TiRider Опубликовано 7 мая, 2015 · Жалоба Собственно всех с наступающими! Демагогию разводить не буду, по существу. Есть сеть IPoE, NAT на ASR. Никаких проблем не наблюдается, вроде :) Второй сегмент это старые IP DSLAM и у абонентов авторизация через PPPoE на 7204 NPE-G2. Тоже все работает, но за видным исключением. Когда абонам выдаешь "белую" сетку, все путем, как только прописываешь "серую" сеть в пуле и отправляешь натится на ASR, начинаются проблемы. То страницы не открываются, то картинки не грузятся, то еще какая невиданная сила. Если кто сталкивался подскажите, либо куда копнуть, чтобы победить сие. Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 7 мая, 2015 · Жалоба MTU? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 7 мая, 2015 · Жалоба Начните с дампов трафтка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 7 мая, 2015 · Жалоба MTU? Спасибо. Идея была о MTU, тоже. Начните с дампов трафтка. Тоже спасибо. Шарком половлю чего-нибудь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 мая, 2015 · Жалоба Может еще на циске не хватает памяти под таблицу трасляций НАТа. Я ограничиваю кол-во трансляций на один хост в таблице трансляций и саму таблицу трансляций: ip nat translation max-entries 40000 ip nat translation max-entries all-host 250 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 8 мая, 2015 · Жалоба Может еще на циске не хватает памяти под таблицу трасляций НАТа. Я ограничиваю кол-во трансляций на один хост в таблице трансляций и саму таблицу трансляций: ip nat translation max-entries 40000 ip nat translation max-entries all-host 250 Спасибо, но я снял все ограничения, для проверки. IPoE вообще не жалуются, натятся и нормально работают. Дело именно в связке PPPoE + NAT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 8 мая, 2015 · Жалоба конфиг покажите virtual-template пппоешного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 8 мая, 2015 · Жалоба конфиг покажите virtual-template пппоешного. bba-group pppoe utm5_3 virtual-template 1 sessions per-mac limit 1 sessions per-vlan limit 1500 sessions auto cleanup interface Virtual-Template1 description PPPoE only ip unnumbered Loopback0 ip verify unicast reverse-path ip mtu 1492 ip flow ingress ip tcp adjust-mss 1452 autodetect encapsulation ppp snmp trap ip verify drop-rate peer default ip address pool PPPoE_gray ppp authentication ms-chap-v2 ms-chap chap UTM5_3 ppp authorization UTM5_3 ppp accounting UTM5_3 ppp ipcp dns 192.168.1.1 На интерфейсе interface GigabitEthernet0/3.62 description --Test PPPoE_Gray-- encapsulation dot1Q 62 ip flow ingress pppoe enable group utm5_3 no cdp enable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 8 мая, 2015 · Жалоба А НАТ-то где получается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 8 мая, 2015 (изменено) · Жалоба НАТ на аср. Юзверь с пппое на 7204 терминируется и маршрутизируется на аср, аср натит. Изменено 8 мая, 2015 пользователем TiRider Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 мая, 2015 · Жалоба Так может в ASR и проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 12 мая, 2015 · Жалоба Так может в ASR и проблема? Только в чем, вопрос :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 12 мая, 2015 · Жалоба Когда абонам выдаешь "белую" сетку, все путем, как только прописываешь "серую" сеть в пуле и отправляешь натится на ASR, начинаются проблемы. То страницы не открываются, то картинки не грузятся, то еще какая невиданная сила. Смотреть настройки НАТа, размер таблицы трансляций и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 12 мая, 2015 · Жалоба Мсс поменьше сделайте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 12 мая, 2015 · Жалоба Мсс поменьше сделайте Можно поконкретнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 12 мая, 2015 · Жалоба С днс точно проблем нет? Например забыли рекурсия открыть с сети серой.. Если конечно днс до ната. Можно попробовать adjust mss понизить.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 12 мая, 2015 · Жалоба Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
