Стоит ли на ASR1002 разворачивать NAT

[Стоит ли на ASR1002 разворачивать NAT]

не работает overload на ASR1002

http://forum.nag.ru/forum/index.php?showto...mp;#entry563552

команды командуются, в конфиге пишеццо все как надо, а по факту - не работает.

Эээ, коллеги, а что, сейчас все покупают в серую asr-ы ?

Этож трындец, если не работает, где кейс ?

смартнет закончился до того, как понадобился NAT.

не срослось буквально на пару месяцев.

[Стоит ли на ASR1002 разворачивать NAT]

Ну очевидно же. При использовании nat overload надо поддерживать большую(а иногда огромную) таблицу xlat. В случае "обычного" nat это почти статическая таблица с кол-вом записей, равным кол-ву внешних адресов

не работает overload на ASR1002

Может это специфика ASR1002? У меня НАТ на старенькой 3725 с overload-ом работает нормально.

overload прекрасно работает на 7301, 7201, 7206VXR, 2911 (на других не пробовал, думаю тоже проблем не будет).

На ASR1002 overload не работает.

[Стоит ли на ASR1002 разворачивать NAT]

не работает overload на ASR1002

http://forum.nag.ru/forum/index.php?showto...mp;#entry563552

команды командуются, в конфиге пишеццо все как надо, а по факту - не работает.

[config dlink 3028/3200-28]

а вот это плохо

config access_profile profile_id 7 add access_id 4 ip udp src_port 67 port 1-28 permit priority 0 rx_rate no_limit

лучше так

config access_profile profile_id 7 add access_id auto_assign ip udp src_port 67 port КЛИЕНТСКИЕ_ПОРТЫ deny

а на аплинках permit.

Вы же не хотите поддельных ДХЦП серверов?

[ASR && NAT]

Ключевое слово - overload

http://forum.nag.ru/forum/index.php?act=fi...&pid=563552

[ASR 1002 ESP5 / ESP10. Реальная / максимальная производительность, плюсы, минусы...]

Кто-то уже пробовал ставить 3.1.2S ?

хороший вопрос .. может вы попробуете?

что боязно так это то что есть риск блокировки отката на предыдущие Ios

нет там никаких блокировок, откатился обратно на 2.6.2 без проблем.

[проблемы с NAT overload на ASR1002]

ip access-list extended NAT

permit ip 10.10.0.0 0.0.255.255 any

попробуйте сделать проще - используйте standard access-list'ы

 

и с адресами действительно странно

всяко пробовал - и access-list 1, и access-list 199, и ip access-list standard, и ip access-list extended именованные и нет, и через роут-мап...

Один результат - без overload работает нормально, с overload отрабатывает только первая трансляция на адрес/порт, повторная трансляция на тот же адрес/порт с другого inside не происходит до тех пор, пока не умрет первая.

[Cisco 10000 BRAS/SSG/ISG]

1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

НАТа там не будет

j-flow там есть.

 

остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =)

И НАТ и j-flow работают на MS-DPC, разве не так?

Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно.

MS-DPC от старших MX(240, 480, 960) в MX80 не лезет.

Посему на нем нет ни НАТа, ни j-flow.

А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов.

[Cisco 10000 BRAS/SSG/ISG]

Juniper MX80 посмотрите

1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

3. МХ80 не умеет редирект.

4. В настоящий момент МХ80 не умеет раздельный аккаунтинг по сервисам, только на всю сессию сразу, в 10.4 обещают исправить.

[проблеммы с asr1001]

Попробуйте убрать из описания ip nat inside source ключик overload и расширить pool VPN_Subscr_AS-ip1.

 

[проблемы с NAT overload на ASR1002]

Железка ASR1002 RP1 ESP10 non-crypto.

Конфиг простейший

!

interface GigabitEthernet0/0/0

ip address 172.16.0.1 255.255.255.0

ip nat outside

ip virtual-reassembly

!

interface GigabitEthernet0/0/1

ip address 10.10.0.1 255.255.0.0

ip nat inside

ip virtual-reassembly

!

ip nat pool NAT 172.16.0.2 172.16.0.254 prefix-length 24

ip nat inside source list NAT pool NAT overload

!

ip access-list extended NAT

permit ip 10.10.0.0 0.0.255.255 any

!

Без overload работает на ура, с overload первая трансляция открывается нормально, последующие трансляции на тот же адрес/порт от других клиентов не создаются до тех пор, пока не очистится по таймауту первая, либо до clear ip nat trans *.

Проверял на 2.03.02, 2.05.02, 2.06.02, 3.01.00 - одно и то же.

В чем грабли?

Кто пользует на ASR1K NAT с overload, отзовитесь!!!

[Чем терминировать много vlan-per-user?]

Например 6500 с ES-20+ или SIP-400 - чем не коммутатор?

Логично

Не встает ES20 в 6500 шасси.

Если ES20, то 7600.

[Коммутатор уровня доступа/агрегации с 24 SFP-портами 10/100/1000]

Serhio Go

Да, этот. Методика такая-же, как была описана на в соседней теме по 3028, тоесть scapy. Если не планируется более 5к маков на него, то можно брать.

После 5к просто коллизии начинаются, или же полное хабство?

Сам себе отвечаю.

 

DGS-3610-26G

Заявлено "до 16к" :) MAC.

Скормлено Изучено Изучено %

1000 1000 100

2000 2000 100

3000 3000 100

4000 4000 100

5000 4996 99,9

7000 6973 99,6

10000 9784 97,8

16000 13926 87

 

И это фактически их топовый агрегатор...

