commik Опубликовано 22 июня, 2006 · Жалоба Небольшая корпоративная сеточка на 30 компов. Одноранговая звезда на неуправляемых коммутаторах. Cisco 1841 в качестве шлюза. Внутренние адреса за NATом. Обычный пинг на шлюз <= 1mc. По непонятным причинам пинг может подняться до 100-500мс или вообще пропадает. От получаса и часов до трёх (может и дольше). Потом также опускается до обычных значений. Такое происходит уже на протяжение двух недель. До 1841 этого отработала около 10 месяцев "как часы". В сети есть файловый-почтовый сервер и сервер билинга. Оба на виндах. Нужна срочная помощь. config Current configuration : 2952 bytes ! version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname commcisco ! boot-start-marker boot-end-marker ! ! ! ip tcp synwait-time 10 ! ! no ip bootp server ip domain name blacki.net ip name-server xxx.xxx.xxx.x ip name-server xxx.xxx.xxx.x no ftp-server write-enable ! ! ! ! interface Loopback10 ip address 10.10.10.1 255.255.255.0 ip route-cache policy ip route-cache flow ! interface FastEthernet0/0 description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_LAN$$FW_INSIDE$$ETH-LAN$ ip address xxx.xxx.xxx.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip route-cache policy ip route-cache flow speed 100 full-duplex no cdp enable no mop enabled ! interface FastEthernet0/1 description $ETH-LAN$ ip address xxx.xxx.xxx.xxx 255.255.255.xxx no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip route-cache policy ip route-cache flow ip policy route-map MAP duplex auto speed auto no cdp enable no mop enabled ! ip classless ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx ip flow-export source FastEthernet0/0 ip flow-export version 5 ip flow-export destination xxx.xxx.xxx.2 2055 no ip http server ip http authentication local ip http timeout-policy idle 600 life 86400 requests 10000 ip nat Stateful id 10 ip nat pool LAN xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx netmask 255.255.255.240 ip nat inside source list 50 pool LAN overload ! ! logging trap debugging access-list 50 remark LAN access-list 50 permit xxx.xxx.xxx.0 0.0.0.255 access-list 108 permit ip any xxx.xxx.xxx.0 0.0.0.255 no cdp run route-map MAP permit 10 match ip address 108 set interface Loopback10 FastEthernet0/0 ! ! control-plane ! line con 0 login local transport output telnet line aux 0 login local transport output telnet line vty 0 4 privilege level 15 login local transport input telnet line vty 5 15 privilege level 15 login local transport input telnet ! scheduler allocate 4000 1000 ntp update-calendar ntp server 192.216.191.10 end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 22 июня, 2006 · Жалоба Надо в момент задержек посмотреть sh proc, sh mem, sh int и sh ip nat st. Можнор включить консоль и терминалом посмотреть, что происходит. А по конифгу ничего не видно. Любимая причина - вирус в сети, убивающий насмерть NAT и CPU. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 22 июня, 2006 · Жалоба 1841 держит 75.000ппс, и 38мбит нагрузки. вижу 1 проблему которая тормозит устройство это реализованный подсчет трафика с помощью заворота его на CPU :) 1. стоит считаь через ingress в случае NAT а не через CPU. версия IOS позволяет. 2. access листы нужно скопилить. 3. закрыть на коммутаторах вирусные порты чтобы они вирилы не ходили на устройства маршрутизации больше проблем я не вижу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
