Перейти к содержимому
Калькуляторы

Cisco ASR1001-X и tcp nat трансляции

Коллеги, имеется cisco ASR1001-X, около ~3500 ipoe сессий, совершенно в разное время (ночь, день, час пик или нет) появляются абоненты, у которых ping/tracert ходит, но страницы не открываются. Пo ip nat trans видим у таких абонентов только udp и icmp nat трансляции, а tcp - увы - нет. Сброс сессии абоненту (через clear subscrib) проблему не решает. Часто по прошествию некоторого времени, абонент начинает прекрасно работать. Подскажите в какую сторону копать? Ниже настройки nat и некоторые выводы статистики:

 

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap bpa 
ip nat translation timeout 300
ip nat translation tcp-timeout 180
ip nat translation pptp-timeout 180
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 180
ip nat translation dns-timeout 120
ip nat translation icmp-timeout 30
ip nat translation port-timeout tcp 80 60
ip nat translation port-timeout tcp 8080 180
ip nat translation port-timeout tcp 1600 180
ip nat translation port-timeout tcp 110 180
ip nat translation port-timeout tcp 25 180
ip nat translation max-entries all-host 3000
ip nat pool NAT-NETWORK x.x.x.x x.x.x.x netmask 255.255.255.128
ip nat inside source list ACL-NAT pool NAT-NETWORK overload
ip forward-protocol nd
------------------------------------------------------------
ip access-list extended ACL-NAT
 permit tcp 10.0.0.0 0.255.255.255 any
 permit udp 10.0.0.0 0.255.255.255 any
 permit icmp 10.0.0.0 0.255.255.255 any
Total active translations: 73544 (0 static, 73544 dynamic; 73535 extended)
Outside interfaces:
  TenGigabitEthernet0/0/0.x, TenGigabitEthernet0/0/1.x
Inside interfaces: 
  TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x
  TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x
Hits: 31904493994  Misses: 173326166
Expired translations: 163803292
Dynamic mappings:
-- Inside Source
[Id: 1] access-list ACL-NAT pool NAT-NETWORK refcount 73545
 pool NAT-NETWORK: id 1, netmask 255.255.255.128
	start x.x.x.x end x.x.x.255
	type generic, total addresses 128, allocated 20 (15%), misses 0
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
 All Host Max allowed: 3000
In-to-out drops: 131540521  Out-to-in drops: 1753951
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы смотрел в сторону MTU/MSS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что показывает debug ip nat translations в этот момент?

 

Ну и просто по конфигу:

 

ip nat settings pap bpa  - хинт bpa тут бесполезен, у вас включен Overload, bulk-аллокации портов не работают с overload

ip nat translation timeout 300 - аналогично, бесполезная для overload команда.

ip forward-protocol nd - погуглите и выключите нафиг

ip nat translation max-entries all-host 3000 - это dahua, 3000 трансляций на хост. Пособничаете доморощенным DDOSерам (если только клиенты - не юрики с целыми сетями)

 

Изменено пользователем jffulcrum

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Bpa работает при overload. Зачем оно без оверлоад?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смотреть в сторону подбора рабочего ПО  методом проб и ошибок. ios-xe слит индусам полностью и качество его удручает (особенно nat)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я тоже за софт..

 

плюс добавить  no ip nat service all-algs 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а  у кого какая практика по количеству nat сессий на пользователя?

мы как то обрезали по 500 tcp и 500 udp - жалобы пошли.

подняли до 1000 - все равно остались не довольные.

пока остановились на 3000.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, SUPchik сказал:

Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций.

Очистку nat трансляций делали, к сожалению профита не получили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 hours ago, dsparill said:

Очистку nat трансляций делали, к сожалению профита не получили.

pool NAT-NETWORK: id 1, netmask 255.255.255.128
	start x.x.x.x end x.x.x.255

Попробуйте конец диапазона изменить на х.х.х.254

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас