mr-who Posted October 19, 2017 Доброго времени суток. Прошу помощи у сообщества, свои мозги все уже сломал. Есть Cisco ASR1001-x в качестве BRAS с ISG. На циске настроен cg-nat для абонов физиков. Также через эту циску маршрутизируются живые адреса юриков. Проблема в том, что на живых адресах не проходят GRE пакеты, если с интерфейса глядящего во вне убрать ip nat outside - то все начинает работать, но естессно отваливается NAT PBR прикрутить не дает, ругается на ip subscriber Разводить в разные VRF тоже не хочется, тк будут проблемы с биллингом. ! interface TenGigabitEthernet0/0/0.55 description BGP-Uplink encapsulation dot1Q 55 ip address XXX.XXX.XXX.28 255.255.255.240 no ip unreachables ip nat outside ! interface TenGigabitEthernet0/0/1.301 description BRAS-B32-L3 encapsulation dot1Q 301 ip dhcp relay information trusted ip address 172.16.200.1 255.255.255.252 ip nat inside ip ospf network point-to-point service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address initiator dhcp no ip virtual-reassembly ! ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap bpa ip nat translation timeout 300 ip nat translation tcp-timeout 1800 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 10 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 360 ip nat translation port-timeout tcp 8080 360 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 5000 ip nat pool NAT-NETWORK XXX.XXX.XXX.128 XXX.XXX.XXX.255 netmask 255.255.255.128 ip nat inside source list ACL-NAT pool NAT-NETWORK overload Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 19, 2017 живые - реальные чтоли? что написано в ACL-NAT ? Share this post Link to post Share on other sites More sharing options...
mr-who Posted October 19, 2017 1 час назад, ShyLion сказал: живые - реальные чтоли? что написано в ACL-NAT ? ip access-list extended ACL-NAT permit ip 10.0.0.0 0.255.255.255 any Share this post Link to post Share on other sites More sharing options...
wicked Posted October 19, 2017 3 часа назад, mr-who сказал: PBR прикрутить не дает, ругается на ip subscriber Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено. Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 19, 2017 Если через интерфейс с настроенным NAT идет ненатируемый трафик, то производительность роутера падает радикально Наш реальный пример, ESP100, легко натит 20гбит трафика, но когда ненатируемый трафик вырос до 400Мбит (мегабит!!!) то загрузка QFP скачкообразно увеличивается до 100% и трафик массово дропается, это все описано в документации в виде предупреждения что так делать не стоит. Одумайтесь пока не поздно и пересмотрите дизайн сети Share this post Link to post Share on other sites More sharing options...
mr-who Posted October 19, 2017 51 минуту назад, wicked сказал: Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено. Сработало, спасибо! Share this post Link to post Share on other sites More sharing options...