commik Опубликовано 22 июня, 2006 · Жалоба Спасибо. Полез ковыряться. 1841 держит 75.000ппс, и 38мбит нагрузки. вижу 1 проблему которая тормозит устройство это реализованный подсчет трафика с помощью заворота его на CPU :) как развернуть? 1. стоит считаь через ingress в случае NAT а не через CPU. версия IOS позволяет.2. access листы нужно скопилить. Если не так трудно, то помоги с конфигом. Книжки не помогли. Трафик нужно считать по Netflow на 2 Мбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 22 июня, 2006 · Жалоба начать можно с #1 убираешь все завороты, раут-мэпы итп. на лупбек. description DownStream ip flow ingress ip flow egress ip nat inside ip route-cache flow description UpStream ip nat outside ip route-cache flow проверяешь sh ip chache flow не заработает проверь на 2х интерфейсах с командой ip flow egress снимает рукой процентов 50% нагрузки :) #2 мало поможет в твоем случае: применить команду. access-list compiled Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
commik Опубликовано 22 июня, 2006 · Жалоба 3. закрыть на коммутаторах вирусные порты чтобы они вирилы не ходили на устройства маршрутизациибольше проблем я не вижу. Помогли закрыть и поехало. Пинг упал. Но телнетом зайти пока не могу. Пойду перезагружу. Надо ещё проверить поддерживается ingress и egress или нет. Спасибочки большое вам за ответы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 23 июня, 2006 · Жалоба Консолью включись! Будет виднее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 23 июня, 2006 · Жалоба убрать с: interface FastEthernet0/1 настройки: no ip route-cache policy no ip policy route-map MAP no route-map MAP permit 10 no interface Loopback10 Мы же просто перерулили трафик напрямую не через loopback по идее не должно было быть перерывов. выложи конфиг измененный. плиз. если не заработало, подправим его Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
commik Опубликовано 27 июня, 2006 (изменено) · Жалоба убрать с:interface FastEthernet0/1 настройки: no ip route-cache policy no ip policy route-map MAP no route-map MAP permit 10 no interface Loopback10 Мы же просто перерулили трафик напрямую не через loopback по идее не должно было быть перерывов. выложи конфиг измененный. плиз. если не заработало, подправим его Настройки на шлюзе не менял. Вроде как версия ПО не позволяет сделать через ingress. Закрыл порты 135-139 и 445 на комутаторе и нагрузка на циску упала. Изменено 27 июня, 2006 пользователем commik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 27 июня, 2006 · Жалоба 12.3 позволяет. Если нет, давай обновим тебе ПО :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
commik Опубликовано 28 июня, 2006 · Жалоба 12.3 позволяет. Если нет, давай обновим тебе ПО :) Давай. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 7 октября, 2008 · Жалоба Надо в момент задержек посмотреть sh proc, sh mem, sh int и sh ip nat st.что должно насторожить в полученной статистике? Например: c3620#sh proc CPU utilization for five seconds: 63%/44%; one minute: 65%; five minutes: 70% PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process 1 Cwe 603F7F00 0 3 0 5612/6000 0 Chunk Manager 2 Csp 6041E098 2148 2813 763 2616/3000 0 Load Meter 3 Mwe 60610A54 31528 2456 1283721888/24000 0 PPP auth 4 Mwe 6068119C 251540 1078 23333922420/24000 0 VTEMPLATE Backgr 5 Lst 60402E08 50812 3244 15663 5624/6000 0 Check heaps 6 Cwe 60408C34 52 30 1733 5572/6000 0 Pool Manager 7 Mst 6036253C 0 2 0 5572/6000 0 Timers 8 Mwe 6001D950 516 25 20640 5360/6000 0 Serial Backgroun 9 Lsi 601E3E0C 556 2739 202 5756/6000 0 ALARM_TRIGGER_SC 10 Mwe 6046526C 0 1 011612/12000 0 OIR Handler 11 Msi 6048355C 108 473 228 5584/6000 0 Environmental mo 12 Lwe 60485F9C 34236 12475 2744 4660/6000 0 ARP