mr-who Posted October 19, 2017 Posted October 19, 2017 Доброго времени суток. Прошу помощи у сообщества, свои мозги все уже сломал. Есть Cisco ASR1001-x в качестве BRAS с ISG. На циске настроен cg-nat для абонов физиков. Также через эту циску маршрутизируются живые адреса юриков. Проблема в том, что на живых адресах не проходят GRE пакеты, если с интерфейса глядящего во вне убрать ip nat outside - то все начинает работать, но естессно отваливается NAT PBR прикрутить не дает, ругается на ip subscriber Разводить в разные VRF тоже не хочется, тк будут проблемы с биллингом. ! interface TenGigabitEthernet0/0/0.55 description BGP-Uplink encapsulation dot1Q 55 ip address XXX.XXX.XXX.28 255.255.255.240 no ip unreachables ip nat outside ! interface TenGigabitEthernet0/0/1.301 description BRAS-B32-L3 encapsulation dot1Q 301 ip dhcp relay information trusted ip address 172.16.200.1 255.255.255.252 ip nat inside ip ospf network point-to-point service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address initiator dhcp no ip virtual-reassembly ! ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap bpa ip nat translation timeout 300 ip nat translation tcp-timeout 1800 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 10 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 360 ip nat translation port-timeout tcp 8080 360 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 5000 ip nat pool NAT-NETWORK XXX.XXX.XXX.128 XXX.XXX.XXX.255 netmask 255.255.255.128 ip nat inside source list ACL-NAT pool NAT-NETWORK overload Вставить ник Quote
ShyLion Posted October 19, 2017 Posted October 19, 2017 живые - реальные чтоли? что написано в ACL-NAT ? Вставить ник Quote
mr-who Posted October 19, 2017 Author Posted October 19, 2017 1 час назад, ShyLion сказал: живые - реальные чтоли? что написано в ACL-NAT ? ip access-list extended ACL-NAT permit ip 10.0.0.0 0.255.255.255 any Вставить ник Quote
wicked Posted October 19, 2017 Posted October 19, 2017 3 часа назад, mr-who сказал: PBR прикрутить не дает, ругается на ip subscriber Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено. Вставить ник Quote
zi_rus Posted October 19, 2017 Posted October 19, 2017 Если через интерфейс с настроенным NAT идет ненатируемый трафик, то производительность роутера падает радикально Наш реальный пример, ESP100, легко натит 20гбит трафика, но когда ненатируемый трафик вырос до 400Мбит (мегабит!!!) то загрузка QFP скачкообразно увеличивается до 100% и трафик массово дропается, это все описано в документации в виде предупреждения что так делать не стоит. Одумайтесь пока не поздно и пересмотрите дизайн сети Вставить ник Quote
mr-who Posted October 19, 2017 Author Posted October 19, 2017 51 минуту назад, wicked сказал: Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено. Сработало, спасибо! Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.