Jump to content
Калькуляторы

Cisco ASR1001-X и tcp nat трансляции

Reply to this topic

dsparill   

dsparill
Posted

Коллеги, имеется cisco ASR1001-X, около ~3500 ipoe сессий, совершенно в разное время (ночь, день, час пик или нет) появляются абоненты, у которых ping/tracert ходит, но страницы не открываются. Пo ip nat trans видим у таких абонентов только udp и icmp nat трансляции, а tcp - увы - нет. Сброс сессии абоненту (через clear subscrib) проблему не решает. Часто по прошествию некоторого времени, абонент начинает прекрасно работать. Подскажите в какую сторону копать? Ниже настройки nat и некоторые выводы статистики:

  

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap bpa 
ip nat translation timeout 300
ip nat translation tcp-timeout 180
ip nat translation pptp-timeout 180
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 180
ip nat translation dns-timeout 120
ip nat translation icmp-timeout 30
ip nat translation port-timeout tcp 80 60
ip nat translation port-timeout tcp 8080 180
ip nat translation port-timeout tcp 1600 180
ip nat translation port-timeout tcp 110 180
ip nat translation port-timeout tcp 25 180
ip nat translation max-entries all-host 3000
ip nat pool NAT-NETWORK x.x.x.x x.x.x.x netmask 255.255.255.128
ip nat inside source list ACL-NAT pool NAT-NETWORK overload
ip forward-protocol nd
------------------------------------------------------------
ip access-list extended ACL-NAT
 permit tcp 10.0.0.0 0.255.255.255 any
 permit udp 10.0.0.0 0.255.255.255 any
 permit icmp 10.0.0.0 0.255.255.255 any
Total active translations: 73544 (0 static, 73544 dynamic; 73535 extended)
Outside interfaces:
  TenGigabitEthernet0/0/0.x, TenGigabitEthernet0/0/1.x
Inside interfaces: 
  TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x
  TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x
Hits: 31904493994  Misses: 173326166
Expired translations: 163803292
Dynamic mappings:
-- Inside Source
[Id: 1] access-list ACL-NAT pool NAT-NETWORK refcount 73545
 pool NAT-NETWORK: id 1, netmask 255.255.255.128
	start x.x.x.x end x.x.x.255
	type generic, total addresses 128, allocated 20 (15%), misses 0
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
 All Host Max allowed: 3000
In-to-out drops: 131540521  Out-to-in drops: 1753951
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2)

 

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted (edited)

Что показывает debug ip nat translations в этот момент?

 

Ну и просто по конфигу:

 

ip nat settings pap bpa  - хинт bpa тут бесполезен, у вас включен Overload, bulk-аллокации портов не работают с overload

ip nat translation timeout 300 - аналогично, бесполезная для overload команда.

ip forward-protocol nd - погуглите и выключите нафиг

ip nat translation max-entries all-host 3000 - это dahua, 3000 трансляций на хост. Пособничаете доморощенным DDOSерам (если только клиенты - не юрики с целыми сетями)

 

Edited by jffulcrum

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted

Смотреть в сторону подбора рабочего ПО  методом проб и ошибок. ios-xe слит индусам полностью и качество его удручает (особенно nat)

Share this post

Link to post
Share on other sites

SUPchik   

SUPchik
Posted

Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций.

Share this post

Link to post
Share on other sites

MrNv   

MrNv
Posted

а  у кого какая практика по количеству nat сессий на пользователя?

мы как то обрезали по 500 tcp и 500 udp - жалобы пошли.

подняли до 1000 - все равно остались не довольные.

пока остановились на 3000.

Share this post

Link to post
Share on other sites

dsparill   

dsparill
Posted
2 часа назад, SUPchik сказал:

Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций.

Очистку nat трансляций делали, к сожалению профита не получили.

Share this post

Link to post
Share on other sites

SUPchik   

SUPchik
Posted
3 hours ago, dsparill said:

Очистку nat трансляций делали, к сожалению профита не получили. 

pool NAT-NETWORK: id 1, netmask 255.255.255.128
	start x.x.x.x end x.x.x.255

Попробуйте конец диапазона изменить на х.х.х.254

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...