Input 13 Mwe 605F2E00 3564 3513 1014 5656/6000 0 HC Counter Timer 14 Mwe 6065CFDC 56 190 294 5564/6000 0 DDR Timers 15 Mwe 60678478 0 2 011580/12000 0 Dialer event 16 Lwe 6083859C 4 2 2000 5600/6000 0 Entity MIB API 17 Mwe 60021DB0 0 1 0 5632/6000 0 SERIAL A'detect 18 Cwe 6040DF94 0 1 0 5636/6000 0 Critical Bkgnd 19 Mwe 603C73FC 59992 19835 302410072/12000 0 Net Background 20 Lwe 6035795C 2748 1481 185510860/12000 0 Logger 21 Mwe 60378304 6584 13739 479 5128/6000 0 TTY Background 22 Msp 603C6854 15504 13773 1125 8508/9000 0 Per-Second Jobs 23 Mwe 601F9910 0 2 0 5524/6000 0 Hawkeye Backgrou 24 Mwe 60F1498C 4 1 4000 5632/6000 0 HDV background 25 Hwe 60F2B3B4 0 2 0 5584/6000 0 VNM DSPRM MAIN 26 Hwe 603C6A20 4 20 200 5616/6000 0 Net Input 27 Csp 603CF41C 56424 2813 20058 5596/6000 0 Compute load avg 28 Msp 603C687C 17096 239 71531 5640/6000 0 Per-minute Jobs 29 Mwe 605E88A8 224 313 715 5364/6000 0 Call Management 30 Mwe 610D0B6C 0 1 0 5608/6000 0 CES Line Conditi 31 Mwe 601AB33C 556 817 680 2324/6000 0 MICA Modem Event 32 Mwe 601B8E38 1436 50 28720 5180/6000 0 CSM background t 33 Lwe 601BDB10 0 1 0 5744/6000 0 CSM Tone process 34 Msp 6014D828 16900 50842 332 4316/6000 0 Framer backgroun 35 Mwe 6033ACDC 0 2 0 5584/6000 0 AAA Dictionary R 36 Mrd 604B40F0 5855120 780452 750210348/12000 0 IP Input 37 Mwe 60230074 0 1 0 5612/6000 0 IP Flow Backgrou PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process 38 Lwe 609093FC 0 1 0 5308/6000 0 X.25 Encaps Mana 39 Mwe 60C7DBDC 0 1 0 5636/6000 0 PPPATM Session d 40 Mwe 60C7D300 0 2 011576/12000 0 PASVC create VA 41 Hwe 60CE2BE4 0 2 011580/12000 0 ATM OAM Input 42 Hwe 60CE1D08 0 2 011168/12000 0 ATM OAM TIMER 43 Hwe 6061F8F0 0 1 0 5752/6000 0 Asy FS Helper 44 Mwe 605F5D58 640 648 987 5236/6000 0 PPP IP Add Route 45 Mwe 60529BC4 8880 3415 2600 8108/9000 0 IP Background 46 Hwe 6052F468 496 566 876 7928/9000 0 IP RIB Update 47 Mwe 602A9034 472 239 1974 5068/6000 0 Adj Manager 48 Mrd 6049A748 4544 19134 23710996/12000 0 TCP Timer 49 Lwe 6049F44C 16 3 533310832/12000 0 TCP Protocols 50 Lwe 604F807C 0 1 0 5636/6000 0 Probe Input 51 Mwe 604F9518 4 1 4000 5636/6000 0 RARP Input 52 Mwe 6050AA44 0 1 0 5784/6000 0 HTTP Timer 53 Hwe 60517E94 0 1 0 5776/6000 0 Socket Timers 54 Mwe 6048E488 780 306 2549 5376/6000 0 DHCPD Receive 55 Lsi 60571FB4 11304 236 47898 5288/6000 0 IP Cache Ager 56 Mwe 607E5A60 0 1 023620/24000 0 COPS 57 Hwe 60916350 0 1 0 5620/6000 0 PAD InCall 58 Mwe 608DE090 0 2 011568/12000 0 X.25 Background 59 Mwe 60A232A4 0 1 0 5788/6000 0 Inspect Timer 60 Mwe 60A491FC 0 1 0 5788/6000 0 Authentication P 61 Mwe 60A4E2F8 0 1 0 5784/6000 0 IDS Timer 62 Mwe 60831C18 0 2 0 5756/6000 0 SNMP Timers 63 Mwe 610EBB84 0 1 0 8760/9000 0 CES Client SVC R 64 Hwe 6115A1A8 0 1 0 5588/6000 0 Crypto HW Proc 65 Mwe 6033C848 1556 515 3021 5040/6000 0 AAA Accounting 66 Mwe 60EB57BC 4 2 2000 5488/6000 0 CCVPM_HDSPRM 67 Mwe 61105F74 3372 13744 245 5592/6000 0 Net Serv Timer 68 Mwe 61139BE4 4 2 2000 5580/6000 0 Crypto Support 69 Mwe 60D76828 0 1 023592/24000 0 TSP 70 Mwe 60E6C2B8 4 1 400023608/24000 0 QOS_MODULE_MAIN 71 Hwe 60E94DC4 4 1 4000 8608/9000 0 CCVPM_HTSP 72 Mwe 60EA9258 4 1 4000 5612/6000 0 CCVPM_R2 73 Mwe 60F05250 0 1 0 5640/6000 0 CCSWVOICE 74 Mwe 60FA3B80 0 2 0 5600/6000 0 Background Loade 75 Mwe 60F8A878 0 1 0 5552/6000 0 sssapp PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process 76 Mwe 61144D40 4 7 57123208/24000 0 Crypto ACL 77 Mwe 61132644 0 1 011632/12000 0 Encrypt Proc 78 Mwe 61133A5C 0 5 0 7268/8000 0 Key Proc 79 Mwe 611C3C28 0 3 0 7300/8000 0 Crypto CA 80 Mwe 61183E88 440 