dsparill Опубликовано 21 июня, 2018 · Жалоба Коллеги, имеется cisco ASR1001-X, около ~3500 ipoe сессий, совершенно в разное время (ночь, день, час пик или нет) появляются абоненты, у которых ping/tracert ходит, но страницы не открываются. Пo ip nat trans видим у таких абонентов только udp и icmp nat трансляции, а tcp - увы - нет. Сброс сессии абоненту (через clear subscrib) проблему не решает. Часто по прошествию некоторого времени, абонент начинает прекрасно работать. Подскажите в какую сторону копать? Ниже настройки nat и некоторые выводы статистики: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap bpa ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation pptp-timeout 180 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 30 ip nat translation port-timeout tcp 80 60 ip nat translation port-timeout tcp 8080 180 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 3000 ip nat pool NAT-NETWORK x.x.x.x x.x.x.x netmask 255.255.255.128 ip nat inside source list ACL-NAT pool NAT-NETWORK overload ip forward-protocol nd ------------------------------------------------------------ ip access-list extended ACL-NAT permit tcp 10.0.0.0 0.255.255.255 any permit udp 10.0.0.0 0.255.255.255 any permit icmp 10.0.0.0 0.255.255.255 any Total active translations: 73544 (0 static, 73544 dynamic; 73535 extended) Outside interfaces: TenGigabitEthernet0/0/0.x, TenGigabitEthernet0/0/1.x Inside interfaces: TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x Hits: 31904493994 Misses: 173326166 Expired translations: 163803292 Dynamic mappings: -- Inside Source [Id: 1] access-list ACL-NAT pool NAT-NETWORK refcount 73545 pool NAT-NETWORK: id 1, netmask 255.255.255.128 start x.x.x.x end x.x.x.255 type generic, total addresses 128, allocated 20 (15%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 3000 In-to-out drops: 131540521 Out-to-in drops: 1753951 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 21 июня, 2018 · Жалоба Я бы смотрел в сторону MTU/MSS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 21 июня, 2018 (изменено) · Жалоба Что показывает debug ip nat translations в этот момент? Ну и просто по конфигу: ip nat settings pap bpa - хинт bpa тут бесполезен, у вас включен Overload, bulk-аллокации портов не работают с overload ip nat translation timeout 300 - аналогично, бесполезная для overload команда. ip forward-protocol nd - погуглите и выключите нафиг ip nat translation max-entries all-host 3000 - это dahua, 3000 трансляций на хост. Пособничаете доморощенным DDOSерам (если только клиенты - не юрики с целыми сетями) Изменено 21 июня, 2018 пользователем jffulcrum Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 21 июня, 2018 · Жалоба Bpa работает при overload. Зачем оно без оверлоад? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июня, 2018 · Жалоба Смотреть в сторону подбора рабочего ПО методом проб и ошибок. ios-xe слит индусам полностью и качество его удручает (особенно nat) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUPchik Опубликовано 22 июня, 2018 · Жалоба Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 июня, 2018 · Жалоба я тоже за софт.. плюс добавить no ip nat service all-algs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 22 июня, 2018 · Жалоба а у кого какая практика по количеству nat сессий на пользователя? мы как то обрезали по 500 tcp и 500 udp - жалобы пошли. подняли до 1000 - все равно остались не довольные. пока остановились на 3000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsparill Опубликовано 22 июня, 2018 · Жалоба 2 часа назад, SUPchik сказал: Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций. Очистку nat трансляций делали, к сожалению профита не получили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUPchik Опубликовано 22 июня, 2018 · Жалоба 3 hours ago, dsparill said: Очистку nat трансляций делали, к сожалению профита не получили. pool NAT-NETWORK: id 1, netmask 255.255.255.128 start x.x.x.x end x.x.x.255 Попробуйте конец диапазона изменить на х.х.х.254 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...