TiRider Опубликовано 18 февраля, 2015 (изменено) · Жалоба Всем привет! На форуме утм спрашивал, никто пока, что не ответил. Решил тут запостить, может кто в курсе. Собственно Cisco ASR на ней ISG, для IPoE. Работает. Есть пул и Loop2 со следующей конфигурацией: ip dhcp pool UTM5_DHCP relay source 91.xx.xx.0 255.255.2xx.0 relay destination 10.10.10.2 interface Loopback2 ip address 91.xx.xx.254 255.255.2xx.0 no ip redirects no ip unreachables ntp disable В утм заведен данный пул, все путем. На интерфейсе смотрящем в сторону абонентов вот что: interface TenGigabitEthernet0/1/0.1050 description CL-IPoE encapsulation dot1Q 1050 ip unnumbered Loopback2 no ip redirects no ip unreachables no ip proxy-arp ip flow monitor ASR sampler ASR input ip flow monitor ASR sampler ASR output service-policy type control UTM5 ip subscriber l2-connected initiator dhcp Access-коммутатор внесен в список устройств в утм. У абонента как и положено, назначается в связке "передача ip-трафика": 1. Коммутатор 2. Порт 3. VlanID 1050 4. Динамический пул 91.xx.xx.0 255.255.2xx.0 Абонент включает свое устройство, прилетает ip из пула, юзверь доволен - играется в инетах. Но, есть но! На этом устройстве пытаемся поднять NAT, в Cisco TAC вроде говорят, что все должно работать с ISG. Проверяем. Делаем операторский NAT CGN. ip nat settings mode cgn no ip nat settings support mapping outside ip nat translation timeout 500 ip nat translation tcp-timeout 3600 ip nat translation udp-timeout 45 ip nat translation dns-timeout 5 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 15 ip nat translation port-timeout tcp 8080 15 ip nat translation max-entries 2097152 ip nat translation max-entries all-host 500 ip nat pool vlan1049 91.хх.хх.4 91.хх.хх.4 netmask 255.255.255.252 ip nat inside source list vlan1049 pool vlan1049 overload Заводим пул для NAT'a и Loop: ip dhcp pool UTM5_DHCP_GRAY_1 relay source 172.19.1xx.0 255.255.2xx.0 relay destination 10.10.10.2 interface Loopback3 ip address 172.19.1xx.254 255.255.2xx.0 no ip redirects no ip unreachables ntp disable Трам пам пам, заводим пул в утм. Вешаем на тестовый саб-интерфейс: interface TenGigabitEthernet0/1/0.1099 description CL-IPoE encapsulation dot1Q 1099 ip unnumbered Loopback3 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip flow monitor ASR sampler ASR input ip flow monitor ASR sampler ASR output ip tcp adjust-mss 1300 service-policy type control UTM5 ip subscriber l2-connected initiator dhcp В сторону Uplink-интерфейса: ip nat outside Тестовому юзверю назначаю: 1. Коммутатор 2. Порт 3. VlanID 1099 4. Динамический пул 172.19.1xx.0 255.255.2xx.0 Абонент включает свое устройство, прилетает ip из пула, юзверь доволен - играется в инетах. Идем на сайт speedtest.net видим ip-адрес NAT 91.хх.хх.4 измеряем скорость, все по тарифу, отлично. Но по прошествии некоторого времени 10-15-20 минут (точно не скажешь, не можем вычислить), у абонента перестают открываться сайты, лечится передергиванием шнурка. Но! С белым диапазоном такого не наблюдается! Еще через NAT часть сайтов не открывается, лечится установкой timeout, но не всегда помогает... Кто сталкивался, подскажите пожалуйста. Изменено 18 февраля, 2015 пользователем TiRider Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 28 августа, 2015 · Жалоба Апну темку. Не буду плодить лишний раз. Предыдущую проблему победили. Дело было в радиусе нетапа, динамическая выдача адресов некорректно работала. Сейчас проблема такая. На циске убраны все ограничения, nat overload настроен 3-мя командами грубо говоря. Абоненты с серых ипов хотят поиграть в танки и им это не удается. Пишет в клиенте танков, ошибку подключения. Если переназначить абоненту белый ип, то все работает. Если кто сталкивался с подобным, подскажите как быть. show version Cisco IOS XE Software, Version 03.13.01.S - Extended Support Release Cisco IOS Software, ASR1000 Software (PPC_LINUX_IOSD-ADVENTERPRISE-M), Version 15.4(3)S1, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2014 by Cisco Systems, Inc. Compiled Fri 31-Oct-14 21:14 by mcpre нат ip nat settings mode cgn no ip nat settings support mapping outside ip nat pool 1048 91.xx.xx.xx 91.xx.xx.xx netmask 255.255.255.252 ip nat inside source list 1048 pool 1048 overload Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...