[YuryD]

В 24.01.2022 в 14:25, jffulcrum сказал:

Ну если всё в одной коробке, то да. Обычно есть еще коммутатор, на котором можно все это делать до попадания в ASR

 Т.е. поставить умный коммутатор, чтобы он умел pppoe инспектить ? :) Проще вынести нат на тазик, который со всей этой байдой легко справится.

 

В 24.01.2022 в 13:45, pppoetest сказал:

 

remote syslog

 

 Не всегда долетает.... иногда теряется, иногда поздновато прилетает....

[Andrei]

В 22.01.2022 в 23:09, zhenya` сказал:

график утилизации qfp есть?

А какие параметры у такой циски порекомендуете мониторить в плане мониторинга утилизации?

[ShyLion]

Лично мы соскочили с ната на циске на СКАТ и очень довольны.

Начиная с того, что теперь в IPFIX логах ТРИ адреса/порта, приватный, реальный и дестинейшен, а еще сразу логин/договор пользователя.

И вот этих приколов с внезапной нехваткой портов/адресов, с убогой реализацией ната PPTP - нет.

[Andrei]

В 26.01.2022 в 19:52, ShyLion сказал:

с убогой реализацией ната PPTP

У нас на ASR-1002 pptp вообще не поддерживается. Вернее, pptp-соединение о устанавливается, выдается через радиус ip-адрес, нарезается скорость, но трафик по pptp не ходит. Только по pppoe и l2tp.

[ShyLion]

On 1/26/2022 at 8:25 PM, Andrei said:

У нас на ASR-1002 pptp вообще не поддерживается. Вернее, pptp-соединение о устанавливается, выдается через радиус ip-адрес, нарезается скорость, но трафик по pptp не ходит. Только по pppoe и l2tp.

Речь про НАТ пользовательского траффика, в том числе PPTP.

[Andrei]

В 26.01.2022 в 20:37, ShyLion сказал:

Речь про НАТ пользовательского траффика, в том числе PPTP.

И я о том же: НАТить трафик с pptp ASR-1002 не умеет. Или я о другом? :)

[ShyLion]

On 1/26/2022 at 8:53 PM, Andrei said:

И я о том же: НАТить трафик с pptp ASR-1002 не умеет. Или я о другом? :)

Умеет, но gre занимает сразу IP из пула целиком.

 

[Andrei]

В 26.01.2022 в 21:09, ShyLion сказал:

Умеет

И я проверял - действительно трафик не ходит.
Выше по той ветке - мои тесты.
Далее по ветке - диалог на тему "что делать?"

[nixx]

В 26.01.2022 в 19:09, ShyLion сказал:

Умеет, но gre занимает сразу IP из пула целиком.

задумался с ваших слов - если у меня чуть больше 3к активных юзеров на пул из 31 адреса, и занято только 17 - значит ли это, что либо все натится нормально, либо у всех этих юзеров не больше 17 pptp-сессий, либо вообще ничего не работает, и все молчат? )

ip nat service pptp разве не этот вопрос решает?

 

сейчас посмотрел нат-сессии - вижу приличное количество сессиий такого вида:

tcp  нат-белый-адрес.15:43395   серый-абонент:32966      172.20.10.1:1723      172.20.10.1:1723
tcp  нат-белый-адрес.6:29333    серый-абонент:29333      172.20.10.1:1723      172.20.10.1:1723

 

при этом у меня нигде 172.20 адресов в помине нет.

это не есть ли работа того самого pptp alg?

Изменено 26 января, 2022 пользователем nixx

[zhenya`]

В 25.01.2022 в 19:52, Andrei сказал:

А какие параметры у такой циски порекомендуете мониторить в плане мониторинга утилизации?

Сами цифры по bps/pps на предмет полочек

[Andrei]

В 27.01.2022 в 11:42, zhenya` сказал:

Сами цифры по bps/pps на предмет полочек

А загрузку проца, мониторинг возможных утечек памяти, размер таблицы трансляций НАТа?

[nixx]

В 27.01.2022 в 10:11, Andrei сказал:

А загрузку проца, мониторинг возможных утечек памяти, размер таблицы трансляций НАТа?

ну вот сейчас, в процессе поиска глюков, рисую загрузку основного "софто"-процессора, информацию об обычной оперативке, число нат-трансляций, bps по QFP трафику по приоритетам (с подачи zhenya`, полок не наблюдается), занятость QFP памяти, пакет-рейт QFP, загрузку QFP в процентах, число авторизованных/неавторизованных сессий абонентов.