furai Опубликовано 12 мая, 2015 · Жалоба И еще настройки ната увидеть бы, а то так можно долго гадать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 13 мая, 2015 · Жалоба Настройки ната на ASR. Интерфейс ASR с которым взаимодействует 7204 на которой терминируются юзвери. Между 7204 и ASR, iBGP + OSPF. interface GigabitEthernet0/0/0 ip address 91.xx.xx.8 255.255.255.240 no ip redirects no ip unreachables ip nat inside ip flow monitor ASR1002 sampler ASR1002 input ip flow monitor NFDUMP sampler NFDUMP input ip flow monitor ASR1002 sampler ASR1002 output ip flow monitor NFDUMP sampler NFDUMP output no negotiation auto ntp disable snmp ifindex persist Исходящий интерфейс в интернет interface GigabitEthernet0/0/2.1024 description INTERNET encapsulation dot1Q 1024 ip address xx.xx.xx.201 255.255.255.252 no ip redirects no ip unreachables ip nat outside ip flow monitor ASR1002 sampler ASR1002 input ip flow monitor NFDUMP sampler NFDUMP input ip flow monitor ASR1002 sampler ASR1002 output ip flow monitor NFDUMP sampler NFDUMP output ntp disable ip virtual-reassembly Сами настройки ната. ip nat settings mode cgn no ip nat settings support mapping outside ip nat pool pool1 91.хх.хх.13 91.хх.хх.13 netmask 255.255.255.252 ip nat inside source list pool1 pool pool1 overload ip access-list standard pool1 permit 172.19.96.0 0.0.0.255 Больше ничего нет, что касаемо ната. Причем жалуются юзвери, у которых стоят роутеры (не открывается не одна страница). Они подключены к DSLAM D-Link через pppoe. На тестовом стенде, на компе повторить не удается, увы, иначе бы не просил помощи. Что касается 7204. Вот настройки. bba-group pppoe utm5_3 virtual-template 1 sessions per-mac limit 1 sessions per-vlan limit 1500 sessions auto cleanup ! ! interface Loopback0 ip address 172.19.96.254 255.255.255.0 ! interface GigabitEthernet0/3.62 description --Test PPPoE_Gray-- encapsulation dot1Q 62 ip flow ingress pppoe enable group utm5_3 no cdp enable ! interface Virtual-Template1 description PPPoE only ip unnumbered Loopback0 ip verify unicast reverse-path ip mtu 1492 ip flow ingress ip tcp adjust-mss 1452 autodetect encapsulation ppp snmp trap ip verify drop-rate peer default ip address pool PPPoE_gray ppp authentication ms-chap-v2 ms-chap chap UTM5_3 ppp authorization UTM5_3 ppp accounting UTM5_3 ppp ipcp dns 91.xx.xx.1 ! ip local pool PPPoE_gray 172.19.96.1 172.19.96.253 ! ip route 0.0.0.0 0.0.0.0 91.xx.xx.8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 13 мая, 2015 · Жалоба Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться Дамп чего, поконкретнее? На железке или у юзверя при подключении? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 13 мая, 2015 · Жалоба Можнт всетаки дамп ? Выложите сюда если сами не можетеразобраться Дамп с юзверя. Без и с использованием роутера (на коленке). https://drive.google.com/file/d/0B3CTmvqzlBMfVjhwWVB6RzRGbG8/view?usp=sharing https://drive.google.com/file/d/0B3CTmvqzlBMfajVkSldsc29iQUk/view?usp=sharing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 мая, 2015 · Жалоба Что-то с дампах по фильтру tcp.port == 53 в дампах ничего не находится. DNS-запросы-то бегают? ДНС-сервера у вас 91.218.136.1 и 91.218.136.24 пингуются? С MTU: "upload": false, "status":20, "config_id": 104, "resident": { "wifi": { "state": "up", "mac": "78:54:2E:DA:A5:2D", "tx": "10490192", "mtu": 1500, "rx": "348114867", "metric": 0, "name": "WIFI", "rx_pkt": "1405846", "tx_pkt": "37430" }, "eth1_2": { "port": "Internet", "ip": "172.19.96.232", "metric": 0, "mask": "255.255.255.255", "mac": "78:54:2E:DA:A5:2D", "tx": "62355", "duration": "0.5", "mtu": 1492, "rx": "70149", "gw": "172.19.96.254", "name": "pppoe_Internet_2", "rx_pkt": "524", "tx_pkt": "494", "is_wan": true, "state": "up" }, "br0": { "ip": "192.168.0.1", "state": "up", "mask": "255.255.255.0", "mac": "78:54:2E:DA:A5:2D", "tx": "18155896", "mtu": 1500, "rx": "16603400", "metric": 0, "gw": null, "name": "LAN", "rx_pkt": "263954", "tx_pkt": "118588" } Я бы все же в vpdn-group сделал бы ip pmtu ip mtu adjust а от указания конкретных размеров MTU отказался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 13 мая, 2015 · Жалоба Что-то с дампах по фильтру tcp.port == 53 в дампах ничего не находится. DNS-запросы-то бегают? ДНС-сервера у вас 91.218.136.1 и 91.218.136.24 пингуются? Я бы все же в vpdn-group сделал бы ip pmtu ip mtu adjust а от указания конкретных размеров MTU отказался. При установлении сессии, пинги есть. Почему именно в vpdn-group? И какие бы вы значения порекомендовали? Я бы все же в vpdn-group сделал бы ip pmtu ip mtu adjust а от указания конкретных размеров MTU отказался. vpdn-group не используется. bba-group pppoe utm5_3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 мая, 2015 · Жалоба УДП порт 53. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 мая, 2015 (изменено) · Жалоба поставь mtu 1492 именно мту, а не ip mtu. ну и если не поможет ip tcp adjust-mss 1420 но первого должно хватить вполне.. Изменено 13 мая, 2015 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...