945 46511216/12000 0 Crypto IKMP 81 Mwe 6117B188 1420 2212 641 3140/6000 0 IPSEC key engine 82 Mwe 6117BB30 0 1 0 5712/6000 0 IPSEC manual key 83 Mwe 612769B8 0 1 0 7644/8000 0 Crypto SSL 84 Mwe 60A108C8 0 1 0 5660/6000 0 Syslog Traps 85 Lsi 60EBAEAC 696 1380 504 5048/6000 0 BUSYOUT SCAN 86 Lsi 60EBFC40 2552 12705 200 5736/6000 0 trunk conditioni 87 Hwe 60EC0FD0 0 1 0 5636/6000 0 trunk conditioni 88 Mwe 60343750 152 948 160 5612/6000 0 Call Progress No 89 Lwe 6029BD88 46992 18816 2497 4860/6000 0 CEF process 90 Mwe 602F072C 0 1 0 5640/6000 0 NBAR expand link 91 Mwe 60C1250C 900 2814 31911616/12000 0 L2F management d 92 Mwe 60C12644 0 1 011632/12000 0 L2F data daemon 93 Mwe 60C25538 0 1 011488/12000 0 L2TP data daemon 94 Mwe 60C25244 0 1 011488/12000 0 L2TP mgmt daemon 95 Mwe 60C376FC 0 1 0 5632/6000 0 PPPOE discovery 96 Mwe 60C377CC 0 1 0 5628/6000 0 PPPOE background 97 Mwe 60C3AF58 65928 24514 268910120/12000 0 PPTP Mgmt 98 Mwe 60C50BCC 1335388 311102 429211108/12000 0 PPTP Data 99 ME 600FB298 4052 113 35858 6200/12000 0 ISDN 100 Mwe 60577490 10156 13731 73910868/12000 0 TCP Driver 101 Lwe 6049E314 1200 789 1520 5012/6000 0 TCP Listener 102 Lwe 6029B654 1668 491 3397 5448/6000 0 CEF Scanner 103 Mwe 600BA6EC 0 31 023596/24000 0 ISDN Timer 104 Mwe 60585E08 64 30 2133 4432/6000 0 ISDNMIB Backgrou 105 Mwe 605904B0 24 54 444 5660/6000 0 CallMIB Backgrou 106 Hwe 600FBBD8 1276 3051 418 5412/6000 0 ISDN From Driver 107 Hwe 6064B2E4 0 2 0 5584/6000 0 CCP manager 108 Hwe 6064B1D4 0 2 0 5596/6000 0 CCP reset pak 109 Mwe 605F5F94 32712 17112 191122052/24000 0 PPP manager 110 Hwe 60629CF4 2900 13943 207 5576/6000 0 Multilink PPP 111 Hwe 6061FF08 0 2 0 5580/6000 0 Multilink PPP ou 112 Mwe 60629DF8 0 2 0 5560/6000 0 Multilink event 113 Lwe 604EF4D4 1012 377 268411096/12000 0 IP SNMP PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process 114 Mwe 60835C3C 332 193 172011460/12000 0 PDU DISPATCHER 115 Mwe 60835828 1820 193 943011136/12000 0 SNMP ENGINE 116 Lwe 605D9F5C 0 1 011652/12000 0 SNMP ConfCopyPro 117 Mwe 60832048 0 1 011616/12000 0 SNMP Traps 118 Mwe 60960C34 4168 2057 2026 4880/6000 0 RADIUS 119 Mwe 608A8180 6724 14277 470 4940/6000 0 NTP 120 Hwe 60085894 7388 5941 1243 4156/6000 0 ISDN L2 Process 121 Hwe 600A2B64 4 53 75 5764/6000 0 ISDN L3 Timer Pr 122 Hwe 600FBAB0 1556 3086 504 5344/6000 0 ISDN L2D SRQ Pro 123 Mwe 6051F968 44 118 372 5668/6000 0 DHCPD Timer 124 Msi 60527CE8 372 3980 93 5052/6000 0 DHCPD Database 125 Mwe 6098BA1C 424912 358632 1184 5484/6000 0 IP NAT Ager 126 M* 0 67588 4041 16725 9792/12000 66 Virtual Exec c3620#sh ip nat stat Total active translations: 1303 (0 static, 1303 dynamic; 1303 extended) Outside interfaces: FastEthernet1/0 Inside interfaces: Virtual-Access3, Virtual-Access4, Virtual-Access5, Virtual-Access6 Virtual-Access7, Virtual-Access10, Virtual-Access11, Virtual-Access12 Virtual-Access14, Virtual-Access15, Virtual-Access20, Virtual-Access21 Virtual-Access22, Virtual-Access25, Virtual-Access26, Virtual-Access27 Virtual-Access28, Virtual-Access30, Virtual-Access31, Virtual-Access33 Virtual-Access34, Virtual-Access35, Virtual-Access39, Virtual-Access40 Virtual-Access45, Virtual-Access46, Virtual-Access48, Virtual-Access50 Virtual-Access51, Virtual-Access53 Hits: 5026616 Misses: 210460 Expired translations: 208534 Dynamic mappings: -- Inside Source [Id: 1] access-list 100 interface FastEthernet1/0 refcount 1303 sh int дает очень объемный вывод - постить пока не буду. При этом: c3620#sh proc cpu s | e 0.00% CPU utilization for five seconds: 73%/51%; one minute: 75%; five minutes: 75% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 36 5795244 767494 7550 15.11% 16.70% 16.93% 0 IP Input 98 1321776 306166 4317 3.27% 3.87% 3.86% 0 PPTP Data 125 419900 352371 1191 2.69% 2.79% 1.95% 0 IP NAT Ager 97 65288 24244 2692 0.32% 0.17% 0.17% 0 PPTP Mgmt 27 55732 2774 20090 0.16% 0.19% 0.20% 0 Compute load avg 19 59440 19449 3056 0.08% 0.18% 0.16% 0 Net Background 89 46484 18523 2509 0.08% 0.13% 0.12% 0 CEF process Мне кажется, что многовато... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
