[NikAlexAn]

Я написал выше - НАТится немного, до 150 сессий, проц при этом не сильно грузится.

А до этого та же 7204 вообще работала с NPE-400 и не кашляла.

Так что ИМХО дело не в НАТ.

Проходили. До 200 пользователей и с NAT тянула. Ограничение трансляций на пользователя есть только в 15й ветке а 15й софт у нас что то не взлетел вот и перенесли NAT на другую железку. Под руками оказался микротик - так на микротике NAT с netflow и живут до сих пор.

[crank]

Дабы не создавать кучу тем. Подскажите сколько может затерминировать Cisco 7201 PPPoE сессий. Кроме терминации от неё больше ничего не требуется. Нарезание скоростей и NAT вынесены отдельно.

И подскажите какой лучше использовать софт под это дело?

[Andrei]

Я написал выше - НАТится немного, до 150 сессий, проц при этом не сильно грузится.

А до этого та же 7204 вообще работала с NPE-400 и не кашляла.

Так что ИМХО дело не в НАТ.

Проходили. До 200 пользователей и с NAT тянула. Ограничение трансляций на пользователя есть только в 15й ветке а 15й софт у нас что то не взлетел вот и перенесли NAT на другую железку. Под руками оказался микротик - так на микротике NAT с netflow и живут до сих пор.

Т.е. на софте c7200-is-mz.122-31.SB11.bin команда

ip nat translation max-entries all-vrf 1000

циской проглатывается, но по факту не работает?

 

PS. Команда

clear ip nat tr *

отправила циску в ребут. :(

В crashinfo много всего, но ключевое наверное вот это:

 09:04:32 CHE Tue Nov 1 2016: Address Error (load or instruction fetch) exception, CPU signal 10, PC = 0x61524E40

[alibek]

Подскажите сколько может затерминировать Cisco 7201 PPPoE сессий. Кроме терминации от неё больше ничего не требуется. Нарезание скоростей и NAT вынесены отдельно.

Думаю, что 800 Мбит/с трафика она через себя пропустит.

Когда у меня использовалась Cisco, нагрузка на CPU почти не зависела от количества сессий, только от трафика.

[NikAlexAn]

Т.е. на софте c7200-is-mz.122-31.SB11.bin команда

ip nat translation max-entries all-vrf 1000

циской проглатывается, но по факту не работает?

 

Это ограничение на общее количество трансляций а в 15й ветке и в некоторых 12.4 есть типа поабонентское ограничение , т.е. на source IP.

[Andrei]

Мне и надо поабонентское ограничение

Когда 7204 была с NPE-400 в софте такое поабонентское ограничение было:

ip nat translation max-entries all-host 650

 

Потом заменил NPE-400 на NPE-1G и соответственно поменял софт на рекомендованный тут c7200-is-mz.122-31.SB11.bin , то в этом софте такой команды уже нет.

 

c7204_core(config)#ip nat translation max-entries ?
 <1-2147483647>  Number of entries
 all-vrf         Specify maximum number of NAT entries for each vrf
 host            Specify per-host NAT entry limit
 list            Specify access list based NAT entry limit
 vrf             Specify per-VRF NAT entry limit

 

Есть

ip nat translation max-entries all-vrf 1000

вроде тоже поабонентское судя по http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr/command/ipaddr-cr-book/ipaddr-i4.html

[NikAlexAn]

Мне и надо поабонентское ограничение

Когда 7204 была с NPE-400 в софте такое поабонентское ограничение было:

ip nat translation max-entries all-host 650

 

Потом заменил NPE-400 на NPE-1G и соответственно поменял софт на рекомендованный тут c7200-is-mz.122-31.SB11.bin , то в этом софте такой команды уже нет.

