[commik]

Небольшая корпоративная сеточка на 30 компов. Одноранговая звезда на неуправляемых коммутаторах. Cisco 1841 в качестве шлюза. Внутренние адреса за NATом.

Обычный пинг на шлюз <= 1mc. По непонятным причинам пинг может подняться до 100-500мс или вообще пропадает. От получаса и часов до трёх (может и дольше). Потом также опускается до обычных значений. Такое происходит уже на протяжение двух недель. До 1841 этого отработала около 10 месяцев "как часы".

В сети есть файловый-почтовый сервер и сервер билинга. Оба на виндах.

Нужна срочная помощь.

 

config

Current configuration : 2952 bytes

!

version 12.3

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime msec localtime show-timezone

service timestamps log datetime msec localtime show-timezone

service password-encryption

service sequence-numbers

!

hostname commcisco

!

boot-start-marker

boot-end-marker

!

 

!

!

ip tcp synwait-time 10

!

!

no ip bootp server

ip domain name blacki.net

ip name-server xxx.xxx.xxx.x

ip name-server xxx.xxx.xxx.x

no ftp-server write-enable

!

!

!

!

interface Loopback10

ip address 10.10.10.1 255.255.255.0

ip route-cache policy

ip route-cache flow

!

interface FastEthernet0/0

description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$$ETH-LAN$

ip address xxx.xxx.xxx.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip route-cache policy

ip route-cache flow

speed 100

full-duplex

no cdp enable

no mop enabled

!

interface FastEthernet0/1

description $ETH-LAN$

ip address xxx.xxx.xxx.xxx 255.255.255.xxx

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip route-cache policy

ip route-cache flow

ip policy route-map MAP

duplex auto

speed auto

no cdp enable

no mop enabled

!

ip classless

ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx

ip flow-export source FastEthernet0/0

ip flow-export version 5

ip flow-export destination xxx.xxx.xxx.2 2055

no ip http server

ip http authentication local

ip http timeout-policy idle 600 life 86400 requests 10000

ip nat Stateful id 10

ip nat pool LAN xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx netmask 255.255.255.240

ip nat inside source list 50 pool LAN overload

!

!

logging trap debugging

access-list 50 remark LAN

access-list 50 permit xxx.xxx.xxx.0 0.0.0.255

access-list 108 permit ip any xxx.xxx.xxx.0 0.0.0.255

 

 

no cdp run

route-map MAP permit 10

match ip address 108

set interface Loopback10 FastEthernet0/0

!

!

control-plane

 

!

line con 0

login local

transport output telnet

line aux 0

login local

transport output telnet

line vty 0 4

privilege level 15

login local

transport input telnet

line vty 5 15

privilege level 15

login local

transport input telnet

!

scheduler allocate 4000 1000

ntp update-calendar

ntp server 192.216.191.10

end

[SergeiK]

Надо в момент задержек посмотреть sh proc, sh mem, sh int и sh ip nat st.

Можнор включить консоль и терминалом посмотреть, что происходит.

А по конифгу ничего не видно.

Любимая причина - вирус в сети, убивающий насмерть NAT и CPU.

[romka]

1841 держит 75.000ппс, и 38мбит нагрузки.

 

вижу 1 проблему которая тормозит устройство это реализованный подсчет трафика с помощью заворота его на CPU :)

 

1. стоит считаь через ingress в случае NAT а не через CPU. версия IOS позволяет.

2. access листы нужно скопилить.

3. закрыть на коммутаторах вирусные порты чтобы они вирилы не ходили на устройства маршрутизации

больше проблем я не вижу.

[commik]

Спасибо. Полез ковыряться.

 

1841 держит 75.000ппс, и 38мбит нагрузки.

 

вижу 1 проблему которая тормозит устройство это реализованный подсчет трафика с помощью заворота его на CPU :)

как развернуть?

1. стоит считаь через ingress в случае NAT а не через CPU. версия IOS позволяет.

2. access листы нужно скопилить.

 

Если не так трудно, то помоги с конфигом. Книжки не помогли.

Трафик нужно считать по Netflow на 2 Мбит.

[romka]

начать можно с #1

 

убираешь все завороты, раут-мэпы итп. на лупбек.

