mr-who Опубликовано 19 октября, 2017 · Жалоба Доброго времени суток. Прошу помощи у сообщества, свои мозги все уже сломал. Есть Cisco ASR1001-x в качестве BRAS с ISG. На циске настроен cg-nat для абонов физиков. Также через эту циску маршрутизируются живые адреса юриков. Проблема в том, что на живых адресах не проходят GRE пакеты, если с интерфейса глядящего во вне убрать ip nat outside - то все начинает работать, но естессно отваливается NAT PBR прикрутить не дает, ругается на ip subscriber Разводить в разные VRF тоже не хочется, тк будут проблемы с биллингом. ! interface TenGigabitEthernet0/0/0.55 description BGP-Uplink encapsulation dot1Q 55 ip address XXX.XXX.XXX.28 255.255.255.240 no ip unreachables ip nat outside ! interface TenGigabitEthernet0/0/1.301 description BRAS-B32-L3 encapsulation dot1Q 301 ip dhcp relay information trusted ip address 172.16.200.1 255.255.255.252 ip nat inside ip ospf network point-to-point service-policy type control ISG-CUSTOMERS-POLICY ip subscriber routed initiator unclassified ip-address initiator dhcp no ip virtual-reassembly ! ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap bpa ip nat translation timeout 300 ip nat translation tcp-timeout 1800 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 10 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 360 ip nat translation port-timeout tcp 8080 360 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 5000 ip nat pool NAT-NETWORK XXX.XXX.XXX.128 XXX.XXX.XXX.255 netmask 255.255.255.128 ip nat inside source list ACL-NAT pool NAT-NETWORK overload Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 19 октября, 2017 · Жалоба живые - реальные чтоли? что написано в ACL-NAT ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr-who Опубликовано 19 октября, 2017 · Жалоба 1 час назад, ShyLion сказал: живые - реальные чтоли? что написано в ACL-NAT ? ip access-list extended ACL-NAT permit ip 10.0.0.0 0.255.255.255 any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wicked Опубликовано 19 октября, 2017 · Жалоба 3 часа назад, mr-who сказал: PBR прикрутить не дает, ругается на ip subscriber Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 19 октября, 2017 · Жалоба Если через интерфейс с настроенным NAT идет ненатируемый трафик, то производительность роутера падает радикально Наш реальный пример, ESP100, легко натит 20гбит трафика, но когда ненатируемый трафик вырос до 400Мбит (мегабит!!!) то загрузка QFP скачкообразно увеличивается до 100% и трафик массово дропается, это все описано в документации в виде предупреждения что так делать не стоит. Одумайтесь пока не поздно и пересмотрите дизайн сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr-who Опубликовано 19 октября, 2017 · Жалоба 51 минуту назад, wicked сказал: Можно отключить на интерфейсе все, связанное с ISG, прописать PBR, и вернуть обратно ISG, проверено. Сработало, спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...