commik Опубликовано 7 октября, 2008 · Жалоба А в чём проблема-то? Конфиг выложишь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 8 октября, 2008 · Жалоба Проблема в высокой загрузке CPU - доходит до 90%. Имеется CISCO 3620 IOS 3600 Software (C3620-IK8O3S-M), Version 12.2(13), RELEASE SOFTWARE (fc1) ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Для абонентов, жаждущих инета на ней подняты: - терминация ppp для "телефонных" dialup-абонентов, дозванивающихся на серийный номер - терминация pptp с rate-limit для pptp-абонентов, добирающихся до циски по нашей сети передачи данных В обоих случаях после авторизации абонентам выдаются реальные ip-адреса из прописанных на циске пулов (212.57.ххх.ххх и 87.226.ххх.ххх). Все работает. Но понадобилось части абонентов выдавать не реальные ip-адреса, а "серые" (172.21.40.ххх) и так же выпускать их в инет. Разумеется тут надо поднять НАТ на циске. Конфиг ниже: Current configuration : 6975 bytes ! ! Last configuration change at 23:31:30 Cheliab Tue Oct 7 2008 by andrei ! version 12.2 service timestamps debug datetime localtime show-timezone service timestamps log datetime localtime show-timezone service password-encryption ! hostname "c3620" ! logging buffered 16384 debugging no logging monitor aaa new-model aaa authentication banner ^C **************************************************************** ACCESS IS RESTRICTED TO AUTHORIZED PERSONNEL ONLY DISCONNECT IMMEDIATELY IF YOU ARE NOT - This is a privately owned networking system. Access is only authorized by employees or agents of the company. - This system is equipped with a security system intended to prevent and record all unauthorized access attempts. - Unauthorized access or use shall render the user liable *o criminal and/or civil prosecution. **************************************************************** ^C aaa authentication login default local aaa authentication ppp default group radius local aaa authorization network default group radius local aaa accounting update newinfo aaa accounting network default wait-start group radius enable secret 5 ххх enable password 7 ххх ! username х password 7 хххх username хх password 7 хххх clock timezone CHE 5 clock summer-time Cheliabinsk recurring last Sun Mar 2:00 last Sun Oct 3:00 modem call-record terse modem country mica russia no ip subnet-zero ip cef ! ip domain-name a123.ru ip name-server 87.226.ххх.х ! ip audit notify log ip audit po max-events 100 virtual-profile if-needed virtual-profile aaa ! ! vpdn enable vpdn authen-before-forward ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! ! isdn switch-type primary-net5 modemcap entry mica-v90v2:MSC=&F&D2S10=100S32=3S39=10S40=0S52=0 modemcap entry mica-NO56FLEX:MSC=&F&D2S10=50S39=15S52=0 modemcap entry mica-V90:MSC=&F&D2S0=3S10=100S16=200S17=200S19=100S32=3S34=15000S39=4S40=12S54=172 modemcap entry mica-V34:MSC=&F&D2S29=1:TPL=MSC\:&F1 modemcap entry mica-1:MSC=&F&D2S34=18000S40=100S53=0S54=456S10=50debugthismodemS71=4 modemcap entry mica-V90v3:MSC=&F&D2S0=0S20=64S34=8000S35=500S40=100S32=3S53=0S39=0S59=0 modemcap entry line call rsvp-sync ! ! ! ! ! ! controller E1 1/0 framing NO-CRC4 pri-group timeslots 1-31 ! controller E1 1/1 clock source internal pri-group timeslots 1-31 description "To ACK UNIT" ! ! location SvyazInform ! interface Loopback0 ip address 212.57.