попутно заббикс постоянно дергает bgp и интерфейсы в asr на тему живости, ошибок, но это просто как оповещалка, графики в нем смотреть мне не нравится )

[Andrei]

В 27.01.2022 в 13:13, nixx сказал:

рисую загрузку основного "софто"-процессора, информацию об обычной оперативке

 

В 27.01.2022 в 13:13, nixx сказал:

занятость QFP памяти

Это какие oid?

[nixx]

В 27.01.2022 в 13:04, Andrei сказал:

Это какие oid?

загрузка процессора - 1.3.6.1.4.1.9.9.109.1.1.1.1.8.7, CISCO-PROCESS-MIB::cpmCPUTotal5minRev.7

память свободная - 1.3.6.1.4.1.9.9.109.1.1.1.1.13.7, CISCO-PROCESS-MIB::cpmCPUMemoryFree.7

память занятая - 1.3.6.1.4.1.9.9.109.1.1.1.1.12.7, CISCO-PROCESS-MIB::cpmCPUMemoryUsed.7

QFP память свободная - 1.3.6.1.4.1.9.9.715.1.1.7.1.4.9026.1, CISCO-ENTITY-QFP-MIB::ceqfpMemoryResFree.9026.dram

QFP память занятая - 1.3.6.1.4.1.9.9.715.1.1.7.1.3.9026.1, CISCO-ENTITY-QFP-MIB::ceqfpMemoryResInUse.9026.dram

 

вместо 9026 может быть другой id, сделайте snmpwalk для проверки.

[Andrei]

В 27.01.2022 в 15:24, nixx сказал:

QFP память свободная - 1.3.6.1.4.1.9.9.715.1.1.7.1.4.9026.1, CISCO-ENTITY-QFP-MIB::ceqfpMemoryResFree.9026.dram

QFP память занятая - 1.3.6.1.4.1.9.9.715.1.1.7.1.3.9026.1, CISCO-ENTITY-QFP-MIB::ceqfpMemoryResInUse.9026.dram

да, эти 2 параметра не находит. И даже ветки такой 1.3.6.1.4.1.9.9.715.1.1.7.1.3 snmpwalk не выдает.

[nixx]

В 27.01.2022 в 13:50, Andrei сказал:

да, эти 2 параметра не находит. И даже ветки такой 1.3.6.1.4.1.9.9.715.1.1.7.1.3 snmpwalk не выдает.

по 1.3.6.1.4.1.9.9.715 попробуйте сделать walk.

[Andrei]

