Перейти к содержимому
Калькуляторы

Asr1002. Куда вынести Nat?

Коллеги,  приветствую. Стоит у меня циска 1002. 5 лет отработала, начался какой-то непорядок. Загрузка процессора стала прыгать до 80-90%. Посмотрел, что грузит. Жалуется на snmp и ip input.  Ну snmp стер, посмотрел загрузку. Вроде стала поменьше. Трафик идет примерно 300-400 Мегабит/с. Почитал форумы, посоветовался. Сказали заменить иос, ибо был баг в нем, как раз snmp.  Заменил. Айсар стал падать. Нехватка оперативки. А её там не увеличить. Откатил. Почитал. В 2013 году были проблемы. Циска не советует держать на одной железке ipoe и Nat overload. Вот теперь сижу и думаю, куда наты выносить? На чем поднимать? Что посоветуете? Или не все так критично и можно подобрать стабильный иос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

 

Какие у вас требования по netflow? Надо/не надо/какой формат?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, s.lobanov сказал:

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

Не просто смеяться, а радостно ржать! :-)

Intel Xeon E3-1271(4 ядра), 16Г памяти, две Intel 82576 сетевухи в бондинге, CentOS 6.9.

Всё это в ЧНН NAT-ит следующее:

1. 1,2 Гбит/с траф при 1,2 Mpps

2. 136k conntrack

3. ipt_netflow с nat_events

Плюс к этому маршрутизация (~ 1300 маршрутов RIP), фаервол, radius и mysql.

Всё это хозяйство в ЧНН грузит CPU аж на 9-11%

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, s.lobanov сказал:

Вы будете смеяться, но нат надо выносить на тазики. iptables/netfilter поекрасно пережует вам 10g и больше если повозиться с тюнингом

 

А современные 'промышленные' решения это тоже тазики (иногла оформленные как плата в шасси), но софт у них поверх dpdk/netmap что дает прирост в сравнении с ведром, а вот по стабильности netfilter будет куда лучше такого говна(в плане nat) как asr1k

 

Какие у вас требования по netflow? Надо/не надо/какой формат?

Netflow v9 надо.

 

4 часа назад, zhenya` сказал:

Бгп есть? Soft-reconfiguration inbound выключен на пирах?

2 bgp full view. Насчет софт реконфигурайшен проверю. А надо выключить или включить?;)

 

4 часа назад, VolanD666 сказал:

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

Софт ищется. Попозже скину, Что на что менял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ipt_netflow есть. Он умеет натевенты.

 

 

Выключить конечно.  У вас коробка падает или cef отключается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, VolanD666 сказал:

Мне кажется вам нужно найти нормальный ИОС и будет все норм. 300-400 мбит это копейки.

 

Ну либо косяк в конфигурации

За 2 года эксплуатации asr1k я так и не подобрал идеального ios, чтобы не было ни одной проблемы с nat. в итоге остановился на каком-то где была трабла только с PPTP ALG, но в каждом ios был разный набор багов. Если у ТС ещё и очень сложный конфиг, то скорее всего придётся разносить

 

1 час назад, zhenya` сказал:

Ipt_netflow есть. Он умеет натевенты.

 

Это понятно, но, возможно, что СОРМ у ТС уже заточен под netflow с asr1k с port-range'ами и т.д. и т.п., поэтому надо смотреть по формату (по составу данных в netflow). linux iptables/netfilter не умеет все эти модные штуки типа PBA и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то подсказывает, что как раз сормы реализуют более универсальное (то есть без bpa) в первую очередь..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, zhenya` сказал:

Ipt_netflow есть. Он умеет натевенты.

 

 

Выключить конечно.  У вас коробка падает или cef отключается?

Коробка. Уходит в перезагрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Софт реконфиг смотрите..

что-то мне подсказывает, что вынос ната не поможет. Так как кончается память на RP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, zhenya` сказал:

Софт реконфиг смотрите..

что-то мне подсказывает, что вынос ната не поможет. Так как кончается память на RP.

Софт реконфиг в конфиги отсутствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, AlKov сказал:

1. 1,2 Гбит/с траф при 1,2 Mpps

может 12 гбит??? хотя сетевухи столько не прожуют или что у вас за трафик

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, ayf сказал:

Софт реконфиг в конфиги отсутствует.

Найдите на коробке крашдамп и скиньте содержимое на пастебин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, zhenya` сказал:

Найдите на коробке крашдамп и скиньте содержимое на пастебин.

Прошу прощения, куда кинуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

До замены иоса стояла версия: bootflash:/asr1000rp1-advipservicesk9.03.09.02.S.153-2.S2.bin

Крашить стало вот с этим: /bootflash/asr1000rp1-adventerprisek9.03.16.08.S.155-3.S8-ext.bin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.