 

description DownStream

ip flow ingress

ip flow egress

ip nat inside

ip route-cache flow

 

description UpStream

ip nat outside

ip route-cache flow

 

 

проверяешь sh ip chache flow

не заработает проверь на 2х интерфейсах

 

с командой ip flow egress

 

снимает рукой процентов 50% нагрузки :)

 

#2

мало поможет в твоем случае:

применить команду.

access-list compiled

[commik]

3. закрыть на коммутаторах вирусные порты чтобы они вирилы не ходили на устройства маршрутизации

больше проблем я не вижу.

 

Помогли закрыть и поехало.

Пинг упал. Но телнетом зайти пока не могу. Пойду перезагружу.

 

Надо ещё проверить поддерживается ingress и egress или нет.

 

Спасибочки большое вам за ответы.

[SergeiK]

Консолью включись! Будет виднее.

[romka]

убрать с:

interface FastEthernet0/1

 

настройки:

no ip route-cache policy

no ip policy route-map MAP

no route-map MAP permit 10

no interface Loopback10

 

Мы же просто перерулили трафик напрямую не через loopback

по идее не должно было быть перерывов.

 

выложи конфиг измененный. плиз. если не заработало, подправим его

[commik]

убрать с:

interface FastEthernet0/1

 

настройки:

no ip route-cache policy

no ip policy route-map MAP

no route-map MAP permit 10

no interface Loopback10

 

Мы же просто перерулили трафик напрямую не через loopback

по идее не должно было быть перерывов.

 

выложи конфиг измененный. плиз. если не заработало, подправим его

Настройки на шлюзе не менял.

Вроде как версия ПО не позволяет сделать через ingress.

Закрыл порты 135-139 и 445 на комутаторе и нагрузка на циску упала.

Изменено 27 июня, 2006 пользователем commik

[romka]

12.3 позволяет.

 

Если нет, давай обновим тебе ПО :)

[commik]

12.3 позволяет.

 

Если нет, давай обновим тебе ПО :)

Давай. :)

[Andrei]

Надо в момент задержек посмотреть sh proc, sh mem, sh int и sh ip nat st.

что должно насторожить в полученной статистике?

 

Например:

