Jump to content
Калькуляторы

ASR1001x NAT+CGN+PAT

Добрый день коллеги,нужна сильно ваша помощь. В ACL Абонентов гораздо больше привел для примера, переодически отваливаются абоненты самопроизвольно,после очистки таблицы NAT начинают работать, но не все, начинают работать другие и так после каждой очистки таблицы НАТ, загрузка CPU при этом держится порядка 4-7%. Максимум проходит 2 Гбит. Уже перепробовал кучу вариантов успеха не удается добиться, подскажите куда копать.

Логи максимум, что выдает и при этом не отваливается интернет:

Nov 7 20:54:20.229: %IOSXE-5-PLATFORM: SIP0: cpp_cp: QFP:0.0 Thread:002 TS:00000025245019424724 %PUNT_INJECT-5-DROP_PUNT_CAUSE: punt cause policer drop packet casue 60

VER:

Cisco IOS XE Software, Version 16.06.04
Cisco IOS Software [Everest], ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.6.4, RELEASE SOFTWARE 

MEMORY:

Processor Pool Total: 3954733344 Used: 1877418456 Free: 2077314888
 lsmpi_io Pool Total:    6295128 Used:    6294296 Free:        832

NAT:

Пул  при этом забит всего на 60 % 

Dynamic mappings:
-- Inside Source
[Id: 1] access-list ACL-NAT-Customer1 pool NAT-Pool-Customer1 refcount 85189
 pool NAT-Pool-Customer1: id 1, netmask 255.255.255.224
        start 91.XXX.XXX.8 end 91.XXX.XXX.30
        type generic, total addresses 23, allocated 16 (69%), misses 0
[Id: 2] access-list ACL-NAT-Customer2 pool NAT-Pool-Customer2 refcount 112132
 pool NAT-Pool-Customer2: id 2, netmask 255.255.255.224
        start 91.XXX.XXX.8 end 91.XXX.XXX.30
        type generic, total addresses 23, allocated 16 (69%), misses 0
nat-limit statistics:
 max entry: max allowed 1000000, used 197322, missed 0
 All Host Max allowed: 1000
In-to-out drops: 1056833  Out-to-in drops: 0
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

traceroute доходит до ASR дальше в интернет не пускает, проблема проявляется с разной переодичностью, час, два, пол дня, день. 
Настройки NAT:
ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap 
ip nat translation timeout 60
ip nat translation tcp-timeout 3000
ip nat translation finrst-timeout 120
ip nat translation syn-timeout 20
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation port-timeout tcp 80 180
ip nat translation port-timeout tcp 8080 180
ip nat translation port-timeout tcp 1600 180
ip nat translation port-timeout tcp 110 180
ip nat translation port-timeout tcp 25 180
ip nat translation max-entries 1000000
ip nat translation max-entries all-host 1000
no ip nat service all-algs
no ip nat service gatekeeper
ip nat pool NAT-Pool-Customer1 91.XXX.XXX.8 91.XXX.XXX.30 netmask 255.255.255.224
ip nat pool NAT-Pool-Customer2 91.XXX.XXX.8 91.XXX.XXX.30 netmask 255.255.255.224
ip nat inside source list ACL-NAT-Customer1 pool NAT-Pool-Customer1 overload
ip nat inside source list ACL-NAT-Customer2 pool NAT-Pool-Customer2 overload

ip access-list extended ACL-NAT-Customer1
 permit ip host 10.0.101.108 any
 permit ip host 10.0.16.102 any
 permit ip host 10.0.16.106 any
 permit ip host 10.0.16.110 any
 permit ip host 10.0.16.114 any
 permit ip host 10.0.16.118 any
 permit ip host 10.0.16.122 any
 permit ip host 10.0.16.126 any
 permit ip host 10.0.16.130 any

ip access-list extended ACL-NAT-Customer2

 permit ip host 10.0.37.18 any
 permit ip host 10.0.37.182 any
 permit ip host 10.0.37.186 any
 permit ip host 10.0.37.190 any
 permit ip host 10.0.37.194 any
 permit ip host 10.0.37.198 any
 permit ip host 10.0.37.202 any
 permit ip host 10.0.37.206 any


