NikAlexAn Опубликовано 5 сентября, 2016 · Жалоба Я написал выше - НАТится немного, до 150 сессий, проц при этом не сильно грузится. А до этого та же 7204 вообще работала с NPE-400 и не кашляла. Так что ИМХО дело не в НАТ. Проходили. До 200 пользователей и с NAT тянула. Ограничение трансляций на пользователя есть только в 15й ветке а 15й софт у нас что то не взлетел вот и перенесли NAT на другую железку. Под руками оказался микротик - так на микротике NAT с netflow и живут до сих пор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 7 сентября, 2016 · Жалоба Дабы не создавать кучу тем. Подскажите сколько может затерминировать Cisco 7201 PPPoE сессий. Кроме терминации от неё больше ничего не требуется. Нарезание скоростей и NAT вынесены отдельно. И подскажите какой лучше использовать софт под это дело? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 1 ноября, 2016 · Жалоба Я написал выше - НАТится немного, до 150 сессий, проц при этом не сильно грузится. А до этого та же 7204 вообще работала с NPE-400 и не кашляла. Так что ИМХО дело не в НАТ. Проходили. До 200 пользователей и с NAT тянула. Ограничение трансляций на пользователя есть только в 15й ветке а 15й софт у нас что то не взлетел вот и перенесли NAT на другую железку. Под руками оказался микротик - так на микротике NAT с netflow и живут до сих пор. Т.е. на софте c7200-is-mz.122-31.SB11.bin команда ip nat translation max-entries all-vrf 1000 циской проглатывается, но по факту не работает? PS. Команда clear ip nat tr * отправила циску в ребут. :( В crashinfo много всего, но ключевое наверное вот это: 09:04:32 CHE Tue Nov 1 2016: Address Error (load or instruction fetch) exception, CPU signal 10, PC = 0x61524E40 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 1 ноября, 2016 · Жалоба Подскажите сколько может затерминировать Cisco 7201 PPPoE сессий. Кроме терминации от неё больше ничего не требуется. Нарезание скоростей и NAT вынесены отдельно. Думаю, что 800 Мбит/с трафика она через себя пропустит. Когда у меня использовалась Cisco, нагрузка на CPU почти не зависела от количества сессий, только от трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 2 ноября, 2016 · Жалоба Т.е. на софте c7200-is-mz.122-31.SB11.bin команда ip nat translation max-entries all-vrf 1000 циской проглатывается, но по факту не работает? Это ограничение на общее количество трансляций а в 15й ветке и в некоторых 12.4 есть типа поабонентское ограничение , т.е. на source IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 ноября, 2016 · Жалоба Мне и надо поабонентское ограничение Когда 7204 была с NPE-400 в софте такое поабонентское ограничение было: ip nat translation max-entries all-host 650 Потом заменил NPE-400 на NPE-1G и соответственно поменял софт на рекомендованный тут c7200-is-mz.122-31.SB11.bin , то в этом софте такой команды уже нет. c7204_core(config)#ip nat translation max-entries ? <1-2147483647> Number of entries all-vrf Specify maximum number of NAT entries for each vrf host Specify per-host NAT entry limit list Specify access list based NAT entry limit vrf Specify per-VRF NAT entry limit Есть ip nat translation max-entries all-vrf 1000 вроде тоже поабонентское судя по http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr/command/ipaddr-cr-book/ipaddr-i4.