kartashevav Posted March 9, 2017 Posted March 9, 2017 (edited) Коллеги, объясните, пожалуйста, почему так происходит Cisco ASR1001-X IOS XE Version 03.16.02.S запустил CG-NAT ip local pool IP-POOL1 100.64.1.2 100.64.31.254 ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 bpa set-size 512 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool NAT-POOL x.x.205.64 x.x.205.127 prefix-length 26 ip nat inside source list nat-cust pool NAT-POOL overload пользователи PPPOE, online 348 по моим расчетам должно быть утилизировано всего 12 адресов из пула НАТ, поскольку ограничил 30 серых на 1 белый по факту так и вижу sh platform hardware qfp active feature nat datapath pap laddrpergaddr gaddr х.х.205.64 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.65 vrf 0 laddr-per-gaddr 27 mapid 1 gaddr х.х.205.66 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.67 vrf 0 laddr-per-gaddr 29 mapid 1 gaddr х.х.205.70 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.71 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.72 vrf 0 laddr-per-gaddr 29 mapid 1 gaddr х.х.205.73 vrf 0 laddr-per-gaddr 17 mapid 1 gaddr х.х.205.74 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.75 vrf 0 laddr-per-gaddr 27 mapid 1 gaddr х.х.205.76 vrf 0 laddr-per-gaddr 30 mapid 1 gaddr х.х.205.80 vrf 0 laddr-per-gaddr 15 mapid 1 однако sh ip nat statistics Hits: 5182567677 Misses: 30919887 Expired translations: 31915204 Dynamic mappings: -- Inside Source [id: 1] access-list nat-cust pool NAT-POOL refcount 28870 pool NAT-POOL: id 1, netmask 255.255.255.192 start x.x.205.64 end x.x.205.127 type generic, total addresses 64, allocated 31 (48%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 2048 In-to-out drops: 949840 Out-to-in drops: 1451 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 sh ip nat pool name NAT-POOL NAT Pool Statistics Pool name NAT-POOL, id 1 Assigned Available Addresses 30 46 UDP Low Ports 0 0 TCP Low Ports 0 0 UDP High Ports 324 9252 TCP High Ports 386 9190 (Low ports are less than 1024. High ports are greater than or equal to 1024.) утилизация пула почти 50% не понимаю почему так происходит? так и должно быть? может я с таймаутами что-то намудрил? и еще смущают Misses: 30919887 и In-to-out drops: 949840 в статистике, жалоб от пользователей не слышно, но хотелось бы понять каков порядок цифр должен быть в этих параметрах первый опыт настройки cgnat, прошу помощи у знающих. Спасибо. Edited March 9, 2017 by kartashevav Вставить ник Quote
dima89 Posted March 9, 2017 Posted March 9, 2017 (edited) nat на asr - боль. может не работать просто "потому что идите ***й, вот почему". Edited March 9, 2017 by dima89 Вставить ник Quote
ShyLion Posted March 9, 2017 Posted March 9, 2017 nat на asr - боль. может не работать просто "потому что идите ***й, вот почему". Оно со стороны абонента видно, что что-то не работает? Есть реальные жалобы? ip nat settings pap limit 30 bpa set-size 512 BPA у меня использовать не получилось - начались сходу жалобы. Просто PAP без BPA работает, жалоб нет. Вставить ник Quote
dima89 Posted March 9, 2017 Posted March 9, 2017 со стороны абонента может выражаться в том, что перестают создаваться трансляции, например. а перестают создаваться - потому что забит пул. а пул забит, потому что ip nat translation max-entries all-host не работает. Вставить ник Quote
kartashevav Posted March 9, 2017 Author Posted March 9, 2017 абоненты до NAT работали за реальными адресами, пока жалоб нет жду комментарии cisco-водов, может есть у кого опыт cgnat на asr. nat на asr - боль. может не работать просто "потому что идите ***й, вот почему". Оно со стороны абонента видно, что что-то не работает? Есть реальные жалобы? ip nat settings pap limit 30 bpa set-size 512 BPA у меня использовать не получилось - начались сходу жалобы. Просто PAP без BPA работает, жалоб нет. BPA работает, до продакшена тестил на стенде, причем удалось нагенерить трафика до полной утилизации всех выделенных портов на IP, к тому же объем логов при BPA снижается в разы. Вставить ник Quote