 

c7204_core(config)#ip nat translation max-entries ?
 <1-2147483647>  Number of entries
 all-vrf         Specify maximum number of NAT entries for each vrf
 host            Specify per-host NAT entry limit
 list            Specify access list based NAT entry limit
 vrf             Specify per-VRF NAT entry limit

 

Есть

ip nat translation max-entries all-vrf 1000

вроде тоже поабонентское судя по http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr/command/ipaddr-cr-book/ipaddr-i4.html

all-host и all-vrf одинаково будут работать только если у вас каждый хост в отдельном VRF насколько я понимаю.

У нас c7200-advipservicesk9-mz.122-33.SRD4.bin - all-host нету.

[Andrei]

all-host и all-vrf одинаково будут работать только если у вас каждый хост в отдельном VRF насколько я понимаю.

А разве при терминации pptp/ppoe на циске не получается каждая такая сессия - в отдельном VRF?

 

 

У нас c7200-advipservicesk9-mz.122-33.SRD4.bin - all-host нету.

Вот и у меня нету :(

[Andrei]

Сегодня с утра пошли звонки от пользователей, что перестали грузиться страницы.

Подключение через pptp/pppoe, терминируются и НАТятся на 7204 VXR + NPE-1G.

Юзеров около 250, трафика - не более 150 Мбит/сек

Версия IOS c7200-is-mz.122-31.SB11.bin

Загрузка проца ни о чем

c7204_core#sh proc cpu s | e 0.0
CPU utilization for five seconds: 29%/23%; one minute: 25%; five minutes: 28%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
 69    23878528  99458764        240  3.43%  3.64%  3.87%   0 IP Input
177      925320   7586879        121  0.23%  0.24%  0.32%   0 IP NAT Ager
105       21316 109565717          0  0.23%  0.21%  0.21%   0 HQF Shaper Backg
155      593312  17910894         33  0.15%  0.16%  0.14%   0 RADIUS
173      468164   9923818         47  0.15%  0.12%  0.21%   0 L2X Data Daemon
 66       17892  13783627          1  0.15%  0.15%  0.13%   0 ACCT Periodic Pr

 

Настройки НАТа на циске:

c7204_core#sh run | i nat
ip nat translation timeout 200
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 60
ip nat translation dns-timeout 80
ip nat translation icmp-timeout 10
ip nat translation max-entries 200000
ip nat inside source list 100 interface GigabitEthernet0/3.502 overload
ip nat inside source list 103 interface FastEthernet1/0.5 overload

 

Размер таблицы НАТа тоже невелик

c7204_core#sh ip nat st
Total active translations: 12611 (0 static, 12611 dynamic; 12611 extended)

 

Можно почистить НАТ

clear ip nat tr all

но точно знаю, что такая команда утянет циску в крэш-ребут.

 

Помогло только скинуть все pptp/pppoe-сессии, чтобы переподключились заново, но это не выход. Ситуация повторяется 3й или 4й раз с момента перехода летом с 7204VXR+NPE-400 на 7204VXR+NPE-1G с соответствующей сменой софта.

 

Куда еще копнуть?

[Andrei]

Поэкспериментировал с таймаутами и вроде помогло увеличение вот этих значений в 1,5-2 раза

c7204_core#sh run | i nat
ip nat translation timeout 200
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 60
ip nat translation dns-timeout 80
ip nat translation icmp-timeout 10

 

Отдельно по snmp|mrtg мониторился размер таблицы трансляций и подобрал параметр

ip nat translation max-entries 80000

Все равно больше 40 тыс. пока не было, при этом есть большие подозрения, что из-за бага в софте эта таблица залезала в какие-то другие области памяти циски, из-за чего НАТ начинал работать странно: вроде для клиента и строк в таблице трансляций под сотню, а ничего не работает. На эту же мысль наталкивает и то, что циска уходила в crash-reboot при попытке почистить эту таблицу

clear ip nat tr all

В crashinfo указывалось, что сбой произошел из-за ошибки доступа к определенной области памяти.

 

Вобщем пока жалобы прекратились. Может кому и пригодится.