ххх.ххх 255.255.255.0 ! interface Loopback1 ip address 172.21.40.1 255.255.255.0 ! interface Null0 no ip unreachables ! interface FastEthernet1/0 ip address 87.226.ххх.х 255.255.255.252 ip verify unicast reverse-path no ip redirects no ip proxy-arp ip nat outside ip route-cache same-interface speed auto full-duplex no cdp enable ! interface Serial1/0:15 no ip address encapsulation hdlc isdn switch-type primary-net5 isdn incoming-voice modem 64 isdn calling-number 52255 no cdp enable ! interface Serial1/1:15 no ip address encapsulation hdlc isdn switch-type primary-net5 isdn protocol-emulate network isdn incoming-voice modem 64 isdn calling-number 52255 no isdn outgoing display-ie no cdp enable ! interface Virtual-Template1 description PPTP VPN template interface ip unnumbered Loopback0 ip verify unicast reverse-path no ip redirects no ip proxy-arp logging event subif-link-status autodetect encapsulation ppp peer default ip address pool to_rtk ppp authentication pap chap callin ppp ipcp dns 87.226.ххх.х ! interface Group-Async0 ip unnumbered FastEthernet1/0 ip verify unicast reverse-path no ip redirects no ip proxy-arp encapsulation ppp no logging event link-status autodetect encapsulation ppp async mode interactive peer default ip address pool to_rtk ppp authentication pap callin group-range 1 30 ! ip local pool to_usi 212.57.ххх.хх 212.57.ххх.хх group to_usi ip local pool to_rtk 87.226.ххх.ххх 87.226.ххх.хх group to_rtk ip local pool to_nat 172.21.40.2 172.21.40.254 ip nat translation timeout 20 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation dns-timeout 80 ip nat translation icmp-timeout 10 ip nat translation max-entries 20000 ip nat inside source list 100 interface FastEthernet1/0 overload ip classless ip route 0.0.0.0 0.0.0.0 87.226.ххх.х 100 no ip http server ip pim bidir-enable ! ! ip access-list extended users_in remark --- unwanted traffic / --- deny udp any eq bootps any eq bootps deny udp any eq bootps any eq bootpc deny udp any eq bootpc any eq bootps deny ip any host 255.255.255.255 deny tcp any any eq domain deny tcp any any eq 135 deny tcp any any eq 137 deny tcp any any eq 138 deny tcp any any eq 139 deny tcp any any eq 445 deny udp any any eq 135 deny udp any any eq netbios-ns deny udp any any eq netbios-dgm deny udp any any eq netbios-ss deny udp any any eq 445 deny udp any any eq 1900 deny tcp any any eq 2869 deny tcp any any eq 5000 remark --- / unwanted traffic --- remark --- Allow IP from connected network permit ip 172.21.40.0 0.0.0.255 any permit ip 87.226.ххх.0 0.0.0.255 any permit ip 212.57.ххх.0 0.0.0.255 any remark --- Deny everythig else deny ip any any logging trap debugging logging source-interface FastEthernet1/0 logging 87.226.ххх.х access-list 10 permit 87.226.ххх.х access-list 10 permit 212.57.ххх.х access-list 10 deny any access-list 99 permit 87.226.ххх.0 0.0.0.255 access-list 99 permit 212.57.ххх.0 0.0.0.255 access-list 99 deny any access-list 100 permit ip 172.21.40.0 0.0.0.255 any access-list 100 deny ip any any no cdp run route-map nonat1 permit 10 match ip address 100 ! snmp-server community public RO 10 snmp-server enable traps tty radius-server host 87.226.ххх.