c3620#sh proc
CPU utilization for five seconds: 63%/44%; one minute: 65%; five minutes: 70%
PID QTy       PC Runtime (ms)    Invoked   uSecs    Stacks TTY Process
   1 Cwe 603F7F00            0          3       0 5612/6000   0 Chunk Manager
   2 Csp 6041E098         2148       2813     763 2616/3000   0 Load Meter
   3 Mwe 60610A54        31528       2456   1283721888/24000  0 PPP auth
   4 Mwe 6068119C       251540       1078  23333922420/24000  0 VTEMPLATE Backgr
   5 Lst 60402E08        50812       3244   15663 5624/6000   0 Check heaps
   6 Cwe 60408C34           52         30    1733 5572/6000   0 Pool Manager
   7 Mst 6036253C            0          2       0 5572/6000   0 Timers
   8 Mwe 6001D950          516         25   20640 5360/6000   0 Serial Backgroun
   9 Lsi 601E3E0C          556       2739     202 5756/6000   0 ALARM_TRIGGER_SC
  10 Mwe 6046526C            0          1       011612/12000  0 OIR Handler
  11 Msi 6048355C          108        473     228 5584/6000   0 Environmental mo
  12 Lwe 60485F9C        34236      12475    2744 4660/6000   0 ARP Input
  13 Mwe 605F2E00         3564       3513    1014 5656/6000   0 HC Counter Timer
  14 Mwe 6065CFDC           56        190     294 5564/6000   0 DDR Timers
  15 Mwe 60678478            0          2       011580/12000  0 Dialer event
  16 Lwe 6083859C            4          2    2000 5600/6000   0 Entity MIB API
  17 Mwe 60021DB0            0          1       0 5632/6000   0 SERIAL A'detect
  18 Cwe 6040DF94            0          1       0 5636/6000   0 Critical Bkgnd
  19 Mwe 603C73FC        59992      19835    302410072/12000  0 Net Background
  20 Lwe 6035795C         2748       1481    185510860/12000  0 Logger
  21 Mwe 60378304         6584      13739     479 5128/6000   0 TTY Background
  22 Msp 603C6854        15504      13773    1125 8508/9000   0 Per-Second Jobs
  23 Mwe 601F9910            0          2       0 5524/6000   0 Hawkeye Backgrou
  24 Mwe 60F1498C            4          1    4000 5632/6000   0 HDV background
  25 Hwe 60F2B3B4            0          2       0 5584/6000   0 VNM DSPRM MAIN
  26 Hwe 603C6A20            4         20     200 5616/6000   0 Net Input
  27 Csp 603CF41C        56424       2813   20058 5596/6000   0 Compute load avg
  28 Msp 603C687C        17096        239   71531 5640/6000   0 Per-minute Jobs
  29 Mwe 605E88A8          224        313     715 5364/6000   0 Call Management
  30 Mwe 610D0B6C            0          1       0 5608/6000   0 CES Line Conditi
  31 Mwe 601AB33C          556        817     680 2324/6000   0 MICA Modem Event
  32 Mwe 601B8E38         1436         50   28720 5180/6000   0 CSM background t
  33 Lwe 601BDB10            0          1       0 5744/6000   0 CSM Tone process
  34 Msp 6014D828        16900      50842     332 4316/6000   0 Framer backgroun
  35 Mwe 6033ACDC            0          2       0 5584/6000   0 AAA Dictionary R
  36 Mrd 604B40F0      5855120     780452    750210348/12000  0 IP Input
  37 Mwe 60230074            0          1       0 5612/6000   0 IP Flow Backgrou
PID QTy       PC Runtime (ms)    Invoked   uSecs    Stacks TTY Process
  38 Lwe 609093FC            0          1       0 5308/6000   0 X.25 Encaps Mana
  39 Mwe 60C7DBDC            0          1       0 5636/6000   0 PPPATM Session d
  40 Mwe 60C7D300            0          2       011576/12000  0 PASVC create VA
  41 Hwe 60CE2BE4            0          2       011580/12000  0 ATM OAM Input
  42 Hwe 60CE1D08            0          2       011168/12000  0 ATM OAM TIMER
  43 Hwe 6061F8F0            0          1       0 5752/6000   0 Asy FS Helper
  44 Mwe 605F5D58          640        648     987 5236/6000   0 PPP IP Add Route
  45 Mwe 60529BC4         8880       3415    2600 8108/9000   0 IP Background
  46 Hwe 6052F468          496        566     876 7928/9000   0 IP RIB Update
  47 Mwe 602A9034          472        239    1974 5068/6000   0 Adj Manager
  48 Mrd 6049A748         4544      19134     23710996/12000  0 TCP Timer
  49 Lwe 6049F44C           16          3    533310832/12000  0 TCP Protocols
  50 Lwe 604F807C            0          1       0 5636/6000   0 Probe Input
  51 Mwe 604F9518            4          1    4000 5636/6000   0 RARP Input
  52 Mwe 6050AA44            0          1       0 5784/6000   0 HTTP Timer
  53 Hwe 60517E94            0          1       0 5776/6000   0 Socket Timers
  54 Mwe 6048E488          780        306    2549 5376/6000   0 DHCPD Receive
  55 Lsi 60571FB4        11304        236   47898 5288/6000   0 IP Cache Ager
  56 Mwe 607E5A60            0          1       023620/24000  0 COPS
  57 Hwe 60916350            0          1       0 5620/6000   0 PAD InCall
  58 Mwe 608DE090            0          2       011568/12000  0 X.25 Background
  59 Mwe 60A232A4            0          1       0 5788/6000   0 Inspect Timer
  60 Mwe 60A491FC            0          1       0 5788/6000   0 Authentication P
  61 Mwe 60A4E2F8            0          1       0 5784/6000   0 IDS Timer
  62 Mwe 60831C18            0          2       0 5756/6000   0 SNMP Timers
