Jump to content
Калькуляторы

ASR1001-x CG-NAT и GRE

Доброго времени суток.

Прошу помощи у сообщества, свои мозги все уже сломал.

Есть Cisco ASR1001-x  в качестве BRAS  с ISG. 

На циске настроен cg-nat для абонов физиков. 

Также через эту циску маршрутизируются живые адреса юриков.

 

Проблема в том, что на живых адресах не проходят GRE пакеты, если с интерфейса глядящего во вне убрать ip nat outside - то все начинает работать, но естессно отваливается NAT

PBR прикрутить не дает, ругается на ip subscriber

Разводить в разные VRF тоже не хочется, тк будут проблемы с биллингом.

 

!
interface TenGigabitEthernet0/0/0.55
 description BGP-Uplink
 encapsulation dot1Q 55
 ip address XXX.XXX.XXX.28 255.255.255.240
 no ip unreachables
 ip nat outside
!
interface TenGigabitEthernet0/0/1.301
 description BRAS-B32-L3
 encapsulation dot1Q 301
 ip dhcp relay information trusted
 ip address 172.16.200.1 255.255.255.252
 ip nat inside
 ip ospf network point-to-point
 service-policy type control ISG-CUSTOMERS-POLICY
 ip subscriber routed
  initiator unclassified ip-address
  initiator dhcp
 no ip virtual-reassembly
!
ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap bpa
ip nat translation timeout 300
ip nat translation tcp-timeout 1800
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 10
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation port-timeout tcp 80 360
ip nat translation port-timeout tcp 8080 360
ip nat translation port-timeout tcp 1600 180
ip nat translation port-timeout tcp 110 180
ip nat translation port-timeout tcp 25 180
ip nat translation max-entries all-host 5000
ip nat pool NAT-NETWORK XXX.XXX.XXX.128 XXX.XXX.XXX.255 netmask 255.255.255.128
ip nat inside source list ACL-NAT pool NAT-NETWORK overload

 

Share this post


Link to post
Share on other sites
1 час назад, ShyLion сказал:

живые - реальные чтоли?

что написано в ACL-NAT ?

ip access-list extended ACL-NAT
 permit ip 10.0.0.0 0.255.255.255 any

Share this post


Link to post
Share on other sites
3 часа назад, mr-who сказал:

PBR прикрутить не дает, ругается на ip subscriber

 

Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено.

Share this post


Link to post
Share on other sites

Если через интерфейс с настроенным NAT идет ненатируемый трафик, то производительность роутера падает радикально

Наш реальный пример, ESP100, легко натит 20гбит трафика, но когда ненатируемый трафик вырос до 400Мбит (мегабит!!!) то загрузка QFP скачкообразно увеличивается до 100% и трафик массово дропается, это все описано в документации в виде предупреждения что так делать не стоит. Одумайтесь пока не поздно и пересмотрите дизайн сети

Share this post


Link to post
Share on other sites
51 минуту назад, wicked сказал:

Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено.

Сработало, спасибо!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now