Jump to content

PPPoE Cisco Bras 7204 + NAT Cisco ASR

TiRider
 Share

Recommended Posts

TiRider

TiRider

Posted
Posted

Собственно всех с наступающими!

 

Демагогию разводить не буду, по существу.

 

Есть сеть IPoE, NAT на ASR. Никаких проблем не наблюдается, вроде :)

Второй сегмент это старые IP DSLAM и у абонентов авторизация через PPPoE на 7204 NPE-G2. Тоже все работает, но за видным исключением. Когда абонам выдаешь "белую" сетку, все путем, как только прописываешь "серую" сеть в пуле и отправляешь натится на ASR, начинаются проблемы. То страницы не открываются, то картинки не грузятся, то еще какая невиданная сила.

 

Если кто сталкивался подскажите, либо куда копнуть, чтобы победить сие.

 

Заранее спасибо.

Andrei

Andrei

Posted
Posted

Может еще на циске не хватает памяти под таблицу трасляций НАТа. Я ограничиваю кол-во трансляций на один хост в таблице трансляций и саму таблицу трансляций:

ip nat translation max-entries 40000
ip nat translation max-entries all-host 250

TiRider

TiRider

Posted
  • Author
Posted

Может еще на циске не хватает памяти под таблицу трасляций НАТа. Я ограничиваю кол-во трансляций на один хост в таблице трансляций и саму таблицу трансляций:

ip nat translation max-entries 40000
ip nat translation max-entries all-host 250

Спасибо, но я снял все ограничения, для проверки. IPoE вообще не жалуются, натятся и нормально работают. Дело именно в связке PPPoE + NAT.

TiRider

TiRider

Posted
  • Author
Posted

конфиг покажите virtual-template пппоешного.

bba-group pppoe utm5_3
virtual-template 1
sessions per-mac limit 1
sessions per-vlan limit 1500
sessions auto cleanup

interface Virtual-Template1
description PPPoE only
ip unnumbered Loopback0
ip verify unicast reverse-path
ip mtu 1492
ip flow ingress
ip tcp adjust-mss 1452
autodetect encapsulation ppp
snmp trap ip verify drop-rate
peer default ip address pool PPPoE_gray
ppp authentication ms-chap-v2 ms-chap chap UTM5_3
ppp authorization UTM5_3
ppp accounting UTM5_3
ppp ipcp dns 192.168.1.1

 

На интерфейсе 

interface GigabitEthernet0/3.62
description --Test PPPoE_Gray--
encapsulation dot1Q 62
ip flow ingress
pppoe enable group utm5_3
no cdp enable

Andrei

Andrei

Posted
Posted

Когда абонам выдаешь "белую" сетку, все путем, как только прописываешь "серую" сеть в пуле и отправляешь натится на ASR, начинаются проблемы. То страницы не открываются, то картинки не грузятся, то еще какая невиданная сила.

Смотреть настройки НАТа, размер таблицы трансляций и т.п.

TiRider

TiRider

Posted
  • Author
Posted

Настройки ната на ASR.

Интерфейс ASR с которым взаимодействует 7204 на которой терминируются юзвери. Между 7204 и ASR, iBGP + OSPF.

interface GigabitEthernet0/0/0
ip address 91.xx.xx.8 255.255.255.240
no ip redirects
no ip unreachables
ip nat inside
ip flow monitor ASR1002 sampler ASR1002 input
ip flow monitor NFDUMP sampler NFDUMP input
ip flow monitor ASR1002 sampler ASR1002 output
ip flow monitor NFDUMP sampler NFDUMP output
no negotiation auto
ntp disable
snmp ifindex persist

 

Исходящий интерфейс в интернет

interface GigabitEthernet0/0/2.1024
description INTERNET
encapsulation dot1Q 1024
ip address xx.xx.xx.201 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow monitor ASR1002 sampler ASR1002 input
ip flow monitor NFDUMP sampler NFDUMP input
ip flow monitor ASR1002 sampler ASR1002 output
ip flow monitor NFDUMP sampler NFDUMP output
ntp disable
ip virtual-reassembly

 

Сами настройки ната.