х auth-port 1812 acct-port 1813 radius-server key 7 хххххх ! dial-peer cor custom ! ! ! ! ! line con 0 line 1 30 no flush-at-activation modem Dialin modem autoconfigure type mica-1 exec-character-bits 8 special-character-bits 8 transport preferred none transport input all no ip tcp input-coalesce-threshold autoselect during-login autoselect ppp line aux 0 line vty 0 4 access-class 99 in exec-timeout 0 0 ! ntp clock-period 17180071 ntp server 87.226.ххх.х end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 8 октября, 2008 · Жалоба Для тех, кого надо НАТить из радиуса выдаются доп.атрибуты (пример для шейпинга на 128К/64К на туннель): Framed-Protocol - PPP Service-Type Framed-User Cisco-AVPair lcp:interface-config#1=rate-limit output 128000 24000 48000 conform-action transmit exceed-action drop Cisco-AVPair lcp:interface-config#2=rate-limit input 64000 12000 24000 conform-action transmit exceed-action drop Cisco-AVPair lcp:interface-config#3=ip unnumbered loopback1 Cisco-AVPair lcp:interface-config#4=ip nat inside Cisco-AVPair ip:addr-pool=to_nat Кол-во туннелей, которая циска должна держать - в пределах 100, из них примерно 50% за НАТом. Вчера при 55 туннелях (из них за НАТом около 40) загрузка проца была до 90% в пиках. Не думаю, что 3620 слабовата для таких вещей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
commik Опубликовано 9 октября, 2008 (изменено) · Жалоба думал у тебя 1841... вот весь мой нат interface FastEthernet0/0 ip address 80.x.x.y 255.255.255.248 ip broadcast-address 80.x.x.z no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly ip route-cache same-interface ip route-cache policy ip route-cache flow duplex auto speed auto no mop enabled ! interface FastEthernet0/1 ip address 192.168.a.1 255.255.252.0 secondary ip address 192.168.b.1 255.255.252.0 ip broadcast-address 192.168.c.255 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly ip route-cache same-interface ip route-cache policy ip route-cache flow speed auto full-duplex no cdp enable no mop enabled ! ....... ! ip route 0.0.0.0 0.0.0.0 80.x.x.x ! ...... ! ...... ip nat pool LAN 80.x.x.y 80.x.x.y netmask 255.255.255.248 ip nat inside source list 50 pool LAN overload ! ..... access-list 50 permit 192.168.a.0 0.0.3.255 access-list 50 remark LAN ... у тебя туннели и лопбэки... мне кажется это access-list 100 deny ip any any лишнее повесить на интерфейс ip nat inside уменьшить пул в который транлирует туннели повесить на interface FastEthernet1/0 secondary айпишник для натиков пс: могу ошибаться. да и ночь уже... да и не 1841. и CCNA так и не сдавал. вобщем ногами не бить. чем могу. ;) Изменено 9 октября, 2008 пользователем commik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 октября, 2008 · Жалоба мне кажется это access-list 100 deny ip any any лишнееc3620#sh access-lists 100Extended IP access list 100 permit ip 172.21.40.0 0.0.0.255 any (2719013 matches) deny ip any any (6859029 matches) т.е. эта строка в acl отрабатывает. и еще как! повесить на интерфейс ip nat insideДела в том, что не всех юзверей надо натить, а только тех, кому выдаются из пула серые ip вида 172.21.*.*. Остальных же (с белыйми ip) надо пропускать без ната. Для этого при создании виртуального интерфейса (туннеля) для тех, кого надо НАТить из радиуса выдаются доп.атрибуты, в т.ч.:Cisco-AVPair lcp:interface-config#4=ip nat inside если повесить ip nat inside прямо на интерфейс, то натить будет всех. или я не прав? уменьшить пул в который транлирует туннелиИмеется ввиду это:ip local pool to_nat 172.21.40.2 172.21.40.254 А для чего уменьшить? Пока одновременно бывает до 60 туннелей. Остальной пул не задействован, но и никак не влияет на производительность ИМХО. повесить на interface FastEthernet1/0 secondary айпишник для натиковКакой ip? Для чего? Сейчас юзвери коннектятся на имеющийся на нем ip. Вчера сам сел, как клиент, туннелем за НАТом, пустил трейс в инет и с удивлением увидел, что адрес 172.21.40.1 в трейсе виден 2 раза: две первые строки в трейсе - с адресом 172.21.40.1. Почему так? Сделал conf t int loopback 1 shut т.