 

 

Edited by 7sergeynazarov7

Share this post


Link to post
Share on other sites

Были абсолютно такие же проблемы с NAT-ом(как с CGNAT, так и без), на версиях 16.04 и 16.06.1(более новые не пробовал)

 

В результате всё заработало вот на такой версии(без CGNAT, я его собственно включал только чтобы попробовать обойти проблему):

 

Cisco IOS XE Software, Version 03.16.05.S - Extended Support Release

 

Share this post


Link to post
Share on other sites
On 11.11.2018 at 3:39 PM, Pinkbyte said:

Были абсолютно такие же проблемы с NAT-ом(как с CGNAT, так и без), на версиях 16.04 и 16.06.1(более новые не пробовал)

 

В результате всё заработало вот на такой версии(без CGNAT, я его собственно включал только чтобы попробовать обойти проблему):

 

Cisco IOS XE Software, Version 03.16.05.S - Extended Support Release

 

Сколько BGP сессий у Вас ? PAP включен был ?

Edited by 7sergeynazarov7

Share this post


Link to post
Share on other sites

На проблемном роутере BGP не было вообще, трафика было примерно 1 Gbit/sec

 

PAP включать не пробовал

 

Что характерно, если не скручивать таймаут NAT-сессий(оставить дефолт, что в некоторых случаях доходит до суток), то проблема возникала гораздо быстрее(от 6 часов до одних суток), при том что лимит на NAT не исчерпывался ну ни разу. И тем не менее очистка таблицы трансляции успешно всё чинила.

 

Я плюнул и разбираться дальше не стал - у меня на том роутере не требуется ни одна из фич, которых нет в 3.16

Share this post


Link to post
Share on other sites
1 hour ago, Pinkbyte said:

На проблемном роутере BGP не было вообще, трафика было примерно 1 Gbit/sec

 

PAP включать не пробовал

 

Что характерно, если не скручивать таймаут NAT-сессий(оставить дефолт, что в некоторых случаях доходит до суток), то проблема возникала гораздо быстрее(от 6 часов до одних суток), при том что лимит на NAT не исчерпывался ну ни разу. И тем не менее очистка таблицы трансляции успешно всё чинила.

 

Я плюнул и разбираться дальше не стал - у меня на том роутере не требуется ни одна из фич, которых нет в 3.16

От без исходности перебровыл кучу версий. Cisco IOS XE Software, Version 16.09.01 Сейчас эта. Сколько сессий было в пике ?

Share this post


Link to post
Share on other sites

Практика говорит, что 16ые версии на брас ставить смысла нет. Откатывайте на 3.16

Share this post


Link to post
Share on other sites
2 hours ago, zhenya` said:

Практика говорит, что 16ые версии на брас ставить смысла нет. Откатывайте на 3.16

Какую версию посоветуете ?. NAT порядка 2 К абонентов, ЧНН 2 Гбит/с. Некоторые версии IOs не поднимаются 10 Гбит порты. 

Share this post


Link to post
Share on other sites
On 13.11.2018 at 12:43 PM, zhenya` said:

3.16.последний попробуйте.

Что то с BGP. Два канала, на одном работает, второй подключаешь начинаются проблемы. Не создаются NAT трансляции. Подскажите куда копать