ShyLion Posted March 9, 2017 Posted March 9, 2017 BPA работает, до продакшена тестил на стенде, причем удалось нагенерить трафика до полной утилизации всех выделенных портов на IP, к тому же объем логов при BPA снижается в разы. У меня очень быстро стали появляться ошибки исчерпания пула и жалобы. Даже кейс на циске создавал. Пришли к тому, что выключили эту мегафичу. Объем логов трансляций на порядок меньше нетфлоу самих потоков, поэтому не критично. Вставить ник Quote
kartashevav Posted March 9, 2017 Author Posted March 9, 2017 BPA работает, до продакшена тестил на стенде, причем удалось нагенерить трафика до полной утилизации всех выделенных портов на IP, к тому же объем логов при BPA снижается в разы. У меня очень быстро стали появляться ошибки исчерпания пула и жалобы. Даже кейс на циске создавал. Пришли к тому, что выключили эту мегафичу. Объем логов трансляций на порядок меньше нетфлоу самих потоков, поэтому не критично. а какой софт на ASR был? Вставить ник Quote
ShyLion Posted March 9, 2017 Posted March 9, 2017 а какой софт на ASR был? Cisco IOS XE Software, Version 03.13.02.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S2, RELEASE SOFTWARE (fc3) Вот что мне ответил TAC I’d suggest removing BPA unless you know that you need it. If not, then I’d suggest you to reduce the port-set size, minimum value is 64. The command would be as : - ip nat settings pap bpa set-size 64 Regards, Pawan Вставить ник Quote
kartashevav Posted March 10, 2017 Author Posted March 10, 2017 продолжаю эксперименты) убрал bpa, оставил только pap ip nat settings pap limit 30 утилизация пула в пике 60%, тоесть 40 адресов на 360 пользователей откуда оно берется? Вставить ник Quote
ShyLion Posted March 13, 2017 Posted March 13, 2017 Ну захотели пользователи один и тот-же соурс порт, 123 например очень популярный. Она сперва старается соурс-порт удовлетворить. Потом заполняет уже как придется. ИМХО. show platform hardware qfp active feature nat datapath stats чего кажет? утилизация пула в пике 60%, тоесть 40 адресов на 360 пользователей т.е. то, что 40 адресов занято еще не значит что все соурс-порты заняты и не будут использованы. Вставить ник Quote
kartashevav Posted March 13, 2017 Author Posted March 13, 2017 show platform hardware qfp active feature nat datapath stats non_extended 14 entry_timeouts 369 statics 0 static net 0 hits 64970 misses 392 non_natted 27916542 Proxy stats: ipc_retry_fail 0 cfg_rcvd 3275 cfg_rsp 3281 Subcode #7 PARSE_ERR 6521 Subcode #14 SESS_CREATE_FAIL 1516137 Subcode #18 ALLOC_ADDR_PORT_FAIL 4688 Subcode #29 LIMIT 1516137 Subcode #38 PAP_FAIL 4271 Subcode #41 BPA_MALLOC_FAIL 417 Вставить ник Quote
ShyLion Posted March 13, 2017 Posted March 13, 2017 (edited) А за какой период? Попробуй скинуть счетчики и не экспериментировать сколько-то времени. Subcode #6 ALG_PKT_SANITY_FAIL 85 Subcode #7 PARSE_ERR 17722 Subcode #14 SESS_CREATE_FAIL 2370 Subcode #18 ALLOC_ADDR_PORT_FAIL 31 Subcode #29 LIMIT 2370 Subcode #38 PAP_FAIL 31 Аптайм неделя (проблемы с питанием были на узле, аппарат нормально работал, стабильно), пользюков 1200 Edited March 13, 2017 by ShyLion Вставить ник Quote
kartashevav Posted March 13, 2017 Author Posted March 13, 2017 почистил NAT статистику, и drop-subcodes NAT сейчас с такими настройками ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 360 пользователей 40 адресов из пула в пике смотрим Вставить ник Quote
ShyLion Posted March 13, 2017 Posted March 13, 2017 До включения ПАП пользователи жаловались на то что сбербанк-онлайн у них глючил периодически. Видимо не нравилось ему, что с разных адресов пользователь ломился в пределах одной прикладной сессии. После включения PAP жалобы прекратились. Вставить ник Quote
buckethead Posted March 13, 2017 Posted March 13, 2017 Это достаточно очевидно, и аффектит не только банк-клиенты. PAP очень нужная вещь. Вставить ник Quote