по DGS-3627/3612 примерно такая же картина

10К - 9792

16K - 13952

 

 

[OSPF 2 шлюза на фре и Cisco 7301]

1. покажите zebra.conf

2. отдельный VRF не подойдет?

[OSPF 2 шлюза на фре и Cisco 7301]

Если можно то ещё вопрос:

Можно ли как-нибудь через ospf заставить принудительно отправить траффик на один из шлюзов?

Например подключился абонент с айпи 10.10.10.10, а ospf его трафик шлет только на 1.1.1.2 (а так он шлет и на 1.1.1.2 и на 1.1.1.3). А все остальные работали бы так как было.

PBR на циске.

[OSPF 2 шлюза на фре и Cisco 7301]

PPPoE_Test#show ip route 0.0.0.0

Routing entry for 0.0.0.0/0, supernet

Known via "ospf 10", distance 110, metric 10, candidate default path, type extern 2, forward metric 1

Last update from 1.1.1.3 on GigabitEthernet0/0.12, 00:00:15 ago

Routing Descriptor Blocks:

* 1.1.1.3, from 1.1.1.3, 00:00:15 ago, via GigabitEthernet0/0.12

Route metric is 10, traffic share count is 1

1.1.1.2, from 1.1.1.2, 00:00:15 ago, via GigabitEthernet0/0.12

Route metric is 10, traffic share count is 1

вот так правильно.

попробуйте завести оспф сессии по очереди, сначала на одном шлюзе, потом на другом.

[OSPF 2 шлюза на фре и Cisco 7301]

Ничего не изменилось

show ip route 0.0.0.0 на циске чего говорит?

[OSPF 2 шлюза на фре и Cisco 7301]

на циске:

router ospf 10

maximum-paths 2

[Выбор между Cisco иии... CISCO]

Для бордера до 4Г трафика с несколькими FV самое оно ASR1002 или M7i.

Цыско или джунипер - дело религии.

76 платформа немного не для этого.

[Коммутатор SNR-S2970G-24S - что за зверть?]

Сдесь начали рекламировать RAISECOM ISCOM2924GF стоит 999$ - подороже. Хотелось бы тоже услышать если кто использует отзывы как ведет себя в работе.

Железо нормальное, софт сырой до боли.

Брали на замену DGS-3612G, т.к. замучались с их бесконечными дропами трафика.

Из функционала используем только L2 фичи - агрегация L2.

По железу нареканий никаких, софт в процессе пиления под нас.

Cisco-like CLI, по SNMP умеет делать много всякого, техсаппорт от продавца вполне адекватный, но не очень оперативный.

Кучу замечаний обещали пофиксить в следующей фирмваре (обещают до конца августа), если доведут софт до ума - будет очень неплохая железка в свои деньги.

PS. Порадовало наличие модели с 2 DC источниками питания.

Посмотрел ихний сайт - контора весьма закрытая - вся информация только после регистрации

Существует ли у них русскоязычная тех.поддержка или форум к кому можно оперативно обратится?

http://www.raisecom.ru/

[Посоветуйте коммутатор]

А мне интересно чисто так для развития.

 

Допустим есть 10 районов с которых в центр сходится с каждого по 4к вланов, итого 40к вланов. Каким способом рулить всем этим делом? как можно отличить или промаркировать влан из одного района, если есть точно такие же из других?

 

Или надо на железках сначала переводить все в IP и потом уже считать?

QinQ вам в помощь.

[Коммутатор SNR-S2970G-24S - что за зверть?]

Сдесь начали рекламировать RAISECOM ISCOM2924GF стоит 999$ - подороже. Хотелось бы тоже услышать если кто использует отзывы как ведет себя в работе.

Железо нормальное, софт сырой до боли.

Брали на замену DGS-3612G, т.к. замучались с их бесконечными дропами трафика.

Из функционала используем только L2 фичи - агрегация L2.

По железу нареканий никаких, софт в процессе пиления под нас.

Cisco-like CLI, по SNMP умеет делать много всякого, техсаппорт от продавца вполне адекватный, но не очень оперативный.

Кучу замечаний обещали пофиксить в следующей фирмваре (обещают до конца августа), если доведут софт до ума - будет очень неплохая железка в свои деньги.

PS. Порадовало наличие модели с 2 DC источниками питания.

[Роутинг в Cisco]

a. все пойдет в оставшуюся дырку.

b. половина пакетов улетит в пустоту.

[построение сети MPLS (нужна помощь)]

задача состоит именно в том, чтобы локализовать маки в своем сегменте сети, чтобы уменьшить влияние и размер штормов на сети.

на 7600 серии для работы VPLS нужна карта ES20/ES20+/ES40.

прописываете что-то типа того:

 

vlan 100

!

l2 vfi vlan100 manual

vpn id 100

neighbor 192.168.0.2 encapsulation mpls [no-split-horizon]

neighbor 192.168.0.3 encapsulation mpls [no-split-horizon]

!

interface Vlan100

xconnect vfi vlan100

 

при указании no-split-horizon 192.168.0.2 и 192.168.0.3 будут видеть маки друг друга в влане 100, без no-split-horizon - нет.

Вы этого хотели?

[BGP advertised-routes remove prepends]

Есть AS, аплинк и даунлинк.

даунлинк вешает на свои анонсы стопиццот препендов, я не хочу их транслировать аплинку.

как можно вырезать эти препенды из AS-path?

Это называется "тырить трафик" ))

я не просил учить меня жизни.

не знаете как - так и скажите - "НЕ ЗНАЮ".

тема опять скатилась от вопроса "КАК СДЕЛАТЬ?" до вопроса "ПОЧЕМУ ТАК ДЕЛАТЬ ПЛОХО".