  63 Mwe 610EBB84            0          1       0 8760/9000   0 CES Client SVC R
  64 Hwe 6115A1A8            0          1       0 5588/6000   0 Crypto HW Proc
  65 Mwe 6033C848         1556        515    3021 5040/6000   0 AAA Accounting
  66 Mwe 60EB57BC            4          2    2000 5488/6000   0 CCVPM_HDSPRM
  67 Mwe 61105F74         3372      13744     245 5592/6000   0 Net Serv Timer
  68 Mwe 61139BE4            4          2    2000 5580/6000   0 Crypto Support
  69 Mwe 60D76828            0          1       023592/24000  0 TSP
  70 Mwe 60E6C2B8            4          1    400023608/24000  0 QOS_MODULE_MAIN
  71 Hwe 60E94DC4            4          1    4000 8608/9000   0 CCVPM_HTSP
  72 Mwe 60EA9258            4          1    4000 5612/6000   0 CCVPM_R2
  73 Mwe 60F05250            0          1       0 5640/6000   0 CCSWVOICE
  74 Mwe 60FA3B80            0          2       0 5600/6000   0 Background Loade
  75 Mwe 60F8A878            0          1       0 5552/6000   0 sssapp
PID QTy       PC Runtime (ms)    Invoked   uSecs    Stacks TTY Process
  76 Mwe 61144D40            4          7     57123208/24000  0 Crypto ACL
  77 Mwe 61132644            0          1       011632/12000  0 Encrypt Proc
  78 Mwe 61133A5C            0          5       0 7268/8000   0 Key Proc
  79 Mwe 611C3C28            0          3       0 7300/8000   0 Crypto CA
  80 Mwe 61183E88          440        945     46511216/12000  0 Crypto IKMP
  81 Mwe 6117B188         1420       2212     641 3140/6000   0 IPSEC key engine
  82 Mwe 6117BB30            0          1       0 5712/6000   0 IPSEC manual key
  83 Mwe 612769B8            0          1       0 7644/8000   0 Crypto SSL
  84 Mwe 60A108C8            0          1       0 5660/6000   0 Syslog Traps
  85 Lsi 60EBAEAC          696       1380     504 5048/6000   0 BUSYOUT SCAN
  86 Lsi 60EBFC40         2552      12705     200 5736/6000   0 trunk conditioni
  87 Hwe 60EC0FD0            0          1       0 5636/6000   0 trunk conditioni
  88 Mwe 60343750          152        948     160 5612/6000   0 Call Progress No
  89 Lwe 6029BD88        46992      18816    2497 4860/6000   0 CEF process
  90 Mwe 602F072C            0          1       0 5640/6000   0 NBAR expand link
  91 Mwe 60C1250C          900       2814     31911616/12000  0 L2F management d
  92 Mwe 60C12644            0          1       011632/12000  0 L2F data daemon
  93 Mwe 60C25538            0          1       011488/12000  0 L2TP data daemon
  94 Mwe 60C25244            0          1       011488/12000  0 L2TP mgmt daemon
  95 Mwe 60C376FC            0          1       0 5632/6000   0 PPPOE discovery
  96 Mwe 60C377CC            0          1       0 5628/6000   0 PPPOE background
  97 Mwe 60C3AF58        65928      24514    268910120/12000  0 PPTP Mgmt
  98 Mwe 60C50BCC      1335388     311102    429211108/12000  0 PPTP Data
  99 ME  600FB298         4052        113   35858 6200/12000  0 ISDN
100 Mwe 60577490        10156      13731     73910868/12000  0 TCP Driver
101 Lwe 6049E314         1200        789    1520 5012/6000   0 TCP Listener
102 Lwe 6029B654         1668        491    3397 5448/6000   0 CEF Scanner
103 Mwe 600BA6EC            0         31       023596/24000  0 ISDN Timer
104 Mwe 60585E08           64         30    2133 4432/6000   0 ISDNMIB Backgrou
105 Mwe 605904B0           24         54     444 5660/6000   0 CallMIB Backgrou
106 Hwe 600FBBD8         1276       3051     418 5412/6000   0 ISDN From Driver
107 Hwe 6064B2E4            0          2       0 5584/6000   0 CCP manager
108 Hwe 6064B1D4            0          2       0 5596/6000   0 CCP reset pak
109 Mwe 605F5F94        32712      17112    191122052/24000  0 PPP manager
110 Hwe 60629CF4         2900      13943     207 5576/6000   0 Multilink PPP
111 Hwe 6061FF08            0          2       0 5580/6000   0 Multilink PPP ou
112 Mwe 60629DF8            0          2       0 5560/6000   0 Multilink event
113 Lwe 604EF4D4         1012        377    268411096/12000  0 IP SNMP
PID QTy       PC Runtime (ms)    Invoked   uSecs    Stacks TTY Process
114 Mwe 60835C3C          332        193    172011460/12000  0 PDU DISPATCHER
115 Mwe 60835828         1820        193    943011136/12000  0 SNMP ENGINE
116 Lwe 605D9F5C            0          1       011652/12000  0 SNMP ConfCopyPro
117 Mwe 60832048            0          1       011616/12000  0 SNMP Traps
118 Mwe 60960C34         4168       2057    2026 4880/6000   0 RADIUS
119 Mwe 608A8180         6724      14277     470 4940/6000   0 NTP
120 Hwe 60085894         7388       5941    1243 4156/6000   0 ISDN L2 Process
121 Hwe 600A2B64            4         53      75 5764/6000   0 ISDN L3 Timer Pr
122 Hwe 600FBAB0         1556       3086     504 5344/6000   0 ISDN L2D SRQ Pro
123 Mwe 6051F968           44        118     372 5668/6000   0 DHCPD Timer
124 Msi 60527CE8          372       3980      93 5052/6000   0 DHCPD Database
125 Mwe 6098BA1C       424912     358632    1184 5484/6000   0 IP NAT Ager
126 M*         0        67588       4041   16725 9792/12000 66 Virtual Exec



