Jump to content

Asr1002. Куда вынести Nat?

ayf
 Share

Recommended Posts

ayf

ayf

Posted
Posted

Коллеги,  приветствую. Стоит у меня циска 1002. 5 лет отработала, начался какой-то непорядок. Загрузка процессора стала прыгать до 80-90%. Посмотрел, что грузит. Жалуется на snmp и ip input.  Ну snmp стер, посмотрел загрузку. Вроде стала поменьше. Трафик идет примерно 300-400 Мегабит/с. Почитал форумы, посоветовался. Сказали заменить иос, ибо был баг в нем, как раз snmp.  Заменил. Айсар стал падать. Нехватка оперативки. А её там не увеличить. Откатил. Почитал. В 2013 году были проблемы. Циска не советует держать на одной железке ipoe и Nat overload. Вот теперь сижу и думаю, куда наты выносить? На чем поднимать? Что посоветуете? Или не все так критично и можно подобрать стабильный иос?

s.lobanov

s.lobanov

Posted
Posted

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

 

Какие у вас требования по netflow? Надо/не надо/какой формат?

AlKov

AlKov

Posted
Posted
9 часов назад, s.lobanov сказал:

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

Не просто смеяться, а радостно ржать! :-)

Intel Xeon E3-1271(4 ядра), 16Г памяти, две Intel 82576 сетевухи в бондинге, CentOS 6.9.

Всё это в ЧНН NAT-ит следующее:

1. 1,2 Гбит/с траф при 1,2 Mpps

2. 136k conntrack

3. ipt_netflow с nat_events

Плюс к этому маршрутизация (~ 1300 маршрутов RIP), фаервол, radius и mysql.

Всё это хозяйство в ЧНН грузит CPU аж на 9-11%

 

ayf

ayf

Posted
  • Author
Posted
10 часов назад, s.lobanov сказал:

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

 

Какие у вас требования по netflow? Надо/не надо/какой формат?

Netflow v9 надо.

 

4 часа назад, zhenya` сказал:

Бгп есть? Soft-reconfiguration inbound выключен на пирах?

2 bgp full view. Насчет софт реконфигурайшен проверю. А надо выключить или включить?;)

 

4 часа назад, VolanD666 сказал:

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

Софт ищется. Попозже скину, Что на что менял.

s.lobanov

s.lobanov

Posted
Posted
8 часов назад, VolanD666 сказал:

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

За 2 года эксплуатации asr1k я так и не подобрал идеального ios, чтобы не было ни одной проблемы с nat. в итоге остановился на каком-то где была трабла только с PPTP ALG, но в каждом ios был разный набор багов. Если у ТС ещё и очень сложный конфиг, то скорее всего придётся разносить

 

1 час назад, zhenya` сказал:

Ipt_netflow есть. Он умеет натевенты.

 

Это понятно, но, возможно, что СОРМ у ТС уже заточен под netflow с asr1k с port-range'ами и т.д. и т.п., поэтому надо смотреть по формату (по составу данных в netflow). linux iptables/netfilter не умеет все эти модные штуки типа PBA и т.п.

ayf

ayf

Posted
  • Author
Posted
2 часа назад, zhenya` сказал:

Ipt_netflow есть. Он умеет натевенты.

 

 

Выключить конечно.  У вас коробка падает или cef отключается?

Коробка. Уходит в перезагрузку.

ayf

ayf

Posted
  • Author
Posted
1 час назад, zhenya` сказал:

Софт реконфиг смотрите..

что-то мне подсказывает, что вынос ната не поможет. Так как кончается память на RP.

Софт реконфиг в конфиги отсутствует.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.