kartashevav
Пользователи-
Публикации
18 -
Зарегистрирован
-
Посещение
Все публикации пользователя kartashevav
-
Cisco ASR 1000 NAT Overload
тему ответил в Merridius пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
коллеги, дело было не в бобине проблема в аплинке, через который аонсились юзеры из пул2 -
Cisco ASR 1000 NAT Overload
тему ответил в Merridius пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
апну тему коллеги, такой вопрос имеем asr1001-x asr1001x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin около 6000 рррое сессий без isg, только шейп скорости через avpair около 400k трансляций в ЧНН два пула по /24 юзеры натятся в оба пула примерно поровну заметил вчера, что юзеры из пул2 имеют проблемы с доступом в инет, это выражается в постепенном увеличением пинга, величина пинга росла по мере увеличения транляций при этом юзеры из пула1 такой проблемы не испытавали, проверил переключением тестовой машины из пула в пул без pppoe через тот же маршрутизатор тоже все ОК по процу 14% в пике вопрос, что это? как будто упираемся в какой-то лимит на ASR? к сожалению повторить проблему не получится, пришлось переносить часть абонов на другую asr добавлю, что кроме pppoe на железке около 100 ip unnambered интерфейсов и BGP )) трафику 6,5 Гбит/с in+out вообще получился хороший повод проверить как 1001-x может все сразу и много, до определенного времени все работало норм -
и снова про ISG/SSG
тему ответил в survivor пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Коллеги, может кому пригодится, все получилось через Cisco AVpair sub-qos-policy-out/in создали две политики на вход и на выход ip access-list extended LAN_in permit ip any x.x.0.0 0.0.0.255 class-map match-all LAN-servers-in match access-group name LAN_in policy-map pol-LAN-in class LAN-servers-in police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop ip access-list extended LAN_out permit ip x.x.0.0 0.0.0.255 any class-map match-all LAN-servers-out match access-group name LAN_out policy-map pol-LAN-out class LAN-servers-out police 71680000 5120000 10240000 conform-action transmit exceed-action drop violate-action drop class class-default police 3072000 840000 980000 conform-action transmit exceed-action drop violate-action drop и передали их двумя атрибутами на сессию RADIUS: Vendor, Cisco [26] 31 RADIUS: Cisco AVpair [1] 25 "sub-qos-policy-out=pol-LAN-out" RADIUS: Vendor, Cisco [26] 34 RADIUS: Cisco AVpair [1] 28 "sub-qos-policy-in=pol-LAN-in" -
и снова про ISG/SSG
тему ответил в survivor пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Коллеги, апну тему, вопрос такой сейчас asr1001-x термирует рррое абонентов без isg, шейп выдает билинг простым атрибутом ssg-account-info Возникла необходимость дифференцировать шейп на внутренние и внешние ресурсы, это можно сделать без внедрения isg ? просто передав, например, имя политики, в которой разным классам разный шейп или это мои фантазии? -
cisco asr 1001-x pppoe
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Коллеги, спасибо за подсказку, то что нужно, проблема именно в том, что абоненты неправильно настраивают роутер и он долбится в биллинг. Радиус используется, просто кроме шейпа ничего не передаем для абонента. -
cisco asr 1001-x pppoe
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
isg не используем, радиус отдает пользователю только шейпы мне интересно, есть ли на cisco команда аналогичная ppp connection chasten на Huawei ME60 -
Коллеги, не смог нагуглить, подскажите, возможно ли на ASR1001-x (ios ex 03.16.02.S) банить пользователей на некоторое время, если они несколько раз ввели неверный логин/пароль. Или это должно делаться на RADIUS сервере?
-
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Интересная штука получается смотрим show platform hardware qfp active feature nat datapath pool | i x.x.204.21 addr x.x.204.21 refcnt 4 flags 0x0 vrfid 0 next 0x0 4 трансляций на адресе x.x.204.21 show platform hardware qfp active feature nat datapath bind | i x.x.204.21 bind 0x2f3e3340 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 6 domain 0 create time 1189523 refcnt 1 mask 0x2ef46c60 flags 20004800 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2f43f500 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 17 domain 0 create time 1187135 refcnt 1 mask 0x2ef46c60 flags 0 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2ef46c60 oaddr 100.64.22.133 taddr x.x.204.21 oport 0 tport 0 vrfid 0 tableid 0 proto 0 domain 0 create time 1128276 refcnt 3 mask 0x0 flags 0 timeout 2 ifhandle 162 wlan_info 0x0 flags 0x0 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229774 mibp 0x0 rg 0nak_retry 0 bind 0x2f374300 oaddr 100.64.22.133 taddr x.x.204.21 oport 143 tport 143 vrfid 0 tableid 0 proto 6 domain 0 create time 1229836 refcnt 1 mask 0x2ef46c60 flags 20004000 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229848 mibp 0x0 rg 0nak_retry 0 sh ip nat translations | i x.x.204.21 tcp x.x.204.21:54445 100.64.22.133:54445 --- --- udp x.x.204.21:54445 100.64.22.133:54445 --- --- --- x.x.204.21 100.64.22.133 --- --- tcp x.x.204.21:143 100.64.22.133:143 --- --- вроде все сходится, НО show platform hardware qfp active feature nat datapath pap laddrpergaddr | i x.x.204.21 в РАР этого адреса нет и вообще sh users | i 100.64.22.133 онлайн юзера нет с таким ИПшником вот они адреса, которые утилизаруются сверх PAP Это типа если пользователь некорректно разорвал сессию и трансляции не освободились, то они и висят и их долбят снаружи? или просто бага? где-то на форуме проскакивала инфа, уже не найду -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