c3620#sh ip nat stat
Total active translations: 1303 (0 static, 1303 dynamic; 1303 extended)
Outside interfaces:
  FastEthernet1/0
Inside interfaces:
  Virtual-Access3, Virtual-Access4, Virtual-Access5, Virtual-Access6
  Virtual-Access7, Virtual-Access10, Virtual-Access11, Virtual-Access12
  Virtual-Access14, Virtual-Access15, Virtual-Access20, Virtual-Access21
  Virtual-Access22, Virtual-Access25, Virtual-Access26, Virtual-Access27
  Virtual-Access28, Virtual-Access30, Virtual-Access31, Virtual-Access33
  Virtual-Access34, Virtual-Access35, Virtual-Access39, Virtual-Access40
  Virtual-Access45, Virtual-Access46, Virtual-Access48, Virtual-Access50
  Virtual-Access51, Virtual-Access53
Hits: 5026616  Misses: 210460
Expired translations: 208534
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 100 interface FastEthernet1/0 refcount 1303

 

sh int дает очень объемный вывод - постить пока не буду.

 

При этом:

c3620#sh proc cpu s | e 0.00%
CPU utilization for five seconds: 73%/51%; one minute: 75%; five minutes: 75%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
  36     5795244    767494       7550 15.11% 16.70% 16.93%   0 IP Input
  98     1321776    306166       4317  3.27%  3.87%  3.86%   0 PPTP Data
125      419900    352371       1191  2.69%  2.79%  1.95%   0 IP NAT Ager
  97       65288     24244       2692  0.32%  0.17%  0.17%   0 PPTP Mgmt
  27       55732      2774      20090  0.16%  0.19%  0.20%   0 Compute load avg
  19       59440     19449       3056  0.08%  0.18%  0.16%   0 Net Background
  89       46484     18523       2509  0.08%  0.13%  0.12%   0 CEF process

Мне кажется, что многовато...

[commik]

А в чём проблема-то?

Конфиг выложишь?

[Andrei]

Проблема в высокой загрузке CPU - доходит до 90%.

 

Имеется CISCO 3620

 

IOS ™ 3600 Software (C3620-IK8O3S-M), Version 12.2(13), RELEASE SOFTWARE (fc1)

ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)

 

Для абонентов, жаждущих инета на ней подняты:

- терминация ppp для "телефонных" dialup-абонентов, дозванивающихся на серийный номер

- терминация pptp с rate-limit для pptp-абонентов, добирающихся до циски по нашей сети передачи данных

 

В обоих случаях после авторизации абонентам выдаются реальные ip-адреса из прописанных на циске пулов (212.57.ххх.ххх и 87.226.ххх.ххх). Все работает.

 

Но понадобилось части абонентов выдавать не реальные ip-адреса, а "серые" (172.21.40.ххх) и так же выпускать их в инет. Разумеется тут надо поднять НАТ на циске.

 

Конфиг ниже:

 

