Перейти к содержимому
Калькуляторы

Cisco ASR1001-X и tcp nat трансляции

Ответить

dsparill   

dsparill
Опубликовано

Коллеги, имеется cisco ASR1001-X, около ~3500 ipoe сессий, совершенно в разное время (ночь, день, час пик или нет) появляются абоненты, у которых ping/tracert ходит, но страницы не открываются. Пo ip nat trans видим у таких абонентов только udp и icmp nat трансляции, а tcp - увы - нет. Сброс сессии абоненту (через clear subscrib) проблему не решает. Часто по прошествию некоторого времени, абонент начинает прекрасно работать. Подскажите в какую сторону копать? Ниже настройки nat и некоторые выводы статистики:

  

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap bpa 
ip nat translation timeout 300
ip nat translation tcp-timeout 180
ip nat translation pptp-timeout 180
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 180
ip nat translation dns-timeout 120
ip nat translation icmp-timeout 30
ip nat translation port-timeout tcp 80 60
ip nat translation port-timeout tcp 8080 180
ip nat translation port-timeout tcp 1600 180
ip nat translation port-timeout tcp 110 180
ip nat translation port-timeout tcp 25 180
ip nat translation max-entries all-host 3000
ip nat pool NAT-NETWORK x.x.x.x x.x.x.x netmask 255.255.255.128
ip nat inside source list ACL-NAT pool NAT-NETWORK overload
ip forward-protocol nd
------------------------------------------------------------
ip access-list extended ACL-NAT
 permit tcp 10.0.0.0 0.255.255.255 any
 permit udp 10.0.0.0 0.255.255.255 any
 permit icmp 10.0.0.0 0.255.255.255 any
Total active translations: 73544 (0 static, 73544 dynamic; 73535 extended)
Outside interfaces:
  TenGigabitEthernet0/0/0.x, TenGigabitEthernet0/0/1.x
Inside interfaces: 
  TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x
  TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x
Hits: 31904493994  Misses: 173326166
Expired translations: 163803292
Dynamic mappings:
-- Inside Source
[Id: 1] access-list ACL-NAT pool NAT-NETWORK refcount 73545
 pool NAT-NETWORK: id 1, netmask 255.255.255.128
	start x.x.x.x end x.x.x.255
	type generic, total addresses 128, allocated 20 (15%), misses 0
nat-limit statistics:
 max entry: max allowed 0, used 0, missed 0
 All Host Max allowed: 3000
In-to-out drops: 131540521  Out-to-in drops: 1753951
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2)

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

stalker86   

stalker86
Опубликовано

Я бы смотрел в сторону MTU/MSS

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

jffulcrum   

jffulcrum
Опубликовано (изменено)

Что показывает debug ip nat translations в этот момент?

 

Ну и просто по конфигу:

 

ip nat settings pap bpa  - хинт bpa тут бесполезен, у вас включен Overload, bulk-аллокации портов не работают с overload

ip nat translation timeout 300 - аналогично, бесполезная для overload команда.

ip forward-protocol nd - погуглите и выключите нафиг

ip nat translation max-entries all-host 3000 - это dahua, 3000 трансляций на хост. Пособничаете доморощенным DDOSерам (если только клиенты - не юрики с целыми сетями)

 

Изменено пользователем jffulcrum

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

s.lobanov   

s.lobanov
Опубликовано

Смотреть в сторону подбора рабочего ПО  методом проб и ошибок. ios-xe слит индусам полностью и качество его удручает (особенно nat)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

SUPchik   

SUPchik
Опубликовано

Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

MrNv   

MrNv
Опубликовано

а  у кого какая практика по количеству nat сессий на пользователя?

мы как то обрезали по 500 tcp и 500 udp - жалобы пошли.

подняли до 1000 - все равно остались не довольные.

пока остановились на 3000.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

dsparill   

dsparill
Опубликовано
2 часа назад, SUPchik сказал:

Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций.

Очистку nat трансляций делали, к сожалению профита не получили.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

SUPchik   

SUPchik
Опубликовано
3 hours ago, dsparill said:

Очистку nat трансляций делали, к сожалению профита не получили. 

pool NAT-NETWORK: id 1, netmask 255.255.255.128
	start x.x.x.x end x.x.x.255

Попробуйте конец диапазона изменить на х.х.х.254

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...