[Andrei]

Еще вопрос

 

c7204_core#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
c7204_core(config)#interface GigabitEthernet0/3.150
c7204_core(config-subif)# ip address 176.56.0.25 255.255.254.0
Bad mask /23 for address 176.56.0.25
c7204_core(config-subif)# ip address 176.56.0.25 255.255.255.0
Bad mask /24 for address 176.56.0.25
c7204_core(config-subif)# ip address  176.56.0.25 ?
 A.B.C.D  IP subnet mask

 

ipcalc 176.56.0.25 255.255.254.0

Address:   176.56.0.25          10110000.00111000.0000000 0.00011001
Netmask:   255.255.254.0 = 23   11111111.11111111.1111111 0.00000000
Wildcard:  0.0.1.255            00000000.00000000.0000000 1.11111111
=>
Network:   176.56.0.0/23        10110000.00111000.0000000 0.00000000
HostMin:   176.56.0.1           10110000.00111000.0000000 0.00000001
HostMax:   176.56.1.254         10110000.00111000.0000000 1.11111110
Broadcast: 176.56.1.255         10110000.00111000.0000000 1.11111111
Hosts/Net: 510                   Class B

ЧЯДН?

 

Дает сделать только так:

c7204_core(config-subif)# ip address  176.56.0.25 255.255.0.0

 

GW - 176.56.0.1 и оно конечно работает, но маску магистрал выдал 255.255.254.0

 

ip classless

и

no ip subnet-zero

в конфиге присутствуют.

 

Update: Похоже, что ответ тут http://daybook.org.ua/seti/nulevaya-i-shirokoveshhatelnaya-seti.html

[Andrei]

Абоненты авторизуются по pppoe на циске, получают ip из определенной подсетки и по роут-мапу уходят к магистралу:

 

interface Virtual-Template1
description PPTP VPN template interface
ip unnumbered Loopback0
no ip redirects
ip nat inside
ip flow ingress
ip flow egress
ip policy route-map nat
no logging event link-status
no peer default ip address
keepalive 30 7
ppp authentication pap chap callin via_lb
ppp authorization via_lb
ppp accounting via_lb
ppp ipcp dns 212.57.158.61 208.67.222.222
...
interface GigabitEthernet0/3.150
encapsulation dot1Q 150
ip address 176.56.0.25 255.255.240.0
ip nat outside
no cdp enable
!
...
access-list 102 permit ip 172.21.43.0 0.0.0.255 any
...
ip nat inside source list 102 interface GigabitEthernet0/3.150 overload
...
route-map nat permit 50
match ip address 102
set ip next-hop 176.56.0.1

 

212.57.158.61 - наш ДНС, и хотя по трассировке с циски до него один хоп, запросы до него от pppoe-юзеров ходят через магистрала - 176.56.0.1, а хотелось бы напрямую.

Казалось бы надо просто поправить acl, исключив из него наш ДНС, и тогда трафик до него не будет подпадать под действие route-map:

access-list 102 permit ip 172.21.43.0 0.0.0.255 any
access-list 102 deny   ip any host 212.57.158.61

Но все равно не работает и трассировка до 212.57.158.61 уходит через магистрала :(

Какую-то мелочь забыл?

[zhenya`]

Порядок важен .

Вначале должен быть денай.

ip access-list ext 102

No 20

5 deny...

[sol]

set ip default next-hop 176.56.0.1

[Andrei]

Порядок важен .

Вначале должен быть денай.

ip access-list ext 102

При таком раскладе

access-list 102 deny   ip any host 212.57.158.61
access-list 102 permit ip 172.21.43.0 0.0.0.255 any

трассировка до ДНС 212.57.158.61 вообще не доходит и обрывается на loopback

 

No 20

5 deny...

Сорри, этого не понял.

 

set ip default next-hop 176.56.0.1

Если это применять к

access-list 102 deny   ip any host 212.57.158.61
access-list 102 permit ip 172.21.43.0 0.0.0.255 any

то аналогично - трассировка до ДНС 212.57.158.61 вообще не доходит и обрывается на loopback

 

Если к

access-list 102 permit ip 172.21.43.0 0.0.0.255 any

то все равно уходит к магистралу.

default означает, что если не будет роутов в глобальной таблице маршрутизации информации о сети назначения пакета, то будет отрабатывать наш route-map.