Current configuration : 6975 bytes
!
! Last configuration change at 23:31:30 Cheliab Tue Oct 7 2008 by andrei
!
version 12.2
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
!
hostname "c3620"
!
logging buffered 16384 debugging
no logging monitor
aaa new-model
aaa authentication banner ^C
****************************************************************
       ACCESS IS RESTRICTED TO AUTHORIZED PERSONNEL ONLY
             DISCONNECT IMMEDIATELY IF YOU ARE NOT
   - This is a privately owned networking system. Access is
     only authorized by employees or agents of the company.
   - This system is equipped with a security system intended
     to prevent and record all unauthorized access attempts.
   - Unauthorized access or use shall render the user liable
     *o criminal and/or civil prosecution.
**************************************************************** ^C
aaa authentication login default local
aaa authentication ppp default group radius local
aaa authorization network default group radius local
aaa accounting update newinfo
aaa accounting network default wait-start group radius
enable secret 5 ххх
enable password 7 ххх
!
username х password 7 хххх
username хх password 7 хххх
clock timezone CHE 5
clock summer-time Cheliabinsk recurring last Sun Mar 2:00 last Sun Oct 3:00
modem call-record terse
modem country mica russia
no ip subnet-zero
ip cef
!
ip domain-name a123.ru
ip name-server 87.226.ххх.х
!
ip audit notify log
ip audit po max-events 100
virtual-profile if-needed
virtual-profile aaa
!
!
vpdn enable
vpdn authen-before-forward
!
vpdn-group 1
! Default PPTP VPDN group
  accept-dialin
   protocol pptp
   virtual-template 1
!
!
isdn switch-type primary-net5
modemcap entry mica-v90v2:MSC=&F&D2S10=100S32=3S39=10S40=0S52=0
modemcap entry mica-NO56FLEX:MSC=&F&D2S10=50S39=15S52=0
modemcap entry mica-V90:MSC=&F&D2S0=3S10=100S16=200S17=200S19=100S32=3S34=15000S39=4S40=12S54=172
modemcap entry mica-V34:MSC=&F&D2S29=1:TPL=MSC\:&F1
modemcap entry mica-1:MSC=&F&D2S34=18000S40=100S53=0S54=456S10=50debugthismodemS71=4
modemcap entry mica-V90v3:MSC=&F&D2S0=0S20=64S34=8000S35=500S40=100S32=3S53=0S39=0S59=0
modemcap entry line
call rsvp-sync
!
!
!
!
!
!
controller E1 1/0
  framing NO-CRC4
  pri-group timeslots 1-31
!
controller E1 1/1
  clock source internal
  pri-group timeslots 1-31
  description "To ACK UNIT"
!
!
location SvyazInform
!
interface Loopback0
  ip address 212.57.ххх.ххх 255.255.255.0
!
interface Loopback1
  ip address 172.21.40.1 255.255.255.0
!
interface Null0
  no ip unreachables
!
interface FastEthernet1/0
  ip address 87.226.ххх.х 255.255.255.252
  ip verify unicast reverse-path
  no ip redirects
  no ip proxy-arp
  ip nat outside
  ip route-cache same-interface
  speed auto
  full-duplex
  no cdp enable
!
interface Serial1/0:15
  no ip address
  encapsulation hdlc
  isdn switch-type primary-net5
  isdn incoming-voice modem 64
  isdn calling-number 52255
  no cdp enable
!
interface Serial1/1:15
  no ip address
  encapsulation hdlc
  isdn switch-type primary-net5
  isdn protocol-emulate network
  isdn incoming-voice modem 64
  isdn calling-number 52255
  no isdn outgoing display-ie
  no cdp enable
!
interface Virtual-Template1
  description PPTP VPN template interface
  ip unnumbered Loopback0
  ip verify unicast reverse-path
  no ip redirects
  no ip proxy-arp
  logging event subif-link-status
  autodetect encapsulation ppp
  peer default ip address pool to_rtk
  ppp authentication pap chap callin
  ppp ipcp dns 87.226.ххх.х
!
interface Group-Async0
  ip unnumbered FastEthernet1/0
  ip verify unicast reverse-path
  no ip redirects
  no ip proxy-arp
  encapsulation ppp
  no logging event link-status
  autodetect encapsulation ppp
  async mode interactive
  peer default ip address pool to_rtk
  ppp authentication pap callin
  group-range 1 30
!
ip local pool to_usi 212.57.ххх.хх 212.57.ххх.хх group to_usi
ip local pool to_rtk 87.226.ххх.ххх 87.226.ххх.хх group to_rtk
ip local pool to_nat 172.21.40.2 172.21.40.254
ip nat translation timeout 20
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 60
ip nat translation dns-timeout 80
ip nat translation icmp-timeout 10
ip nat translation max-entries 20000
ip nat inside source list 100 interface FastEthernet1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 87.226.ххх.х 100
no ip http server
ip pim bidir-enable
!
!
ip access-list extended users_in
  remark --- unwanted traffic / ---
  deny   udp any eq bootps any eq bootps
  deny   udp any eq bootps any eq bootpc
  deny   udp any eq bootpc any eq bootps
  deny   ip any host 255.255.255.255
  deny   tcp any any eq domain
  deny   tcp any any eq 135
  deny   tcp any any eq 137
  deny   tcp any any eq 138
  deny   tcp any any eq 139
  deny   tcp any any eq 445
  deny   udp any any eq 135
  deny   udp any any eq netbios-ns
  deny   udp any any eq netbios-dgm
  deny   udp any any eq netbios-ss
  deny   udp any any eq 445
  deny   udp any any eq 1900
  deny   tcp any any eq 2869
  deny   tcp any any eq 5000
  remark --- / unwanted traffic ---
  remark --- Allow IP from connected network
  permit ip 172.21.40.0 0.0.0.255 any
  permit ip 87.226.ххх.0 0.0.0.255 any
  permit ip 212.57.ххх.0 0.0.0.255 any
  remark --- Deny everythig else
  deny   ip any any
logging trap debugging
logging source-interface FastEthernet1/0
logging 87.226.ххх.х
access-list 10 permit 87.226.ххх.х
access-list 10 permit 212.57.ххх.х
access-list 10 deny   any
access-list 99 permit 87.226.ххх.0 0.0.0.255
access-list 99 permit 212.57.ххх.0 0.0.0.255
access-list 99 deny   any
access-list 100 permit ip 172.21.40.0 0.0.0.255 any
access-list 100 deny   ip any any
no cdp run
route-map nonat1 permit 10
  match ip address 100
!
snmp-server community public RO 10
snmp-server enable traps tty
radius-server host 87.226.ххх.х auth-port 1812 acct-port 1813
radius-server key 7 хххххх
!
dial-peer cor custom
!
!
!
!
!
line con 0
line 1 30
  no flush-at-activation
  modem Dialin
  modem autoconfigure type mica-1
  exec-character-bits 8
  special-character-bits 8
  transport preferred none
  transport input all
  no ip tcp input-coalesce-threshold
  autoselect during-login
  autoselect ppp
line aux 0
line vty 0 4
  access-class 99 in
  exec-timeout 0 0
!
ntp clock-period 17180071
ntp server 87.226.ххх.х
end