iso.3.6.1.4.1.9.9.715.1.1.1.1.1.9027 = INTEGER: 4
iso.3.6.1.4.1.9.9.715.1.1.1.1.2.9027 = INTEGER: 5
iso.3.6.1.4.1.9.9.715.1.1.1.1.3.9027 = Counter32: 1
iso.3.6.1.4.1.9.9.715.1.1.1.1.4.9027 = Hex-STRING: 07 E5 0A 01 09 39 31 00
iso.3.6.1.4.1.9.9.715.1.1.2.0 = INTEGER: 2
iso.3.6.1.4.1.9.9.715.1.1.3.0 = INTEGER: 2
iso.3.6.1.4.1.9.9.715.1.1.4.0 = INTEGER: 2
iso.3.6.1.4.1.9.9.715.1.1.5.0 = INTEGER: 2
iso.3.6.1.4.1.9.9.715.1.1.6.1.2.9027.1 = Counter64: 12
iso.3.6.1.4.1.9.9.715.1.1.6.1.2.9027.2 = Counter64: 10
iso.3.6.1.4.1.9.9.715.1.1.6.1.2.9027.3 = Counter64: 10
iso.3.6.1.4.1.9.9.715.1.1.6.1.2.9027.4 = Counter64: 10
iso.3.6.1.4.1.9.9.715.1.1.6.1.3.9027.1 = Counter64: 9968
iso.3.6.1.4.1.9.9.715.1.1.6.1.3.9027.2 = Counter64: 8264
iso.3.6.1.4.1.9.9.715.1.1.6.1.3.9027.3 = Counter64: 8264
iso.3.6.1.4.1.9.9.715.1.1.6.1.3.9027.4 = Counter64: 8256
iso.3.6.1.4.1.9.9.715.1.1.6.1.4.9027.1 = Counter64: 35880
iso.3.6.1.4.1.9.9.715.1.1.6.1.4.9027.2 = Counter64: 40754
iso.3.6.1.4.1.9.9.715.1.1.6.1.4.9027.3 = Counter64: 40098
iso.3.6.1.4.1.9.9.715.1.1.6.1.4.9027.4 = Counter64: 34181
iso.3.6.1.4.1.9.9.715.1.1.6.1.5.9027.1 = Counter64: 240761008
iso.3.6.1.4.1.9.9.715.1.1.6.1.5.9027.2 = Counter64: 270972960
iso.3.6.1.4.1.9.9.715.1.1.6.1.5.9027.3 = Counter64: 270456920
iso.3.6.1.4.1.9.9.715.1.1.6.1.5.9027.4 = Counter64: 231676744
iso.3.6.1.4.1.9.9.715.1.1.6.1.6.9027.1 = Counter64: 35892
iso.3.6.1.4.1.9.9.715.1.1.6.1.6.9027.2 = Counter64: 40764
iso.3.6.1.4.1.9.9.715.1.1.6.1.6.9027.3 = Counter64: 40108
iso.3.6.1.4.1.9.9.715.1.1.6.1.6.9027.4 = Counter64: 34191
iso.3.6.1.4.1.9.9.715.1.1.6.1.7.9027.1 = Counter64: 240770976
iso.3.6.1.4.1.9.9.715.1.1.6.1.7.9027.2 = Counter64: 270981224
iso.3.6.1.4.1.9.9.715.1.1.6.1.7.9027.3 = Counter64: 270465184
iso.3.6.1.4.1.9.9.715.1.1.6.1.7.9027.4 = Counter64: 231685000
iso.3.6.1.4.1.9.9.715.1.1.6.1.8.9027.1 = Counter64: 66
iso.3.6.1.4.1.9.9.715.1.1.6.1.8.9027.2 = Counter64: 53
iso.3.6.1.4.1.9.9.715.1.1.6.1.8.9027.3 = Counter64: 52
iso.3.6.1.4.1.9.9.715.1.1.6.1.8.9027.4 = Counter64: 41
iso.3.6.1.4.1.9.9.715.1.1.6.1.9.9027.1 = Counter64: 48080
iso.3.6.1.4.1.9.9.715.1.1.6.1.9.9027.2 = Counter64: 38720
iso.3.6.1.4.1.9.9.715.1.1.6.1.9.9027.3 = Counter64: 38336
iso.3.6.1.4.1.9.9.715.1.1.6.1.9.9027.4 = Counter64: 29232
iso.3.6.1.4.1.9.9.715.1.1.6.1.10.9027.1 = Counter64: 35057
iso.3.6.1.4.1.9.9.715.1.1.6.1.10.9027.2 = Counter64: 40048
iso.3.6.1.4.1.9.9.715.1.1.6.1.10.9027.3 = Counter64: 39505
iso.3.6.1.4.1.9.9.715.1.1.6.1.10.9027.4 = Counter64: 33489
iso.3.6.1.4.1.9.9.715.1.1.6.1.11.9027.1 = Counter64: 234270016
iso.3.6.1.4.1.9.9.715.1.1.6.1.11.9027.2 = Counter64: 265924704
iso.3.6.1.4.1.9.9.715.1.1.6.1.11.9027.3 = Counter64: 266410008
iso.3.6.1.4.1.9.9.715.1.1.6.1.11.9027.4 = Counter64: 226372840
iso.3.6.1.4.1.9.9.715.1.1.6.1.12.9027.1 = Counter64: 35123
iso.3.6.1.4.1.9.9.715.1.1.6.1.12.9027.2 = Counter64: 40101
iso.3.6.1.4.1.9.9.715.1.1.6.1.12.9027.3 = Counter64: 39557
iso.3.6.1.4.1.9.9.715.1.1.6.1.12.9027.4 = Counter64: 33530
iso.3.6.1.4.1.9.9.715.1.1.6.1.13.9027.1 = Counter64: 234318096
iso.3.6.1.4.1.9.9.715.1.1.6.1.13.9027.2 = Counter64: 265963424
iso.3.6.1.4.1.9.9.715.1.1.6.1.13.9027.3 = Counter64: 266448344
iso.3.6.1.4.1.9.9.715.1.1.6.1.13.9027.4 = Counter64: 226402072
iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9027.1 = Gauge32: 3
iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9027.2 = Gauge32: 3
iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9027.3 = Gauge32: 3
iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9027.4 = Gauge32: 3
iso.3.6.1.4.1.9.9.715.1.1.7.1.2.9027.1 = Gauge32: 268435456
iso.3.6.1.4.1.9.9.715.1.1.7.1.3.9027.1 = Gauge32: 141387776
iso.3.6.1.4.1.9.9.715.1.1.7.1.4.9027.1 = Gauge32: 127047680
iso.3.6.1.4.1.9.9.715.1.1.7.1.5.9027.1 = Gauge32: 127036416
iso.3.6.1.4.1.9.9.715.1.1.7.1.6.9027.1 = Gauge32: 97
iso.3.6.1.4.1.9.9.715.1.1.7.1.7.9027.1 = Gauge32: 93
iso.3.6.1.4.1.9.9.715.1.1.7.1.8.9027.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.715.1.1.7.1.9.9027.1 = Counter64: 268435456
iso.3.6.1.4.1.9.9.715.1.1.7.1.10.9027.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.715.1.1.7.1.11.9027.1 = Counter64: 141387776
iso.3.6.1.4.1.9.9.715.1.1.7.1.12.9027.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.715.1.1.7.1.13.9027.1 = Counter64: 127047680
iso.3.6.1.4.1.9.9.715.1.1.7.1.14.9027.1 = Gauge32: 0
iso.3.6.1.4.1.9.9.715.1.1.7.1.15.9027.1 = Counter64: 127036416
iso.3.6.1.4.1.9.9.715.1.2.1.0 = INTEGER: 2
iso.3.6.1.4.1.9.9.715.1.2.4.0 = INTEGER: 2