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat pool pool1 91.хх.хх.13 91.хх.хх.13 netmask 255.255.255.252
ip nat inside source list pool1 pool pool1 overload

ip access-list standard pool1
permit 172.19.96.0 0.0.0.255

 

Больше ничего нет, что касаемо ната. Причем жалуются юзвери, у которых стоят роутеры (не открывается не одна страница). Они подключены к DSLAM D-Link через pppoe. На тестовом стенде, на компе повторить не удается, увы, иначе бы не просил помощи.

 

Что касается 7204. Вот настройки.

 

bba-group pppoe utm5_3
virtual-template 1
sessions per-mac limit 1
sessions per-vlan limit 1500
sessions auto cleanup
!
!
interface Loopback0
ip address 172.19.96.254 255.255.255.0
!
interface GigabitEthernet0/3.62
description --Test PPPoE_Gray--
encapsulation dot1Q 62
ip flow ingress
pppoe enable group utm5_3
no cdp enable
!
interface Virtual-Template1
description PPPoE only
ip unnumbered Loopback0
ip verify unicast reverse-path
ip mtu 1492
ip flow ingress
ip tcp adjust-mss 1452
autodetect encapsulation ppp
snmp trap ip verify drop-rate
peer default ip address pool PPPoE_gray
ppp authentication ms-chap-v2 ms-chap chap UTM5_3
ppp authorization UTM5_3
ppp accounting UTM5_3
ppp ipcp dns 91.xx.xx.1
!
ip local pool PPPoE_gray 172.19.96.1 172.19.96.253
!
ip route 0.0.0.0 0.0.0.0 91.xx.xx.8

TiRider

TiRider

Posted
  • Author
Posted

Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться

 

Дамп чего, поконкретнее? На железке или у юзверя при подключении?

TiRider

TiRider

Posted
  • Author
Posted

Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться

 

Дамп с юзверя. Без и с использованием роутера (на коленке).

 

https://drive.google.com/file/d/0B3CTmvqzlBMfVjhwWVB6RzRGbG8/view?usp=sharing

https://drive.google.com/file/d/0B3CTmvqzlBMfajVkSldsc29iQUk/view?usp=sharing

Andrei

Andrei

Posted
Posted

Что-то с дампах по фильтру tcp.port == 53 в дампах ничего не находится. DNS-запросы-то бегают? ДНС-сервера у вас 91.218.136.1 и 91.218.136.24 пингуются?

 

С MTU:

 

"upload": false,
"status":20,
"config_id": 104,
"resident": {
"wifi": {
 "state": "up",
 "mac": "78:54:2E:DA:A5:2D",
 "tx": "10490192",
 "mtu": 1500,
 "rx": "348114867",
 "metric": 0,
 "name": "WIFI",
 "rx_pkt": "1405846",
 "tx_pkt": "37430"
},
"eth1_2": {
 "port": "Internet",
 "ip": "172.19.96.232",
 "metric": 0,
 "mask": "255.255.255.255",
 "mac": "78:54:2E:DA:A5:2D",
 "tx": "62355",
 "duration": "0.5",
 "mtu": 1492,
 "rx": "70149",
 "gw": "172.19.96.254",
 "name": "pppoe_Internet_2",
 "rx_pkt": "524",
 "tx_pkt": "494",
 "is_wan": true,
 "state": "up"
},
"br0": {
 "ip": "192.168.0.1",
 "state": "up",
 "mask": "255.255.255.0",
 "mac": "78:54:2E:DA:A5:2D",
 "tx": "18155896",
 "mtu": 1500,
 "rx": "16603400",
 "metric": 0,
 "gw": null,
 "name": "LAN",
 "rx_pkt": "263954",
 "tx_pkt": "118588"
}

 

Я бы все же в vpdn-group сделал бы

 ip pmtu
ip mtu adjust

а от указания конкретных размеров MTU отказался.

TiRider

TiRider

Posted
  • Author
Posted

Что-то с дампах по фильтру tcp.port == 53 в дампах ничего не находится. DNS-запросы-то бегают? ДНС-сервера у вас 91.218.136.1 и 91.218.136.24 пингуются?

Я бы все же в vpdn-group сделал бы

 ip pmtu
ip mtu adjust

а от указания конкретных размеров MTU отказался.

При установлении сессии, пинги есть.

 

Почему именно в vpdn-group? И какие бы вы значения порекомендовали?

 

Я бы все же в vpdn-group сделал бы

 ip pmtu
ip mtu adjust

а от указания конкретных размеров MTU отказался.

 

vpdn-group не используется. bba-group pppoe utm5_3

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.