[Andrei]

Для тех, кого надо НАТить из радиуса выдаются доп.атрибуты (пример для шейпинга на 128К/64К на туннель):

 

Framed-Protocol - PPP

Service-Type Framed-User

Cisco-AVPair lcp:interface-config#1=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop

Cisco-AVPair lcp:interface-config#2=rate-limit input 64000 12000 24000 conform-action transmit exceed-action drop

Cisco-AVPair lcp:interface-config#3=ip unnumbered loopback1

Cisco-AVPair lcp:interface-config#4=ip nat inside

Cisco-AVPair ip:addr-pool=to_nat

 

Кол-во туннелей, которая циска должна держать - в пределах 100, из них примерно 50% за НАТом.

Вчера при 55 туннелях (из них за НАТом около 40) загрузка проца была до 90% в пиках.

Не думаю, что 3620 слабовата для таких вещей.

[commik]

думал у тебя 1841...

 

вот весь мой нат

 

interface FastEthernet0/0

ip address 80.x.x.y 255.255.255.248

ip broadcast-address 80.x.x.z

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat outside

ip virtual-reassembly

ip route-cache same-interface

ip route-cache policy

ip route-cache flow

duplex auto

speed auto

no mop enabled

!

interface FastEthernet0/1

ip address 192.168.a.1 255.255.252.0 secondary

ip address 192.168.b.1 255.255.252.0

ip broadcast-address 192.168.c.255

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

ip flow egress

ip nat inside

ip virtual-reassembly

ip route-cache same-interface

ip route-cache policy

ip route-cache flow

speed auto

full-duplex

no cdp enable

no mop enabled

!

.......

!

ip route 0.0.0.0 0.0.0.0 80.x.x.x

!

......

!

......

ip nat pool LAN 80.x.x.y 80.x.x.y netmask 255.255.255.248

ip nat inside source list 50 pool LAN overload

!

.....

access-list 50 permit 192.168.a.0 0.0.3.255

access-list 50 remark LAN

 

... у тебя туннели и лопбэки...

 

мне кажется это access-list 100 deny ip any any лишнее

повесить на интерфейс ip nat inside

уменьшить пул в который транлирует туннели

повесить на interface FastEthernet1/0 secondary айпишник для натиков

 

пс: могу ошибаться. да и ночь уже... да и не 1841. и CCNA так и не сдавал. вобщем ногами не бить. чем могу. ;)

Изменено 9 октября, 2008 пользователем commik

[Andrei]

мне кажется это access-list 100 deny ip any any лишнее

c3620#sh access-lists 100

Extended IP access list 100

permit ip 172.21.40.0 0.0.0.255 any (2719013 matches)

deny ip any any (6859029 matches)

 

т.е. эта строка в acl отрабатывает. и еще как!