Видимо вот они

iso.3.6.1.4.1.9.9.715.1.1.7.1.3.9027.1 = Gauge32: 141387776
iso.3.6.1.4.1.9.9.715.1.1.7.1.4.9027.1 = Gauge32: 127047680

[nixx]

В 27.01.2022 в 14:38, Andrei сказал:

iso.3.6.1.4.1.9.9.715.1.1.7.1.3.9027.1 = Gauge32: 141387776
iso.3.6.1.4.1.9.9.715.1.1.7.1.4.9027.1 = Gauge32: 127047680

дык вот оно

в сумме как раз дает iso.3.6.1.4.1.9.9.715.1.1.7.1.2.9027.1, это общий объем памяти.

[Andrei]

видимо так

[Andrei]

В 26.01.2022 в 21:09, ShyLion сказал:

gre занимает сразу IP из пула целиком.

Можете пояснить - что это значит?

 

[zhenya`]

В 28.01.2022 в 00:11, Andrei сказал:

Можете пояснить - что это значит?

 

Это значит, что пользователь занимает адрес из пула целиком.

[Andrei]

А бывает по-другому?

[NiTr0]

ессно, 100500 пользователей вполне могут натиться в один IP. до тех пор пока не попытаются заюзать GRE...

[Andrei]

У меня и сейчас 100500 пользователей натятся на ASR1002 в 1 ip, правда pppoe. До этого стояла старенькая циска 7204 и она прекрасно натила 100500 pptp в один ip. ASR так не умеет? Судя по постам тут и моим экспериментам, таки не умеет. Пост https://forum.nag.ru/index.php?/topic/165399-asr-1002-problema-s-nat/&do=findComment&comment=1661624

утверждает, что умеет?

[bg80211]

В 30.01.2022 в 19:27, Andrei сказал:

У меня и сейчас 100500 пользователей натятся на ASR1002 в 1 ip, правда pppoe. До этого стояла старенькая циска 7204 и она прекрасно натила 100500 pptp в один ip. ASR так не умеет? Судя по постам тут и моим экспериментам, таки не умеет. Пост https://forum.nag.ru/index.php?/topic/165399-asr-1002-problema-s-nat/&do=findComment&comment=1661624

утверждает, что умеет?

У нас стояла Киска 7200 , npg2 процессором , в качестве бордера( PPPoE+NAT+Sheheper).  При количестве ~400 сессий и трафа ~600Мбит стала умирать по процу,( Плюшки и крутилки не помогли), в итоге поставили CCR1036 и  тазик (Deb9 NAT+OSPF+BGP Uplink).  На CCR1036 поднимлись PPPoE +Shaper, по OSPF общалась  с NAT (Debian 9+OSPF+NAT+BGP_quagga).  В Deb9 пересобрали ядро увеличили Timing, прокачали NAT ).  Киска теперь работает как подставка для моника в стойке, тестим щас второй CCR 1036 c RouterOS 7.1 ( NAT+BGP), пока полет нормальный . Если есть финансы купите Джуны  и забудьте киски.   

Изменено 30 января, 2022 пользователем bg80211