1000 это в пике? скажи пожалуйста сколько адресов утилизируется и какие настройки NAT? -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
продолжаю наблюдения добавил 100 пользователей и расширил пул до /24, теперь online 485 в пике, настройки NAT остались прежние ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool NAT-POOL х.х.204.1 х.х.204.254 prefix-length 24 ip nat inside source list nat-cust pool NAT-POOL overload в пике 40к трансляций и утилизируется 30 адресов из пула жалоб от пользователей не поступает, может так и должно быть? -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
поэтому я сразу делал с PAP, а для экономии объема логов еще и с BPA, но в ходе экспериментов bpa выключил, размер логов без bpa в среднем 30 Мбайт/сутки в формате netflow, это 360 пользователей на днях переведу еще порядка 100 пользователей за NAT и увеличу пул до /24 буду наблюдать дальше -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
почистил NAT статистику, и drop-subcodes NAT сейчас с такими настройками ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 360 пользователей 40 адресов из пула в пике смотрим -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
show platform hardware qfp active feature nat datapath stats non_extended 14 entry_timeouts 369 statics 0 static net 0 hits 64970 misses 392 non_natted 27916542 Proxy stats: ipc_retry_fail 0 cfg_rcvd 3275 cfg_rsp 3281 Subcode #7 PARSE_ERR 6521 Subcode #14 SESS_CREATE_FAIL 1516137 Subcode #18 ALLOC_ADDR_PORT_FAIL 4688 Subcode #29 LIMIT 1516137 Subcode #38 PAP_FAIL 4271 Subcode #41 BPA_MALLOC_FAIL 417 -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
продолжаю эксперименты) убрал bpa, оставил только pap ip nat settings pap limit 30 утилизация пула в пике 60%, тоесть 40 адресов на 360 пользователей откуда оно берется? -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
У меня очень быстро стали появляться ошибки исчерпания пула и жалобы. Даже кейс на циске создавал. Пришли к тому, что выключили эту мегафичу. Объем логов трансляций на порядок меньше нетфлоу самих потоков, поэтому не критично. а какой софт на ASR был? -
Cisco ASR CG-NAT pool allocation
тему ответил в kartashevav пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
абоненты до NAT работали за реальными адресами, пока жалоб нет жду комментарии cisco-водов, может есть у кого опыт cgnat на asr. Оно со стороны абонента видно, что что-то не работает? Есть реальные жалобы? BPA у меня использовать не получилось - начались сходу жалобы. Просто PAP без BPA работает, жалоб нет. BPA работает, до продакшена тестил на стенде, причем удалось нагенерить трафика до полной утилизации всех выделенных портов на IP, к тому же объем логов при BPA снижается в разы. -
Коллеги, объясните, пожалуйста, почему так происходит Cisco ASR1001-X IOS XE Version 03.16.02.S запустил CG-NAT ip local pool IP-POOL1 100.64.1.2 100.64.31.254 ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 bpa set-size 512 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool NAT-POOL x.x.205.64 x.x.205.127 prefix-length 26 ip nat inside source list nat-cust pool NAT-POOL overload пользователи PPPOE, online 348 по моим расчетам должно быть утилизировано всего 12 адресов из пула НАТ, поскольку ограничил 30 серых на 1 белый по факту так и вижу sh platform hardware qfp active feature nat datapath pap laddrpergaddr gaddr х.х.205.64 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.65 vrf 0 laddr-per-gaddr 27 mapid 1 gaddr х.х.205.66 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.67 vrf 0 laddr-per-gaddr 29 mapid 1 gaddr х.х.205.70 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.71 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.72 vrf 0 laddr-per-gaddr 29 mapid 1 gaddr х.х.205.73 vrf 0 laddr-per-gaddr 17 mapid 1 gaddr х.х.205.74 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.75 vrf 0 laddr-per-gaddr 27 mapid 1 gaddr х.х.205.76 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.80 vrf 0 laddr-per-gaddr 15 mapid 1 однако sh ip nat statistics Hits: 5182567677 Misses: 30919887 Expired translations: 31915204 Dynamic mappings: -- Inside Source [id: 1] access-list nat-cust pool NAT-POOL refcount 28870 pool NAT-POOL: id 1, netmask 255.255.255.192 start x.x.205.64 end x.x.205.127 type generic, total addresses 64, allocated 31 (48%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 2048 In-to-out drops: 949840 Out-to-in drops: 1451 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 sh ip nat pool name NAT-POOL NAT Pool Statistics Pool name NAT-POOL, id 1 Assigned Available Addresses 30 46 UDP Low Ports 0 0 TCP Low Ports 0 0 UDP High Ports 324 9252 TCP High Ports 386 9190 (Low ports are less than 1024. High ports are greater than or equal to 1024.) утилизация пула почти 50% не понимаю почему так происходит? так и должно быть? может я с таймаутами что-то намудрил? и еще смущают Misses: 30919887 и In-to-out drops: 949840 в статистике, жалоб от пользователей не слышно, но хотелось бы понять каков порядок цифр должен быть в этих параметрах первый опыт настройки cgnat, прошу помощи у знающих. Спасибо.
-
Cisco ASR 1000 NAT Overload
тему ответил в Merridius пользователя kartashevav в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
может кому пригодится ASR1001-X Version 03.16.02 oid для мониторинга трансляций 1.3.6.1.2.1.123.1.7.0