 

повесить на интерфейс ip nat inside

Дела в том, что не всех юзверей надо натить, а только тех, кому выдаются из пула серые ip вида 172.21.*.*. Остальных же (с белыйми ip) надо пропускать без ната. Для этого при создании виртуального интерфейса (туннеля) для тех, кого надо НАТить из радиуса выдаются доп.атрибуты, в т.ч.:

Cisco-AVPair lcp:interface-config#4=ip nat inside

 

если повесить ip nat inside прямо на интерфейс, то натить будет всех. или я не прав?

 

уменьшить пул в который транлирует туннели

Имеется ввиду это:

ip local pool to_nat 172.21.40.2 172.21.40.254

А для чего уменьшить? Пока одновременно бывает до 60 туннелей. Остальной пул не задействован, но и никак не влияет на производительность ИМХО.

 

повесить на interface FastEthernet1/0 secondary айпишник для натиков

Какой ip? Для чего? Сейчас юзвери коннектятся на имеющийся на нем ip.

 

Вчера сам сел, как клиент, туннелем за НАТом, пустил трейс в инет и с удивлением увидел, что адрес 172.21.40.1 в трейсе виден 2 раза: две первые строки в трейсе - с адресом 172.21.40.1. Почему так?

 

Сделал

conf t

int loopback 1

shut

т.е. погасил интерфейс с адресом 172.21.40.1 (он - адрес сервера у клиентов после авторизации), но в трейсе он все равно 2 раза, причем и инет по-прежнему работает! Почему - так и не понял.

 

 

[Andrei]

Задача похожая - выпустить через НАТ на лупбеке пользователей в инет. Думал сделать так: пользователи коннектятся на 87.226.191.6, получают по pptp адреса из сетки 10.1.3.ххх и выходят в инет через 212.57.158.18. Физически и 212.57.158.18, и 87.226.191.6 смотрят в одну сетевую карту линух-роутера, где поднят source-routing, который и отдает сетку 87.226.191.ххх к одному магистралу, а сетку 212.57.158.ххх к другому.

 

Фрагмент конфига:

 

interface Loopback0
ip address 212.57.158.18 255.255.255.240
ip nat outside
ip virtual-reassembly
ip policy route-map nat_2_usi

interface FastEthernet0/0
bandwidth 4096
ip address 172.21.36.234 255.255.255.0 secondary
ip address 87.226.191.6 255.255.255.252
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
max-reserved-bandwidth 100
service-policy input inet
hold-queue 4096 in
hold-queue 4096 out

ip local pool nat_to_usi 10.1.3.2 10.1.3.254

ip nat translation timeout 600
ip nat translation tcp-timeout 600
ip nat translation max-entries 20000
ip nat pool real_ip_for_nat 212.57.158.18 212.57.158.18 netmask 255.255.255.240
ip nat inside source list 110 pool real_ip_for_nat overload

access-list 101 permit ip any any
access-list 110 permit ip 10.1.3.0 0.0.0.255 any
access-list 110 deny   ip any any
access-list 111 deny   ip 10.1.3.0 0.0.0.255 any
access-list 111 permit ip any any

route-map nat_2_usi permit 10
match ip address 110
set interface Loopback0

Пользователи получают ip из сетки 10.1.3.ххх, но почему-то на линух-сервере их видно с серыми ip:

root@root:~# tethereal -i eth0 host 10.1.3.2

Capturing on eth0

0.000000 10.1.3.2 -> 87.226.191.1 ICMP Echo (ping) request

5.263914 10.1.3.2 -> 87.226.191.1 ICMP Echo (ping) request

 

Что делаю не так?

[Andrei]

Нет цискарей, которые могут что-то подсказать?

[Stak]

Есть мнение, что не нужно делать НАТ через лупбек...

[Andrei]

Есть мнение, что не нужно делать НАТ через лупбек...

Почему? На cisco.com таких примеров много.

[Stak]

Note: The router must process switch every packet due to the loopback interface. This degrades the performance of the router.

 

http://www.cisco.com/en/US/tech/tk648/tk36...080094430.shtml

[Andrei]

Какой вариант кроме лупбэка? На сабинтерфейсы ip назначать кошка не дает:

 

C3725#conf t

Enter configuration commands, one per line. End with CNTL/Z.

C3725(config)#interface FastEthernet0/0.1

C3725(config-subif)#ip address 10.10.10.1 255.255.255.0

 

% Configuring IP routing on a LAN subinterface is only allowed if that

subinterface is already configured as part of an IEEE 802.10, IEEE 802.1Q,

or ISL vLAN.