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 2 ноября, 2016 · Жалоба Мне и надо поабонентское ограничение Когда 7204 была с NPE-400 в софте такое поабонентское ограничение было: ip nat translation max-entries all-host 650 Потом заменил NPE-400 на NPE-1G и соответственно поменял софт на рекомендованный тут c7200-is-mz.122-31.SB11.bin , то в этом софте такой команды уже нет. c7204_core(config)#ip nat translation max-entries ? <1-2147483647> Number of entries all-vrf Specify maximum number of NAT entries for each vrf host Specify per-host NAT entry limit list Specify access list based NAT entry limit vrf Specify per-VRF NAT entry limit Есть ip nat translation max-entries all-vrf 1000 вроде тоже поабонентское судя по http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr/command/ipaddr-cr-book/ipaddr-i4.html all-host и all-vrf одинаково будут работать только если у вас каждый хост в отдельном VRF насколько я понимаю. У нас c7200-advipservicesk9-mz.122-33.SRD4.bin - all-host нету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 ноября, 2016 · Жалоба all-host и all-vrf одинаково будут работать только если у вас каждый хост в отдельном VRF насколько я понимаю. А разве при терминации pptp/ppoe на циске не получается каждая такая сессия - в отдельном VRF? У нас c7200-advipservicesk9-mz.122-33.SRD4.bin - all-host нету. Вот и у меня нету :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 6 ноября, 2016 · Жалоба Сегодня с утра пошли звонки от пользователей, что перестали грузиться страницы. Подключение через pptp/pppoe, терминируются и НАТятся на 7204 VXR + NPE-1G. Юзеров около 250, трафика - не более 150 Мбит/сек Версия IOS c7200-is-mz.122-31.SB11.bin Загрузка проца ни о чем c7204_core#sh proc cpu s | e 0.0 CPU utilization for five seconds: 29%/23%; one minute: 25%; five minutes: 28% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 69 23878528 99458764 240 3.43% 3.64% 3.87% 0 IP Input 177 925320 7586879 121 0.23% 0.24% 0.32% 0 IP NAT Ager 105 21316 109565717 0 0.23% 0.21% 0.21% 0 HQF Shaper Backg 155 593312 17910894 33 0.15% 0.16% 0.14% 0 RADIUS 173 468164 9923818 47 0.15% 0.12% 0.21% 0 L2X Data Daemon 66 17892 13783627 1 0.15% 0.15% 0.13% 0 ACCT Periodic Pr Настройки НАТа на циске: c7204_core#sh run | i nat ip nat translation timeout 200 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation dns-timeout 80 ip nat translation icmp-timeout 10 ip nat translation max-entries 200000 ip nat inside source list 100 interface GigabitEthernet0/3.502 overload ip nat inside source list 103 interface FastEthernet1/0.5 overload Размер таблицы НАТа тоже невелик c7204_core#sh ip nat st Total active translations: 12611 (0 static, 12611 dynamic; 12611 extended) Можно почистить НАТ clear ip nat tr all но точно знаю, что такая команда утянет циску в крэш-ребут. Помогло только скинуть все pptp/pppoe-сессии, чтобы переподключились заново, но это не выход. Ситуация повторяется 3й или 4й раз с момента перехода летом с 7204VXR+NPE-400 на 7204VXR+NPE-1G с соответствующей сменой софта. Куда еще копнуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 11 ноября, 2016 · Жалоба Поэкспериментировал с таймаутами и вроде помогло увеличение вот этих значений в 1,5-2 раза c7204_core#sh run | i nat ip nat translation timeout 200 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation dns-timeout 80 ip nat translation icmp-timeout 10 Отдельно по snmp|mrtg мониторился размер таблицы трансляций и подобрал параметр ip nat translation max-entries 80000 Все равно больше 40 тыс. пока не было, при этом есть большие подозрения, что из-за бага в софте эта таблица залезала в какие-то другие области памяти циски, из-за чего НАТ начинал работать странно: вроде для клиента и строк в таблице трансляций под сотню, а ничего не работает. На эту же мысль наталкивает и то, что циска уходила в crash-reboot при попытке почистить эту таблицу clear ip nat tr all В crashinfo указывалось, что сбой произошел из-за ошибки доступа к определенной области памяти. Вобщем пока жалобы прекратились. Может кому и пригодится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 11 ноября, 2016 · Жалоба Еще вопрос c7204_core#conf t Enter configuration commands, one per line. End with