е. погасил интерфейс с адресом 172.21.40.1 (он - адрес сервера у клиентов после авторизации), но в трейсе он все равно 2 раза, причем и инет по-прежнему работает! Почему - так и не понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 4 ноября, 2009 · Жалоба Задача похожая - выпустить через НАТ на лупбеке пользователей в инет. Думал сделать так: пользователи коннектятся на 87.226.191.6, получают по pptp адреса из сетки 10.1.3.ххх и выходят в инет через 212.57.158.18. Физически и 212.57.158.18, и 87.226.191.6 смотрят в одну сетевую карту линух-роутера, где поднят source-routing, который и отдает сетку 87.226.191.ххх к одному магистралу, а сетку 212.57.158.ххх к другому. Фрагмент конфига: interface Loopback0 ip address 212.57.158.18 255.255.255.240 ip nat outside ip virtual-reassembly ip policy route-map nat_2_usi interface FastEthernet0/0 bandwidth 4096 ip address 172.21.36.234 255.255.255.0 secondary ip address 87.226.191.6 255.255.255.252 ip verify unicast reverse-path no ip redirects no ip proxy-arp ip nat inside ip virtual-reassembly speed auto full-duplex max-reserved-bandwidth 100 service-policy input inet hold-queue 4096 in hold-queue 4096 out ip local pool nat_to_usi 10.1.3.2 10.1.3.254 ip nat translation timeout 600 ip nat translation tcp-timeout 600 ip nat translation max-entries 20000 ip nat pool real_ip_for_nat 212.57.158.18 212.57.158.18 netmask 255.255.255.240 ip nat inside source list 110 pool real_ip_for_nat overload access-list 101 permit ip any any access-list 110 permit ip 10.1.3.0 0.0.0.255 any access-list 110 deny ip any any access-list 111 deny ip 10.1.3.0 0.0.0.255 any access-list 111 permit ip any any route-map nat_2_usi permit 10 match ip address 110 set interface Loopback0 Пользователи получают ip из сетки 10.1.3.ххх, но почему-то на линух-сервере их видно с серыми ip: root@root:~# tethereal -i eth0 host 10.1.3.2 Capturing on eth0 0.000000 10.1.3.2 -> 87.226.191.1 ICMP Echo (ping) request 5.263914 10.1.3.2 -> 87.226.191.1 ICMP Echo (ping) request Что делаю не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 9 ноября, 2009 · Жалоба Нет цискарей, которые могут что-то подсказать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 9 ноября, 2009 · Жалоба Есть мнение, что не нужно делать НАТ через лупбек... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 ноября, 2009 · Жалоба Есть мнение, что не нужно делать НАТ через лупбек... Почему? На cisco.com таких примеров много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 10 ноября, 2009 · Жалоба Note: The router must process switch every packet due to the loopback interface. This degrades the performance of the router. http://www.cisco.com/en/US/tech/tk648/tk36...080094430.shtml Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 ноября, 2009 · Жалоба Какой вариант кроме лупбэка? На сабинтерфейсы ip назначать кошка не дает: C3725#conf t Enter configuration commands, one per line. End with CNTL/Z. C3725(config)#interface FastEthernet0/0.1 C3725(config-subif)#ip address 10.10.10.1 255.255.255.0 % Configuring IP routing on a LAN subinterface is only allowed if that subinterface is already configured as part of an IEEE 802.10, IEEE 802.1Q, or ISL vLAN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...