7sergeynazarov7 Опубликовано 10 ноября, 2018 (изменено) · Жалоба Добрый день коллеги,нужна сильно ваша помощь. В ACL Абонентов гораздо больше привел для примера, переодически отваливаются абоненты самопроизвольно,после очистки таблицы NAT начинают работать, но не все, начинают работать другие и так после каждой очистки таблицы НАТ, загрузка CPU при этом держится порядка 4-7%. Максимум проходит 2 Гбит. Уже перепробовал кучу вариантов успеха не удается добиться, подскажите куда копать. Логи максимум, что выдает и при этом не отваливается интернет: Nov 7 20:54:20.229: %IOSXE-5-PLATFORM: SIP0: cpp_cp: QFP:0.0 Thread:002 TS:00000025245019424724 %PUNT_INJECT-5-DROP_PUNT_CAUSE: punt cause policer drop packet casue 60 VER: Cisco IOS XE Software, Version 16.06.04 Cisco IOS Software [Everest], ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.6.4, RELEASE SOFTWARE MEMORY: Processor Pool Total: 3954733344 Used: 1877418456 Free: 2077314888 lsmpi_io Pool Total: 6295128 Used: 6294296 Free: 832 NAT: Пул при этом забит всего на 60 % Dynamic mappings: -- Inside Source [Id: 1] access-list ACL-NAT-Customer1 pool NAT-Pool-Customer1 refcount 85189 pool NAT-Pool-Customer1: id 1, netmask 255.255.255.224 start 91.XXX.XXX.8 end 91.XXX.XXX.30 type generic, total addresses 23, allocated 16 (69%), misses 0 [Id: 2] access-list ACL-NAT-Customer2 pool NAT-Pool-Customer2 refcount 112132 pool NAT-Pool-Customer2: id 2, netmask 255.255.255.224 start 91.XXX.XXX.8 end 91.XXX.XXX.30 type generic, total addresses 23, allocated 16 (69%), misses 0 nat-limit statistics: max entry: max allowed 1000000, used 197322, missed 0 All Host Max allowed: 1000 In-to-out drops: 1056833 Out-to-in drops: 0 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 traceroute доходит до ASR дальше в интернет не пускает, проблема проявляется с разной переодичностью, час, два, пол дня, день. Настройки NAT: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap ip nat translation timeout 60 ip nat translation tcp-timeout 3000 ip nat translation finrst-timeout 120 ip nat translation syn-timeout 20 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 180 ip nat translation port-timeout tcp 8080 180 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries 1000000 ip nat translation max-entries all-host 1000 no ip nat service all-algs no ip nat service gatekeeper ip nat pool NAT-Pool-Customer1 91.XXX.XXX.8 91.XXX.XXX.30 netmask 255.255.255.224 ip nat pool NAT-Pool-Customer2 91.XXX.XXX.8 91.XXX.XXX.30 netmask 255.255.255.224 ip nat inside source list ACL-NAT-Customer1 pool NAT-Pool-Customer1 overload ip nat inside source list ACL-NAT-Customer2 pool NAT-Pool-Customer2 overload ip access-list extended ACL-NAT-Customer1 permit ip host 10.0.101.108 any permit ip host 10.0.16.102 any permit ip host 10.0.16.106 any permit ip host 10.0.16.110 any permit ip host 10.0.16.114 any permit ip host 10.0.16.118 any permit ip host 10.0.16.122 any permit ip host 10.0.16.126 any permit ip host 10.0.16.130 any ip access-list extended ACL-NAT-Customer2 permit ip host 10.0.37.18 any permit ip host 10.0.37.182 any permit ip host 10.0.37.186 any permit ip host 10.0.37.190 any permit ip host 10.0.37.194 any permit ip host 10.0.37.198 any permit ip host 10.0.37.202 any permit ip host 10.0.37.206 any Изменено 10 ноября, 2018 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pinkbyte Опубликовано 11 ноября, 2018 · Жалоба Были абсолютно такие же проблемы с NAT-ом(как с CGNAT, так и без), на версиях 16.04 и 16.06.1(более новые не пробовал) В результате всё заработало вот на такой версии(без CGNAT, я его собственно включал только чтобы попробовать обойти проблему): Cisco IOS XE Software, Version 03.16.05.S - Extended Support Release Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 12 ноября, 2018 (изменено) · Жалоба On 11.11.2018 at 3:39 PM, Pinkbyte said: Были абсолютно такие же проблемы с NAT-ом(как с CGNAT, так и без), на версиях 16.04 и 16.06.1(более новые не пробовал) В результате всё заработало вот на такой версии(без CGNAT, я его собственно включал только чтобы попробовать обойти проблему): Cisco IOS XE Software, Version 03.16.05.S - Extended Support Release Сколько BGP сессий у Вас ? PAP включен был ? Изменено 12 ноября, 2018 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pinkbyte Опубликовано 12 ноября, 2018 · Жалоба На проблемном роутере BGP не было вообще, трафика было примерно 1 Gbit/sec PAP включать не пробовал Что характерно, если не скручивать таймаут NAT-сессий(оставить дефолт, что в некоторых случаях доходит до суток), то проблема возникала гораздо быстрее(от 6 часов до одних суток), при том что лимит на NAT не исчерпывался ну ни разу. И тем не менее очистка таблицы трансляции успешно всё чинила. Я плюнул и разбираться дальше не стал - у меня на том роутере не требуется ни одна из фич, которых нет в 3.16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 12 ноября, 