kartashevav

коллеги, дело было не в бобине проблема в аплинке, через который аонсились юзеры из пул2

апну тему коллеги, такой вопрос имеем asr1001-x asr1001x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin около 6000 рррое сессий без isg, только шейп скорости через avpair около 400k трансляций в ЧНН два пула по /24 юзеры натятся в оба пула примерно поровну заметил вчера, что юзеры из пул2 имеют проблемы с доступом в инет, это выражается в постепенном увеличением пинга, величина пинга росла по мере увеличения транляций при этом юзеры из пула1 такой проблемы не испытавали, проверил переключением тестовой машины из пула в пул без pppoe через тот же маршрутизатор тоже все ОК по процу 14% в пике вопрос, что это? как будто упираемся в какой-то лимит на ASR? к сожалению повторить проблему не получится, пришлось переносить часть абонов на другую asr добавлю, что кроме pppoe на железке около 100 ip unnambered интерфейсов и BGP )) трафику 6,5 Гбит/с in+out вообще получился хороший повод проверить как 1001-x может все сразу и много, до определенного времени все работало норм

Коллеги, может кому пригодится, все получилось через Cisco AVpair sub-qos-policy-out/in создали две политики на вход и на выход ip access-list extended LAN_in permit ip any x.x.0.0 0.0.0.255 class-map match-all LAN-servers-in match access-group name LAN_in policy-map pol-LAN-in class LAN-servers-in police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop ip access-list extended LAN_out permit ip x.x.0.0 0.0.0.255 any class-map match-all LAN-servers-out match access-group name LAN_out policy-map pol-LAN-out class LAN-servers-out police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop и передали их двумя атрибутами на сессию RADIUS: Vendor, Cisco [26] 31 RADIUS: Cisco AVpair [1] 25 "sub-qos-policy-out=pol-LAN-out" RADIUS: Vendor, Cisco [26] 34 RADIUS: Cisco AVpair [1] 28 "sub-qos-policy-in=pol-LAN-in"

Коллеги, апну тему, вопрос такой сейчас asr1001-x термирует рррое абонентов без isg, шейп выдает билинг простым атрибутом ssg-account-info Возникла необходимость дифференцировать шейп на внутренние и внешние ресурсы, это можно сделать без внедрения isg ? просто передав, например, имя политики, в которой разным классам разный шейп или это мои фантазии?

Коллеги, спасибо за подсказку, то что нужно, проблема именно в том, что абоненты неправильно настраивают роутер и он долбится в биллинг. Радиус используется, просто кроме шейпа ничего не передаем для абонента.

isg не используем, радиус отдает пользователю только шейпы мне интересно, есть ли на cisco команда аналогичная ppp connection chasten на Huawei ME60

Коллеги, не смог нагуглить, подскажите, возможно ли на ASR1001-x (ios ex 03.16.02.S) банить пользователей на некоторое время, если они несколько раз ввели неверный логин/пароль. Или это должно делаться на RADIUS сервере?

Интересная штука получается смотрим show platform hardware qfp active feature nat datapath pool | i x.x.204.21 addr x.x.204.21 refcnt 4 flags 0x0 vrfid 0 next 0x0 4 трансляций на адресе x.x.204.21 show platform hardware qfp active feature nat datapath bind | i x.x.204.21 bind 0x2f3e3340 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 6 domain 0 create time 1189523 refcnt 1 mask 0x2ef46c60 flags 20004800 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2f43f500 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 17 domain 0 create time 1187135 refcnt 1 mask 0x2ef46c60 flags 0 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2ef46c60 oaddr 100.64.22.133 taddr x.x.204.21 oport 0 tport 0 vrfid 0 tableid 0 proto 0 domain 0 create time 1128276 refcnt 3 mask 0x0 flags 0 timeout 2 ifhandle 162 wlan_info 0x0 flags 0x0 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229774 mibp 0x0 rg 0nak_retry 0 bind 0x2f374300 oaddr 100.64.22.133 taddr x.x.204.21 oport 143 tport 143 vrfid 0 tableid 0 proto 6 domain 0 create time 1229836 refcnt 1 mask 0x2ef46c60 flags 20004000 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229848 mibp 0x0 rg 0nak_retry 0 sh ip nat translations | i x.x.204.21 tcp x.x.204.21:54445 100.64.22.133:54445 --- --- udp x.x.204.21:54445 100.64.22.133:54445 --- --- --- x.x.204.21 100.64.22.133 --- --- tcp x.x.204.21:143 100.64.22.133:143 --- --- вроде все сходится, НО show platform hardware qfp active feature nat datapath pap laddrpergaddr | i x.x.204.21 в РАР этого адреса нет и вообще sh users | i 100.64.22.133 онлайн юзера нет с таким ИПшником вот они адреса, которые утилизаруются сверх PAP Это типа если пользователь некорректно разорвал сессию и трансляции не освободились, то они и висят и их долбят снаружи? или просто бага? где-то на форуме проскакивала инфа, уже не найду

1000 это в пике? скажи пожалуйста сколько адресов утилизируется и какие настройки NAT?