kartashevav Posted March 13, 2017 Author Posted March 13, 2017 поэтому я сразу делал с PAP, а для экономии объема логов еще и с BPA, но в ходе экспериментов bpa выключил, размер логов без bpa в среднем 30 Мбайт/сутки в формате netflow, это 360 пользователей на днях переведу еще порядка 100 пользователей за NAT и увеличу пул до /24 буду наблюдать дальше Вставить ник Quote
kartashevav Posted March 16, 2017 Author Posted March 16, 2017 продолжаю наблюдения добавил 100 пользователей и расширил пул до /24, теперь online 485 в пике, настройки NAT остались прежние ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 172.16.5.26 9995 source TenGigabitEthernet0/0/0.11 ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool NAT-POOL х.х.204.1 х.х.204.254 prefix-length 24 ip nat inside source list nat-cust pool NAT-POOL overload в пике 40к трансляций и утилизируется 30 адресов из пула жалоб от пользователей не поступает, может так и должно быть? Вставить ник Quote
ShyLion Posted March 16, 2017 Posted March 16, 2017 У меня пул в четыре раза меньше и 1000 пользователей и никто не жалуется :) Вставить ник Quote
kartashevav Posted March 16, 2017 Author Posted March 16, 2017 У меня пул в четыре раза меньше и 1000 пользователей и никто не жалуется :) 1000 это в пике? скажи пожалуйста сколько адресов утилизируется и какие настройки NAT? Вставить ник Quote
ShyLion Posted March 16, 2017 Posted March 16, 2017 Соврал, не 64, а 128 адресов в пуле, забыл что добавлял. [id: 1] access-list nat pool nat_pool refcount 78959 pool nat_pool: id 1, netmask 255.255.255.0 start x.x.x.65 end x.x.x.191 type generic, total addresses 127, allocated 52 (40%), misses 0 asr-1002x-621#show subscriber session | count .* Number of lines which match regexp = 1248 asr-1002x-621#show platform hardware qfp active feature nat datapath pap | count .* Number of lines which match regexp = 1013 ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination x.x.x.8 8889 source Loopback0 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2000 no ip nat service sip tcp port 5060 no ip nat service sip udp port 5060 ip nat pool nat_pool x.x.x.65 x.x.x.191 netmask 255.255.255.0 ip nat inside source list nat pool nat_pool overload Вставить ник Quote
kartashevav Posted March 17, 2017 Author Posted March 17, 2017 (edited) Интересная штука получается смотрим show platform hardware qfp active feature nat datapath pool | i x.x.204.21 addr x.x.204.21 refcnt 4 flags 0x0 vrfid 0 next 0x0 4 трансляций на адресе x.x.204.21 show platform hardware qfp active feature nat datapath bind | i x.x.204.21 bind 0x2f3e3340 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 6 domain 0 create time 1189523 refcnt 1 mask 0x2ef46c60 flags 20004800 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2f43f500 oaddr 100.64.22.133 taddr x.x.204.21 oport 54445 tport 54445 vrfid 0 tableid 0 proto 17 domain 0 create time 1187135 refcnt 1 mask 0x2ef46c60 flags 0 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229837 mibp 0x0 rg 0nak_retry 0 bind 0x2ef46c60 oaddr 100.64.22.133 taddr x.x.204.21 oport 0 tport 0 vrfid 0 tableid 0 proto 0 domain 0 create time 1128276 refcnt 3 mask 0x0 flags 0 timeout 2 ifhandle 162 wlan_info 0x0 flags 0x0 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229774 mibp 0x0 rg 0nak_retry 0 bind 0x2f374300 oaddr 100.64.22.133 taddr x.x.204.21 oport 143 tport 143 vrfid 0 tableid 0 proto 6 domain 0 create time 1229836 refcnt 1 mask 0x2ef46c60 flags 20004000 timeout 60 ifhandle 29 wlan_info 0x0 flags 0x1000000 mapping 0x2c5ccdc0 cp_mapping_id 1 limit_type 4 last_use_ts 1229848 mibp 0x0 rg 0nak_retry 0 sh ip nat translations | i x.x.204.21 tcp x.x.204.21:54445 100.64.22.133:54445 --- --- udp x.x.204.21:54445 100.64.22.133:54445 --- --- --- x.x.204.21 100.64.22.133 --- --- tcp x.x.204.21:143 100.64.22.133:143 --- --- вроде все сходится, НО show platform hardware qfp active feature nat datapath pap laddrpergaddr | i x.x.204.21 в РАР этого адреса нет и вообще sh users | i 100.64.22.133 онлайн юзера нет с таким ИПшником вот они адреса, которые утилизаруются сверх PAP Это типа если пользователь некорректно разорвал сессию и трансляции не освободились, то они и висят и их долбят снаружи? или просто бага? где-то на форуме проскакивала инфа, уже не найду Edited March 20, 2017 by kartashevav Вставить ник Quote