2018 · Жалоба 1 hour ago, Pinkbyte said: На проблемном роутере BGP не было вообще, трафика было примерно 1 Gbit/sec PAP включать не пробовал Что характерно, если не скручивать таймаут NAT-сессий(оставить дефолт, что в некоторых случаях доходит до суток), то проблема возникала гораздо быстрее(от 6 часов до одних суток), при том что лимит на NAT не исчерпывался ну ни разу. И тем не менее очистка таблицы трансляции успешно всё чинила. Я плюнул и разбираться дальше не стал - у меня на том роутере не требуется ни одна из фич, которых нет в 3.16 От без исходности перебровыл кучу версий. Cisco IOS XE Software, Version 16.09.01 Сейчас эта. Сколько сессий было в пике ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2018 · Жалоба Практика говорит, что 16ые версии на брас ставить смысла нет. Откатывайте на 3.16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 13 ноября, 2018 · Жалоба 2 hours ago, zhenya` said: Практика говорит, что 16ые версии на брас ставить смысла нет. Откатывайте на 3.16 Какую версию посоветуете ?. NAT порядка 2 К абонентов, ЧНН 2 Гбит/с. Некоторые версии IOs не поднимаются 10 Гбит порты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 13 ноября, 2018 · Жалоба На 1002-X стабильно пашет 03.13.09.S (15.4(3)S9) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 13 ноября, 2018 · Жалоба 3.16.последний попробуйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 14 ноября, 2018 · Жалоба On 13.11.2018 at 12:43 PM, zhenya` said: 3.16.последний попробуйте. Что то с BGP. Два канала, на одном работает, второй подключаешь начинаются проблемы. Не создаются NAT трансляции. Подскажите куда копать router bgp XXXXX bgp router-id XX.XXX.XXX.X bgp log-neighbor-changes neighbor MEGAFON peer-group neighbor MEGAFON remote-as XXXX neighbor MEGAFON-FULL peer-group neighbor MEGAFON-FULL remote-as XXXX neighbor BEE peer-group neighbor BEE remote-as XXXX neighbor XX.XX.XX.XXX peer-group MEGAFON neighbor XX.XX.XX.XXX shutdown neighbor XX.XX.XX.XXX peer-group MEGAFON-FULL neighbor XX.XX.XXX.XXX shutdown neighbor XX.XX.XXX.XXX ebgp-multihop 2 neighbor XX.XX.XX.XX peer-group BEE ! address-family ipv4 network XX.XXX.XXX.0 mask 255.255.255.0 network XXX.XXX.XXX.0 mask 255.255.255.0 neighbor MEGAFON soft-reconfiguration inbound neighbor MEGAFON prefix-list MEGAFON-IN in neighbor MEGAFON route-map MEGAFON-OUT out neighbor MEGAFON-FULL soft-reconfiguration inbound neighbor MEGAFON-FULL route-map MEGAFON-OUT out neighbor BEE soft-reconfiguration inbound neighbor BEE route-map BEE-OUT out neighbor XX.XX.XXX.XXX activate neighbor XXX.XXX.XXX.XXX activate neighbor XXX.XX.XX.XX activate neighbor XX.XX.XX.XX activate exit-address-family ip prefix-list BEE-OUT seq 5 permit XX.XXX.XXX.0/24 ip prefix-list BEE-OUT seq 6 permit XX.XXX.XXX.0/24 ! ip prefix-list BEE-OUT-1 seq 5 permit XX.XXX.XXX.0/24 ! ip prefix-list BEE-OUT-2 seq 6 permit XX.XXX.XXX.0/24 ! ! ip prefix-list MEGAFON-OUT seq 5 permit XXX.XXX.XXX.0/24 ip prefix-list MEGAFON-OUT seq 6 permit XXX.XXX.XXX.0/24 ! ip prefix-list MEGAFON-OUT-1 seq 5 permit XX.XXX.XXX.0/24 ! ip prefix-list MEGAFON-OUT-2 seq 6 permit XX.XXX.XXX.0/24 route-map BEE-OUT permit 10 match ip address prefix-list BEE-OUT-1 set as-path prepend 56392 ! route-map BEE-OUT permit 20 match ip address prefix-list BEE-OUT-2 set as-path prepend 56392 56392 56392 56392 ! route-map MEGAFON-OUT permit 10 match ip address prefix-list MEGAFON-OUT-1 set as-path prepend 56392 ! route-map MEGAFON-OUT permit 20 match ip address prefix-list MEGAFON-OUT-2 set as-path prepend 56392 56392 56392 56392 Где искать проблему коллеги, подскажите пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DDR Опубликовано 15 ноября, 2018 · Жалоба Возможно, не хватает памяти. Для стабильной работы 2 full-view с soft-reconfiguration inbound + NAT необходимо 16GB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 ноября, 2018 · Жалоба уберите из конфига soft-reconfiguration inbound мегафон прекрасно умеет route refresh проверьте наличие ip nat outside на всех аплинках. а связь с линковых адресов есть? ping 8.8.8.8 so адрес линковой сети мф \ би Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 16 ноября, 2018 (изменено) · Жалоба On 15.11.2018 at 11:15 AM, DDR said: Возможно, не хватает памяти. Для стабильной работы 2 full-view с soft-reconfiguration inbound + NAT необходимо 16GB asr-1#show processes memory Processor Pool Total: 3946782608 Used: 1730896744 Free: 2215885864 lsmpi_io Pool Total: 6295128 Used: 6294296 Free: 832 On 15.11.2018 at 1:02 PM, zhenya` said: уберите из конфига soft-reconfiguration inbound мегафон прекрасно умеет route refresh проверьте наличие ip nat outside на всех аплинках. а связь с линковых адресов есть? ping 8.8.8.8 so адрес линковой сети мф \ би C Cisco все есть, со стороны абонентов нету, дальше сабинтерфейса не пускает. Изменено 16 ноября, 2018 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...