Andrei Posted December 17, 2008 Posted December 17, 2008 Имеется циска 3620. На борту карточка на 1 FastEthernet + 2Е1. По 1 Е1 принимаем инет от магистрала и через НАТ на этой же циске отдаем пользователям. IOS - c3620-ik8o3s-mz.122-13.bin cisco 3620 (R4700) processor (revision 0x81) with 49152K/16384K bytes of memory. Processor board ID 24807390 R4700 CPU at 80Mhz, Implementation 33, Rev 1.0 Channelized E1, Version 1.0. Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). Primary Rate ISDN software, Version 1.1. 1 FastEthernet/IEEE 802.3 interface(s) 1 Serial network interface(s) 2 Channelized E1/PRI port(s) DRAM configuration is 32 bits wide with parity disabled. 29K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) Фрагмент конфига, скасающийся НАТа (собственно больше на этой циске задач и нет, сейчас на ней размер макс.таблицы трасляций - 25000 строк): ip cef controller E1 1/0 framing NO-CRC4 channel-group 0 timeslots 1-31 description To Rostelecom ! controller E1 1/1 shutdown ! ! ! interface FastEthernet1/0 description To Local ip address 10.1.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside no ip mroute-cache speed 10 half-duplex hold-queue 4096 in hold-queue 4096 out ! interface Serial1/0:0 description To Rostelecom ip address 94.хх.хх.94 255.255.255.252 ip access-group 110 out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside no fair-queue hold-queue 4096 in hold-queue 4096 out ! ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat translation max-entries 25000 ip nat pool to_rt2 94.хх.хх.94 94.хх.хх.94 netmask 255.255.255.252 ip nat inside source list 100 pool to_rt2 overload ip classless ip route 0.0.0.0 0.0.0.0 94.хх.хх.93 100 ip route 10.1.3.0 255.255.255.0 10.1.2.1 no ip http server ! access-list 100 permit ip 10.1.3.0 0.0.0.255 any access-list 100 deny ip any any access-list 110 deny ip 10.1.3.0 0.0.0.255 any access-list 110 permit ip any any Особо интересуют вот эти параметры: ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat translation max-entries 25000 Сколько юзеров за НАТом потянет такая циска? Какова оптимальный размер таблицы НАТа на ней? Оптимальные параметры таймаутов? Вставить ник Quote
Andrei Posted December 18, 2008 Author Posted December 18, 2008 Нет на форуме цисководов?! :) Вставить ник Quote
Mancubus Posted December 19, 2008 Posted December 19, 2008 Вы задаёте эфимерный вопрос =) Будет работать пока память есть... сколько ж Вы хотите запихнуть пользователей в e1? Вставить ник Quote
boombastic Posted December 19, 2008 Posted December 19, 2008 (edited) IOS - c3620-ik8o3s-mz.122-13.bin Фрагмент конфига, скасающийся НАТа (собственно больше на этой циске задач и нет, сейчас на ней размер макс.таблицы трасляций - 25000 строк): ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat translation max-entries 25000 Сколько юзеров за НАТом потянет такая циска? Какова оптимальный размер таблицы НАТа на ней? Оптимальные параметры таймаутов? Привет Андрей. вижу ты так и мучаешься с этим вопром :).Ну смотри, вот что есть на cisco.com Q. How many concurrent NAT sessions are supported in Cisco IOS NAT? A. The NAT session limit is bounded by the amount of available DRAM in the router. Each NAT translation consumes about 312 bytes in DRAM. As a result, 10,000 translations (more than would generally be handled on a single router) would consume about 3 MB. Therefore, typical routing hardware has more than enough memory to support thousands of NAT translations. (http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.shtml) говоря по русски - в раутерах нет ограничений на таблицу nat транляций (они есть в cat6500). Всё заканчивается гораздо раньше из-за нехватки либо CPU либо RAM. Если хочешь потюнить NAT то почитай вот: http://www.cisco.com/en/US/docs/ios/12_3t/...e/gt_natrl.html в ограничениях на nat entries можно вставлять ACL ;) Плюс, порядок обработки пакетов при работе с NAT: http://www.cisco.com/en/US/tech/tk648/tk36...080133ddd.shtml Плюс, рыская в своё время на cisco.com на предмет этого же вопроса, я встречал картинку с описанием в котором фигурировала вот такая информация: NAT would handle the routing to the host similar to PBR. Но это. сам понимаешь, очень смахивает на "вилами по воде" Edited December 19, 2008 by boombastic Вставить ник Quote
Andrei Posted December 19, 2008 Author Posted December 19, 2008 Будет работать пока память есть...Это как раз понятно.Когда память кончится, будет уже поздно. Потому и стоит ip nat translation max-entries 25000 сколько ж Вы хотите запихнуть пользователей в e1Пошейпленных до 64К или 128К - до 40-50 одновременных. Вполне по божески. http://www.cisco.com/en/US/tech/tk648/tk36...0800e523b.shtmlЭто прочел в 1ю очередь, но ответов на свои вопросы не нашел. http://www.cisco.com/en/US/docs/ios/12_3t/....html#wp1046355Это уже ближе к истине. Почитаю. Вставить ник Quote
Andrei Posted December 19, 2008 Author Posted December 19, 2008 Есть еще чУдная команда ip nat translation max-entries all-host 300 ограничить кол-во сесий - 300 на 1 хост, но мой IOS ее не поддерживает :( Вставить ник Quote
boombastic Posted December 19, 2008 Posted December 19, 2008 вывод, меняй IOS p.s. JFYI: Поддержка 12.3 Mainline закончилась 15.03.2008. Я бы на твоём месте обновил до 12.3.26 и "жил" пока 3620 не помрёт окончательно Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.