CNTL/Z. c7204_core(config)#interface GigabitEthernet0/3.150 c7204_core(config-subif)# ip address 176.56.0.25 255.255.254.0 Bad mask /23 for address 176.56.0.25 c7204_core(config-subif)# ip address 176.56.0.25 255.255.255.0 Bad mask /24 for address 176.56.0.25 c7204_core(config-subif)# ip address 176.56.0.25 ? A.B.C.D IP subnet mask ipcalc 176.56.0.25 255.255.254.0 Address: 176.56.0.25 10110000.00111000.0000000 0.00011001 Netmask: 255.255.254.0 = 23 11111111.11111111.1111111 0.00000000 Wildcard: 0.0.1.255 00000000.00000000.0000000 1.11111111 => Network: 176.56.0.0/23 10110000.00111000.0000000 0.00000000 HostMin: 176.56.0.1 10110000.00111000.0000000 0.00000001 HostMax: 176.56.1.254 10110000.00111000.0000000 1.11111110 Broadcast: 176.56.1.255 10110000.00111000.0000000 1.11111111 Hosts/Net: 510 Class B ЧЯДН? Дает сделать только так: c7204_core(config-subif)# ip address 176.56.0.25 255.255.0.0 GW - 176.56.0.1 и оно конечно работает, но маску магистрал выдал 255.255.254.0 ip classless и no ip subnet-zero в конфиге присутствуют. Update: Похоже, что ответ тут http://daybook.org.ua/seti/nulevaya-i-shirokoveshhatelnaya-seti.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 ноября, 2016 · Жалоба Абоненты авторизуются по pppoe на циске, получают ip из определенной подсетки и по роут-мапу уходят к магистралу: interface Virtual-Template1 description PPTP VPN template interface ip unnumbered Loopback0 no ip redirects ip nat inside ip flow ingress ip flow egress ip policy route-map nat no logging event link-status no peer default ip address keepalive 30 7 ppp authentication pap chap callin via_lb ppp authorization via_lb ppp accounting via_lb ppp ipcp dns 212.57.158.61 208.67.222.222 ... interface GigabitEthernet0/3.150 encapsulation dot1Q 150 ip address 176.56.0.25 255.255.240.0 ip nat outside no cdp enable ! ... access-list 102 permit ip 172.21.43.0 0.0.0.255 any ... ip nat inside source list 102 interface GigabitEthernet0/3.150 overload ... route-map nat permit 50 match ip address 102 set ip next-hop 176.56.0.1 212.57.158.61 - наш ДНС, и хотя по трассировке с циски до него один хоп, запросы до него от pppoe-юзеров ходят через магистрала - 176.56.0.1, а хотелось бы напрямую. Казалось бы надо просто поправить acl, исключив из него наш ДНС, и тогда трафик до него не будет подпадать под действие route-map: access-list 102 permit ip 172.21.43.0 0.0.0.255 any access-list 102 deny ip any host 212.57.158.61 Но все равно не работает и трассировка до 212.57.158.61 уходит через магистрала :( Какую-то мелочь забыл? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2016 · Жалоба Порядок важен . Вначале должен быть денай. ip access-list ext 102 No 20 5 deny... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 13 ноября, 2016 · Жалоба set ip default next-hop 176.56.0.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 ноября, 2016 · Жалоба Порядок важен . Вначале должен быть денай. ip access-list ext 102 При таком раскладе access-list 102 deny ip any host 212.57.158.61 access-list 102 permit ip 172.21.43.0 0.0.0.255 any трассировка до ДНС 212.57.158.61 вообще не доходит и обрывается на loopback No 20 5 deny... Сорри, этого не понял. set ip default next-hop 176.56.0.1 Если это применять к access-list 102 deny ip any host 212.57.158.61 access-list 102 permit ip 172.21.43.0 0.0.0.255 any то аналогично - трассировка до ДНС 212.57.158.61 вообще не доходит и обрывается на loopback Если к access-list 102 permit ip 172.21.43.0 0.0.0.255 any то все равно уходит к магистралу. default означает, что если не будет роутов в глобальной таблице маршрутизации информации о сети назначения пакета, то будет отрабатывать наш route-map. