport 143 vrfid 0 tableid 0 proto 6 domain 0 create time 1229836 refcnt 1 mask 0x2ef46c60 flags 20004000 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229848 mibp 0x0 rg 0nak_retry 0 sh ip nat translations | i x.x.204.21 tcp x.x.204.21:54445 100.64.22.133:54445 --- --- udp x.x.204.21:54445 100.64.22.133:54445 --- --- --- x.x.204.21 100.64.22.133 --- --- tcp x.x.204.21:143 100.64.22.133:143 --- --- вроде все сходится, НО show platform hardware qfp active feature nat datapath pap laddrpergaddr | i x.x.204.21 в РАР этого адреса нет и вообще sh users | i 100.64.22.133 онлайн юзера нет с таким ИПшником вот они адреса, которые утилизаруются сверх PAP Это типа если пользователь некорректно разорвал сессию и трансляции не освободились, то они и висят и их долбят снаружи? или просто бага? где-то на форуме проскакивала инфа, уже не найду

1000 это в пике? скажи пожалуйста сколько адресов утилизируется и какие настройки NAT?

продолжаю наблюдения добавил 100 пользователей и расширил пул до /24, теперь online 485 в пике, настройки NAT остались прежние ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool NAT-POOL х.х.204.1 х.х.204.254 prefix-length 24 ip nat inside source list nat-cust pool NAT-POOL overload в пике 40к трансляций и утилизируется 30 адресов из пула жалоб от пользователей не поступает, может так и должно быть?

поэтому я сразу делал с PAP, а для экономии объема логов еще и с BPA, но в ходе экспериментов bpa выключил, размер логов без bpa в среднем 30 Мбайт/сутки в формате netflow, это 360 пользователей на днях переведу еще порядка 100 пользователей за NAT и увеличу пул до /24 буду наблюдать дальше

почистил NAT статистику, и drop-subcodes NAT сейчас с такими настройками ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 360 пользователей 40 адресов из пула в пике смотрим

show platform hardware qfp active feature nat datapath stats non_extended 14 entry_timeouts 369 statics 0 static net 0 hits 64970 misses 392 non_natted 27916542 Proxy stats: ipc_retry_fail 0 cfg_rcvd 3275 cfg_rsp 3281 Subcode #7 PARSE_ERR 6521 Subcode #14 SESS_CREATE_FAIL 1516137 Subcode #18 ALLOC_ADDR_PORT_FAIL 4688 Subcode #29 LIMIT 1516137 Subcode #38 PAP_FAIL 4271 Subcode #41 BPA_MALLOC_FAIL 417

продолжаю эксперименты) убрал bpa, оставил только pap ip nat settings pap limit 30 утилизация пула в пике 60%, тоесть 40 адресов на 360 пользователей откуда оно берется?

У меня очень быстро стали появляться ошибки исчерпания пула и жалобы. Даже кейс на циске создавал. Пришли к тому, что выключили эту мегафичу. Объем логов трансляций на порядок меньше нетфлоу самих потоков, поэтому не критично. а какой софт на ASR был?