router bgp XXXXX
 bgp router-id XX.XXX.XXX.X
 bgp log-neighbor-changes
 neighbor MEGAFON peer-group
 neighbor MEGAFON remote-as XXXX
 neighbor MEGAFON-FULL peer-group
 neighbor MEGAFON-FULL remote-as XXXX
 neighbor BEE peer-group
 neighbor BEE remote-as XXXX
 neighbor XX.XX.XX.XXX peer-group MEGAFON
 neighbor XX.XX.XX.XXX shutdown
 neighbor XX.XX.XX.XXX peer-group MEGAFON-FULL
 neighbor XX.XX.XXX.XXX shutdown
 neighbor XX.XX.XXX.XXX ebgp-multihop 2
 neighbor XX.XX.XX.XX peer-group BEE
 !
 address-family ipv4
  network XX.XXX.XXX.0 mask 255.255.255.0
  network XXX.XXX.XXX.0 mask 255.255.255.0
  neighbor MEGAFON soft-reconfiguration inbound
  neighbor MEGAFON prefix-list MEGAFON-IN in
  neighbor MEGAFON route-map MEGAFON-OUT out
  neighbor MEGAFON-FULL soft-reconfiguration inbound
  neighbor MEGAFON-FULL route-map MEGAFON-OUT out
  neighbor BEE soft-reconfiguration inbound
  neighbor BEE route-map BEE-OUT out
  neighbor XX.XX.XXX.XXX activate
  neighbor XXX.XXX.XXX.XXX activate
  neighbor XXX.XX.XX.XX activate
  neighbor XX.XX.XX.XX activate
 exit-address-family

 

ip prefix-list BEE-OUT seq 5 permit XX.XXX.XXX.0/24
ip prefix-list BEE-OUT seq 6 permit XX.XXX.XXX.0/24
!
ip prefix-list BEE-OUT-1 seq 5 permit XX.XXX.XXX.0/24
!
ip prefix-list BEE-OUT-2 seq 6 permit XX.XXX.XXX.0/24
!
!
ip prefix-list MEGAFON-OUT seq 5 permit XXX.XXX.XXX.0/24
ip prefix-list MEGAFON-OUT seq 6 permit XXX.XXX.XXX.0/24
!
ip prefix-list MEGAFON-OUT-1 seq 5 permit XX.XXX.XXX.0/24
!
ip prefix-list MEGAFON-OUT-2 seq 6 permit XX.XXX.XXX.0/24
 

 

route-map BEE-OUT permit 10 
 match ip address prefix-list BEE-OUT-1
 set as-path prepend 56392
!
route-map BEE-OUT permit 20 
 match ip address prefix-list BEE-OUT-2
 set as-path prepend 56392 56392 56392 56392
!
route-map MEGAFON-OUT permit 10 
 match ip address prefix-list MEGAFON-OUT-1
 set as-path prepend 56392
!
route-map MEGAFON-OUT permit 20 
 match ip address prefix-list MEGAFON-OUT-2
 set as-path prepend 56392 56392 56392 56392
 

Где искать проблему коллеги, подскажите пожалуйста. 

 

Share this post


Link to post
Share on other sites

Возможно, не хватает памяти.

 

Для стабильной работы 2 full-view с soft-reconfiguration inbound + NAT необходимо 16GB

Share this post


Link to post
Share on other sites

уберите из конфига soft-reconfiguration inbound

мегафон прекрасно умеет route refresh

 

проверьте наличие ip nat outside на всех аплинках.

 

а связь с линковых адресов есть? ping 8.8.8.8 so адрес линковой сети мф \ би

Share this post


Link to post
Share on other sites
On 15.11.2018 at 11:15 AM, DDR said:

Возможно, не хватает памяти.

 

Для стабильной работы 2 full-view с soft-reconfiguration inbound + NAT необходимо 16GB

asr-1#show processes memory 
Processor Pool Total: 3946782608 Used: 1730896744 Free: 2215885864
 lsmpi_io Pool Total:    6295128 Used:    6294296 Free:        832

 

On 15.11.2018 at 1:02 PM, zhenya` said:

уберите из конфига soft-reconfiguration inbound

мегафон прекрасно умеет route refresh

 

проверьте наличие ip nat outside на всех аплинках.

 

а связь с линковых адресов есть? ping 8.8.8.8 so адрес линковой сети мф \ би

C Cisco все есть, со  стороны абонентов нету, дальше сабинтерфейса не пускает.

Edited by 7sergeynazarov7

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now