Chai Posted February 7, 2021 Posted February 7, 2021 Коллеги, оказалось, что опция ip nat settings pap limit не на всех устройствах циско есть. Cisco IOS Software, 3700 Software (C3725-ADVIPSERVICESK9-M), Version 12.4(3) - опции settings отсутствует. Возникает проблема - а как тогда ограничить количество адресов трансляций на один адрес из публичного пула? Вставить ник Quote
semop Posted January 29, 2025 Posted January 29, 2025 Здравствуйте. Поделитесь пожалуйста рабочим конфгом для цыски ASR для логирования НАТа по 263 шаблону. Сейчас так сконфигурено: Абоны получают IP на SE600, там средствами PBR бегут на ASR, где НАТятся. Конфиг АСР: flow record FLOW-RECORD match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port collect interface output collect flow sampler collect ipv4 ttl minimum collect ipv4 ttl maximum collect transport tcp flags collect routing destination as collect timestamp sys-uptime first collect timestamp sys-uptime last ! ! flow exporter FLOW-ASR destination 10.252.1.2 source TenGigabitEthernet0/0/0.3904 transport udp 1532 ! ! flow monitor FLOW-monitor exporter FLOW-ASR cache timeout active 60 record FLOW-RECORD ! ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 source TenGigabitEthernet0/0/0.3904 ip nat log translations flow-export v9 vrf 0 on ip nat translation timeout 1800 ip nat translation tcp-timeout 300 ip nat translation pptp-timeout 1000 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2048 ip nat pool nat-pool x.x.x.x y.y.y.y prefix-length 29 ip nat inside source list 100 pool nat-pool overload ! interface TenGigabitEthernet0/0/0.3906 description TO_FLOW_collector encapsulation dot1Q 3906 ip address 10.252.1.1 255.255.255.252 ! interface TenGigabitEthernet0/0/0.3904 description p2p_ASR-SE_for_NAT encapsulation dot1Q 3904 ip address 10.251.1.2 255.255.255.252 ip nat inside ip flow monitor FLOW-monitor input ip flow monitor FLOW-monitor output ! interface TenGigabitEthernet0/0/0.3905 description INET encapsulation dot1Q 3905 ip address Y.Y.Y.Y 255.255.255.252 ip nat outside При таком конфгие льются 262 и 264 шаблоны (верхний конфг flow). А 263 шаблон (который ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 source TenGigabitEthernet0/0/0.3904 - не льется) ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 - так тоже не льется ip nat log translations flow-export v9 udp destination 10.252.1.2 1532 source TenGigabitEthernet0/0/0.3906 - тоже не льется Вопрос: Что указывается в соурсе логирования НАТа? Интерфейс коллектора? Интерфейс абонентов? В описании вообще нет про это ничего) Можно с ним, можно без него. А как правильно?) Читал соседнюю тему, там был баг у цыски. С какими то костылями в виде маршрутов, чтоб заработал V9 Так и не понял зачем и куда его заворачивать. Вставить ник Quote
nixx Posted January 29, 2025 Posted January 29, 2025 (edited) укажите в destination хотя бы разные порты для обычных flows и для NEL, чтобы видеть, какой поток реально льется с ната, и льется ли вообще в качестве source можно вообще ничего не указывать, польется с того интерфейса, через который идет маршрут на destination (в вашем случае 3906, видимо) у меня все работает вот так interface GigabitEthernet0/0/0.130 encapsulation dot1Q 130 vrf forwarding Mgmt-intf-2 ip address 172.20.10.100 255.255.255.0 ip nat log translations flow-export v9 udp destination 172.20.10.20 9995 vrf Mgmt-intf-2 где vrf - это служебная подсеть биллинга, отделенная от абонентов, чтобы не лазили. работать будет и без указания vrf, это мои заморочки с закрыванием ненужного. ps: на всякий случай - то, что вы конфигурите в flow record, на NEL не влияет никак. Edited January 29, 2025 by nixx Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.