dsparill Posted June 21, 2018 · Report post Коллеги, имеется cisco ASR1001-X, около ~3500 ipoe сессий, совершенно в разное время (ночь, день, час пик или нет) появляются абоненты, у которых ping/tracert ходит, но страницы не открываются. Пo ip nat trans видим у таких абонентов только udp и icmp nat трансляции, а tcp - увы - нет. Сброс сессии абоненту (через clear subscrib) проблему не решает. Часто по прошествию некоторого времени, абонент начинает прекрасно работать. Подскажите в какую сторону копать? Ниже настройки nat и некоторые выводы статистики: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap bpa ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation pptp-timeout 180 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 30 ip nat translation port-timeout tcp 80 60 ip nat translation port-timeout tcp 8080 180 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 3000 ip nat pool NAT-NETWORK x.x.x.x x.x.x.x netmask 255.255.255.128 ip nat inside source list ACL-NAT pool NAT-NETWORK overload ip forward-protocol nd ------------------------------------------------------------ ip access-list extended ACL-NAT permit tcp 10.0.0.0 0.255.255.255 any permit udp 10.0.0.0 0.255.255.255 any permit icmp 10.0.0.0 0.255.255.255 any Total active translations: 73544 (0 static, 73544 dynamic; 73535 extended) Outside interfaces: TenGigabitEthernet0/0/0.x, TenGigabitEthernet0/0/1.x Inside interfaces: TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x Hits: 31904493994 Misses: 173326166 Expired translations: 163803292 Dynamic mappings: -- Inside Source [Id: 1] access-list ACL-NAT pool NAT-NETWORK refcount 73545 pool NAT-NETWORK: id 1, netmask 255.255.255.128 start x.x.x.x end x.x.x.255 type generic, total addresses 128, allocated 20 (15%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 3000 In-to-out drops: 131540521 Out-to-in drops: 1753951 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2) Share this post Link to post Share on other sites
stalker86 Posted June 21, 2018 · Report post Я бы смотрел в сторону MTU/MSS Share this post Link to post Share on other sites
jffulcrum Posted June 21, 2018 (edited) · Report post Что показывает debug ip nat translations в этот момент? Ну и просто по конфигу: ip nat settings pap bpa - хинт bpa тут бесполезен, у вас включен Overload, bulk-аллокации портов не работают с overload ip nat translation timeout 300 - аналогично, бесполезная для overload команда. ip forward-protocol nd - погуглите и выключите нафиг ip nat translation max-entries all-host 3000 - это dahua, 3000 трансляций на хост. Пособничаете доморощенным DDOSерам (если только клиенты - не юрики с целыми сетями) Edited June 21, 2018 by jffulcrum Share this post Link to post Share on other sites
zhenya` Posted June 21, 2018 · Report post Bpa работает при overload. Зачем оно без оверлоад? Share this post Link to post Share on other sites
s.lobanov Posted June 22, 2018 · Report post Смотреть в сторону подбора рабочего ПО методом проб и ошибок. ios-xe слит индусам полностью и качество его удручает (особенно nat) Share this post Link to post Share on other sites
SUPchik Posted June 22, 2018 · Report post Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций. Share this post Link to post Share on other sites
zhenya` Posted June 22, 2018 · Report post я тоже за софт.. плюс добавить no ip nat service all-algs Share this post Link to post Share on other sites
MrNv Posted June 22, 2018 · Report post а у кого какая практика по количеству nat сессий на пользователя? мы как то обрезали по 500 tcp и 500 udp - жалобы пошли. подняли до 1000 - все равно остались не довольные. пока остановились на 3000. Share this post Link to post Share on other sites
dsparill Posted June 22, 2018 · Report post 2 часа назад, SUPchik сказал: Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций. Очистку nat трансляций делали, к сожалению профита не получили. Share this post Link to post Share on other sites
SUPchik Posted June 22, 2018 · Report post 3 hours ago, dsparill said: Очистку nat трансляций делали, к сожалению профита не получили. pool NAT-NETWORK: id 1, netmask 255.255.255.128 start x.x.x.x end x.x.x.255 Попробуйте конец диапазона изменить на х.х.х.254 Share this post Link to post Share on other sites