продолжаю наблюдения добавил 100 пользователей и расширил пул до /24, теперь online 485 в пике, настройки NAT остались прежние ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool NAT-POOL х.х.204.1 х.х.204.254 prefix-length 24 ip nat inside source list nat-cust pool NAT-POOL overload в пике 40к трансляций и утилизируется 30 адресов из пула жалоб от пользователей не поступает, может так и должно быть?

поэтому я сразу делал с PAP, а для экономии объема логов еще и с BPA, но в ходе экспериментов bpa выключил, размер логов без bpa в среднем 30 Мбайт/сутки в формате netflow, это 360 пользователей на днях переведу еще порядка 100 пользователей за NAT и увеличу пул до /24 буду наблюдать дальше

почистил NAT статистику, и drop-subcodes NAT сейчас с такими настройками ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 360 пользователей 40 адресов из пула в пике смотрим

show platform hardware qfp active feature nat datapath stats non_extended 14 entry_timeouts 369 statics 0 static net 0 hits 64970 misses 392 non_natted 27916542 Proxy stats: ipc_retry_fail 0 cfg_rcvd 3275 cfg_rsp 3281 Subcode #7 PARSE_ERR 6521 Subcode #14 SESS_CREATE_FAIL 1516137 Subcode #18 ALLOC_ADDR_PORT_FAIL 4688 Subcode #29 LIMIT 1516137 Subcode #38 PAP_FAIL 4271 Subcode #41 BPA_MALLOC_FAIL 417

продолжаю эксперименты) убрал bpa, оставил только pap ip nat settings pap limit 30 утилизация пула в пике 60%, тоесть 40 адресов на 360 пользователей откуда оно берется?

У меня очень быстро стали появляться ошибки исчерпания пула и жалобы. Даже кейс на циске создавал. Пришли к тому, что выключили эту мегафичу. Объем логов трансляций на порядок меньше нетфлоу самих потоков, поэтому не критично. а какой софт на ASR был?

абоненты до NAT работали за реальными адресами, пока жалоб нет жду комментарии cisco-водов, может есть у кого опыт cgnat на asr. Оно со стороны абонента видно, что что-то не работает? Есть реальные жалобы? BPA у меня использовать не получилось - начались сходу жалобы. Просто PAP без BPA работает, жалоб нет. BPA работает, до продакшена тестил на стенде, причем удалось нагенерить трафика до полной утилизации всех выделенных портов на IP, к тому же объем логов при BPA снижается в разы.

Коллеги, объясните, пожалуйста, почему так происходит Cisco ASR1001-X IOS XE Version 03.16.02.S запустил CG-NAT ip local pool IP-POOL1 100.64.1.2 100.64.31.254 ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 bpa set-size 512 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool NAT-POOL x.x.205.64 x.x.205.127 prefix-length 26 ip nat inside source list nat-cust pool NAT-POOL overload пользователи PPPOE, online 348 по моим расчетам должно быть утилизировано всего 12 адресов из пула НАТ, поскольку ограничил 30 серых на 1 белый по факту так и вижу sh platform hardware qfp active feature nat datapath pap laddrpergaddr gaddr х.х.205.64 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.65 vrf 0 laddr-per-gaddr 27 mapid 1 gaddr х.х.205.66 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.67 vrf 0 laddr-per-gaddr 29 mapid 1 gaddr х.х.205.70 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.71 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.72 vrf 0 laddr-per-gaddr 29 mapid 1 gaddr х.х.205.73 vrf 0 laddr-per-gaddr 17 mapid 1 gaddr х.х.205.74 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.75 vrf 0 laddr-per-gaddr 27 mapid 1 gaddr х.х.205.76 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.80 vrf 0 laddr-per-gaddr 15 mapid 1 однако sh ip nat statistics Hits: 5182567677 Misses: 30919887 Expired translations: 31915204 Dynamic mappings: -- Inside Source [id: 1] access-list nat-cust pool NAT-POOL refcount 28870 pool NAT-POOL: id 1, netmask 255.255.255.192 start x.x.205.64 end x.x.205.127 type generic, total addresses 64, allocated 31 (48%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 2048 In-to-out drops: 949840 Out-to-in drops: 1451 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 sh ip nat pool name NAT-POOL NAT Pool Statistics Pool name NAT-POOL, id 1 Assigned Available Addresses 30 46 UDP Low Ports 0 0 TCP Low Ports 0 0 UDP High Ports 324 9252 TCP High Ports 386 9190 (Low ports are less than 1024. High ports are greater than or equal to 1024.) утилизация пула почти 50% не понимаю почему так происходит? так и должно быть? может я с таймаутами что-то намудрил? и еще смущают Misses: 30919887 и In-to-out drops: 949840 в статистике, жалоб от пользователей не слышно, но хотелось бы понять каков порядок цифр должен быть в этих параметрах первый опыт настройки cgnat, прошу помощи у знающих. Спасибо.

может кому пригодится ASR1001-X Version 03.16.02 oid для мониторинга трансляций 1.3.6.1.2.1.123.1.7.0