dsparill Опубликовано 21 июня, 2018 Коллеги, имеется cisco ASR1001-X, около ~3500 ipoe сессий, совершенно в разное время (ночь, день, час пик или нет) появляются абоненты, у которых ping/tracert ходит, но страницы не открываются. Пo ip nat trans видим у таких абонентов только udp и icmp nat трансляции, а tcp - увы - нет. Сброс сессии абоненту (через clear subscrib) проблему не решает. Часто по прошествию некоторого времени, абонент начинает прекрасно работать. Подскажите в какую сторону копать? Ниже настройки nat и некоторые выводы статистики: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap bpa ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation pptp-timeout 180 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 30 ip nat translation port-timeout tcp 80 60 ip nat translation port-timeout tcp 8080 180 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 3000 ip nat pool NAT-NETWORK x.x.x.x x.x.x.x netmask 255.255.255.128 ip nat inside source list ACL-NAT pool NAT-NETWORK overload ip forward-protocol nd ------------------------------------------------------------ ip access-list extended ACL-NAT permit tcp 10.0.0.0 0.255.255.255 any permit udp 10.0.0.0 0.255.255.255 any permit icmp 10.0.0.0 0.255.255.255 any Total active translations: 73544 (0 static, 73544 dynamic; 73535 extended) Outside interfaces: TenGigabitEthernet0/0/0.x, TenGigabitEthernet0/0/1.x Inside interfaces: TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x TenGigabitEthernet0/0/1.x, TenGigabitEthernet0/0/1.x Hits: 31904493994 Misses: 173326166 Expired translations: 163803292 Dynamic mappings: -- Inside Source [Id: 1] access-list ACL-NAT pool NAT-NETWORK refcount 73545 pool NAT-NETWORK: id 1, netmask 255.255.255.128 start x.x.x.x end x.x.x.255 type generic, total addresses 128, allocated 20 (15%), misses 0 nat-limit statistics: max entry: max allowed 0, used 0, missed 0 All Host Max allowed: 3000 In-to-out drops: 131540521 Out-to-in drops: 1753951 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 Cisco IOS XE Software, Version 03.17.03.S - Standard Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.6(1)S3, RELEASE SOFTWARE (fc2) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 21 июня, 2018 Я бы смотрел в сторону MTU/MSS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 21 июня, 2018 (изменено) Что показывает debug ip nat translations в этот момент? Ну и просто по конфигу: ip nat settings pap bpa - хинт bpa тут бесполезен, у вас включен Overload, bulk-аллокации портов не работают с overload ip nat translation timeout 300 - аналогично, бесполезная для overload команда. ip forward-protocol nd - погуглите и выключите нафиг ip nat translation max-entries all-host 3000 - это dahua, 3000 трансляций на хост. Пособничаете доморощенным DDOSерам (если только клиенты - не юрики с целыми сетями) Изменено 21 июня, 2018 пользователем jffulcrum Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 21 июня, 2018 Bpa работает при overload. Зачем оно без оверлоад? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июня, 2018 Смотреть в сторону подбора рабочего ПО методом проб и ошибок. ios-xe слит индусам полностью и качество его удручает (особенно nat) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUPchik Опубликовано 22 июня, 2018 Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 22 июня, 2018 я тоже за софт.. плюс добавить no ip nat service all-algs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MrNv Опубликовано 22 июня, 2018 а у кого какая практика по количеству nat сессий на пользователя? мы как то обрезали по 500 tcp и 500 udp - жалобы пошли. подняли до 1000 - все равно остались не довольные. пока остановились на 3000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsparill Опубликовано 22 июня, 2018 2 часа назад, SUPchik сказал: Не включайте без надобности debug ip nat translations, если не хотите завалить роутер перегрузкой по CPU. Попробуйте сделать очистку nat-трансляций. Очистку nat трансляций делали, к сожалению профита не получили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SUPchik Опубликовано 22 июня, 2018 3 hours ago, dsparill said: Очистку nat трансляций делали, к сожалению профита не получили. pool NAT-NETWORK: id 1, netmask 255.255.255.128 start x.x.x.x end x.x.x.255 Попробуйте конец диапазона изменить на х.х.х.254 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...