Jump to content
Калькуляторы

Cisco ISG + NAT (ASR 100x) UTM5

Всем привет!

 

На форуме утм спрашивал, никто пока, что не ответил. Решил тут запостить, может кто в курсе.

 

Собственно Cisco ASR на ней ISG, для IPoE. Работает. Есть пул и Loop2 со следующей конфигурацией:

 

ip dhcp pool UTM5_DHCP 
relay source 91.xx.xx.0 255.255.2xx.0 
relay destination 10.10.10.2 

interface Loopback2 
ip address 91.xx.xx.254 255.255.2xx.0 
no ip redirects 
no ip unreachables 
ntp disable 

 

В утм заведен данный пул, все путем.

На интерфейсе смотрящем в сторону абонентов вот что:

 

interface TenGigabitEthernet0/1/0.1050 
description CL-IPoE 
encapsulation dot1Q 1050 
ip unnumbered Loopback2 
no ip redirects 
no ip unreachables 
no ip proxy-arp 
ip flow monitor ASR sampler ASR input 
ip flow monitor ASR sampler ASR output 
service-policy type control UTM5 
ip subscriber l2-connected 
 initiator dhcp 

 

Access-коммутатор внесен в список устройств в утм. У абонента как и положено, назначается в связке "передача ip-трафика":

1. Коммутатор

2. Порт

3. VlanID 1050

4. Динамический пул 91.xx.xx.0 255.255.2xx.0

 

Абонент включает свое устройство, прилетает ip из пула, юзверь доволен - играется в инетах.

 

Но, есть но!

 

На этом устройстве пытаемся поднять NAT, в Cisco TAC вроде говорят, что все должно работать с ISG. Проверяем.

 

Делаем операторский NAT CGN.

 

ip nat settings mode cgn 
no ip nat settings support mapping outside 
ip nat translation timeout 500 
ip nat translation tcp-timeout 3600 
ip nat translation udp-timeout 45 
ip nat translation dns-timeout 5 
ip nat translation icmp-timeout 10 
ip nat translation port-timeout tcp 80 15 
ip nat translation port-timeout tcp 8080 15 
ip nat translation max-entries 2097152 
ip nat translation max-entries all-host 500 
ip nat pool vlan1049 91.хх.хх.4 91.хх.хх.4 netmask 255.255.255.252 
ip nat inside source list vlan1049 pool vlan1049 overload 

 

Заводим пул для NAT'a и Loop:

 

ip dhcp pool UTM5_DHCP_GRAY_1 
relay source 172.19.1xx.0 255.255.2xx.0 
relay destination 10.10.10.2 

interface Loopback3 
ip address 172.19.1xx.254 255.255.2xx.0 
no ip redirects 
no ip unreachables 
ntp disable 

 

 

Трам пам пам, заводим пул в утм. Вешаем на тестовый саб-интерфейс:

 

interface TenGigabitEthernet0/1/0.1099 
description CL-IPoE 
encapsulation dot1Q 1099 
ip unnumbered Loopback3 
no ip redirects 
no ip unreachables 
no ip proxy-arp 
ip nat inside 
ip flow monitor ASR sampler ASR input 
ip flow monitor ASR sampler ASR output 
ip tcp adjust-mss 1300 
service-policy type control UTM5 
ip subscriber l2-connected 
 initiator dhcp 

 

В сторону Uplink-интерфейса:

 

ip nat outside 

 

 

Тестовому юзверю назначаю:

1. Коммутатор

2. Порт

3. VlanID 1099

4. Динамический пул 172.19.1xx.0 255.255.2xx.0

 

Абонент включает свое устройство, прилетает ip из пула, юзверь доволен - играется в инетах.

 

Идем на сайт speedtest.net видим ip-адрес NAT 91.хх.хх.4 измеряем скорость, все по тарифу, отлично. Но по прошествии некоторого времени 10-15-20 минут (точно не скажешь, не можем вычислить), у абонента перестают открываться сайты, лечится передергиванием шнурка. Но! С белым диапазоном такого не наблюдается! Еще через NAT часть сайтов не открывается, лечится установкой timeout, но не всегда помогает...

 

Кто сталкивался, подскажите пожалуйста.

Edited by TiRider

Share this post


Link to post
Share on other sites

Апну темку.

 

Не буду плодить лишний раз. Предыдущую проблему победили. Дело было в радиусе нетапа, динамическая выдача адресов некорректно работала.

 

Сейчас проблема такая. На циске убраны все ограничения, nat overload настроен 3-мя командами грубо говоря.

 

Абоненты с серых ипов хотят поиграть в танки и им это не удается. Пишет в клиенте танков, ошибку подключения. Если переназначить абоненту белый ип, то все работает.

Если кто сталкивался с подобным, подскажите как быть.

 

show version

Cisco IOS XE Software, Version 03.13.01.S - Extended Support Release
Cisco IOS Software, ASR1000 Software (PPC_LINUX_IOSD-ADVENTERPRISE-M), Version 15.4(3)S1, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Fri 31-Oct-14 21:14 by mcpre

 

нат

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat pool 1048 91.xx.xx.xx 91.xx.xx.xx netmask 255.255.255.252
ip nat inside source list 1048 pool 1048 overload

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this