[catalist]

to Andrei - Тебе нада поместить виртуал темплейт в отдельный врф, и там сделать дефолт на магистрала, и на не нада никаких роутмапов!

[catalist]

и если интересно есть вот такой софт для 72 цыски:

c7200-adventerprisek9-mz.152-4.M7.bin

и

c7200p-adventerprisek9-mz.124-24.T6.bin

[Andrei]

to Andrei - Тебе нада поместить виртуал темплейт в отдельный врф, и там сделать дефолт на магистрала, и на не нада никаких роутмапов!

С vrf-ами дела не имел.

А в существующей конфигурации желаемое не сделать?

 

На счет софта: наверное если только c7200-adventerprisek9-mz.152-4.M7.bin.

c7200p-adventerprisek9-mz.124-24.T6.bin - это ж для NPE-2G? У меня-то NPE-1G.

[NikAlexAn]

Из 15 ветки для NPE-G1 с поддержкой ISG у меня лежат c7200-adventerprisek9-mz.152-4.S1.bin и c7200-advipservicesk9-mz.151-3.S4.bin - у меня они не завелись как нам надо было а на эксперименты не было времени.

На просторах инета можно и посвежее найти.

[Andrei]

С софтами ясно, а по конфигу подскажете?

[NikAlexAn]

У Вас acl один и для NAT и для rout-map - лучше разделить наверно.

А на DNS сервере есть маршрут на серую вашу сетку?

 

PS: Сложновато что то советовать не зная схемы сети и текущего конфига.

Изменено 14 ноября, 2016 пользователем NikAlexAn

[Andrei]

У Вас acl один и для NAT и для rout-map - лучше разделить наверно.

А на DNS сервере есть маршрут на серую вашу сетку?

acl один и на НАТ, и на route-map. А в чем смысл их разделать, если они одинаковы? Попробовал для route-map сделать отдельный acl, но с той же сеткой 172.21.43.0/24:

 

access-list 143 deny   ip any host 212.57.158.61
access-list 143 permit ip 172.21.43.0 0.0.0.255 any

route-map nat_to_sovintel permit 50
match ip address 143
set ip default next-hop 176.56.0.1

(или set ip next-hop 176.56.0.1 - не важно) ситуацию это не исправило.

 

С циски default route на ДНС-сервер (ip route 0.0.0.0 0.0.0.0 DNS-server), т.к. там не только ДНС, но и почта, и хостинг, и роутинг отчасти. Но next-hop в route-map на циске - это сразу gateway магистрала.

[NikAlexAn]

Без схемы и конфига всё больше сомнений в необходимости роут-мапа.

Если интерфейс к ДНС прописан на киске и киска является шлюзом для ДНС сервера то роут-мап не нужен на мой взгляд.

Да и пакеты к ДНС можно натить если не нужно знать от кого пришёл пакет.

Не понятно что и как.

 

PS: а вот действие "set ip next-hop" и "set ip default next-hop" достаточно серьёзно отличаются.

В первом случае меняется некст-хоп независимо от существующих маршрутов а во втором только шлюз по умолчанию.

Если все пакеты должны уходить к аплинку и только пакеты на определённый адрес должны отправляться по другому маршруту то логично использовать маршруты.

PBR же применяют когда для маршрутизации нужно использовать не только адрес назначения но и адрес источника или ещё что то что нельзя описать обычными маршрутами.

Изменено 15 ноября, 2016 пользователем NikAlexAn

[Asco]

Для NPE-G1 ни у кого свежее чем c7200-advipservicesk9-mz.122-33.SRE7.bin нет случаем?

Именно из линейки 122-33.SRE, на сиське последний 122-33.SRE15 от осени 2016, но естественно - нет саппорта и спросить вроде не у кого.

[Andrei]

Есть c7200-advipservicesk9-mz.122-33.SRE8.bin