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 13 ноября, 2016 · Жалоба to Andrei - Тебе нада поместить виртуал темплейт в отдельный врф, и там сделать дефолт на магистрала, и на не нада никаких роутмапов! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 13 ноября, 2016 · Жалоба и если интересно есть вот такой софт для 72 цыски: c7200-adventerprisek9-mz.152-4.M7.bin и c7200p-adventerprisek9-mz.124-24.T6.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 13 ноября, 2016 · Жалоба to Andrei - Тебе нада поместить виртуал темплейт в отдельный врф, и там сделать дефолт на магистрала, и на не нада никаких роутмапов! С vrf-ами дела не имел. А в существующей конфигурации желаемое не сделать? На счет софта: наверное если только c7200-adventerprisek9-mz.152-4.M7.bin. c7200p-adventerprisek9-mz.124-24.T6.bin - это ж для NPE-2G? У меня-то NPE-1G. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 ноября, 2016 · Жалоба Из 15 ветки для NPE-G1 с поддержкой ISG у меня лежат c7200-adventerprisek9-mz.152-4.S1.bin и c7200-advipservicesk9-mz.151-3.S4.bin - у меня они не завелись как нам надо было а на эксперименты не было времени. На просторах инета можно и посвежее найти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 14 ноября, 2016 · Жалоба С софтами ясно, а по конфигу подскажете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 ноября, 2016 (изменено) · Жалоба У Вас acl один и для NAT и для rout-map - лучше разделить наверно. А на DNS сервере есть маршрут на серую вашу сетку? PS: Сложновато что то советовать не зная схемы сети и текущего конфига. Изменено 14 ноября, 2016 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 14 ноября, 2016 · Жалоба У Вас acl один и для NAT и для rout-map - лучше разделить наверно. А на DNS сервере есть маршрут на серую вашу сетку? acl один и на НАТ, и на route-map. А в чем смысл их разделать, если они одинаковы? Попробовал для route-map сделать отдельный acl, но с той же сеткой 172.21.43.0/24: access-list 143 deny ip any host 212.57.158.61 access-list 143 permit ip 172.21.43.0 0.0.0.255 any route-map nat_to_sovintel permit 50 match ip address 143 set ip default next-hop 176.56.0.1 (или set ip next-hop 176.56.0.1 - не важно) ситуацию это не исправило. С циски default route на ДНС-сервер (ip route 0.0.0.0 0.0.0.0 DNS-server), т.к. там не только ДНС, но и почта, и хостинг, и роутинг отчасти. Но next-hop в route-map на циске - это сразу gateway магистрала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 15 ноября, 2016 (изменено) · Жалоба Без схемы и конфига всё больше сомнений в необходимости роут-мапа. Если интерфейс к ДНС прописан на киске и киска является шлюзом для ДНС сервера то роут-мап не нужен на мой взгляд. Да и пакеты к ДНС можно натить если не нужно знать от кого пришёл пакет. Не понятно что и как. PS: а вот действие "set ip next-hop" и "set ip default next-hop" достаточно серьёзно отличаются. В первом случае меняется некст-хоп независимо от существующих маршрутов а во втором только шлюз по умолчанию. Если все пакеты должны уходить к аплинку и только пакеты на определённый адрес должны отправляться по другому маршруту то логично использовать маршруты. PBR же применяют когда для маршрутизации нужно использовать не только адрес назначения но и адрес источника или ещё что то что нельзя описать обычными маршрутами. Изменено 15 ноября, 2016 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Asco Опубликовано 29 января, 2017 · Жалоба Для NPE-G1 ни у кого свежее чем c7200-advipservicesk9-mz.122-33.SRE7.bin нет случаем? Именно из линейки 122-33.SRE, на сиське последний 122-33.SRE15 от осени 2016, но естественно - нет саппорта и спросить вроде не у кого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 29 января, 2017 · Жалоба Есть c7200-advipservicesk9-mz.122-33.SRE8.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...