Andrei Опубликовано 17 декабря, 2008 · Жалоба Имеется циска 3620. На борту карточка на 1 FastEthernet + 2Е1. По 1 Е1 принимаем инет от магистрала и через НАТ на этой же циске отдаем пользователям. IOS - c3620-ik8o3s-mz.122-13.bin cisco 3620 (R4700) processor (revision 0x81) with 49152K/16384K bytes of memory. Processor board ID 24807390 R4700 CPU at 80Mhz, Implementation 33, Rev 1.0 Channelized E1, Version 1.0. Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). Primary Rate ISDN software, Version 1.1. 1 FastEthernet/IEEE 802.3 interface(s) 1 Serial network interface(s) 2 Channelized E1/PRI port(s) DRAM configuration is 32 bits wide with parity disabled. 29K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) Фрагмент конфига, скасающийся НАТа (собственно больше на этой циске задач и нет, сейчас на ней размер макс.таблицы трасляций - 25000 строк): ip cef controller E1 1/0 framing NO-CRC4 channel-group 0 timeslots 1-31 description To Rostelecom ! controller E1 1/1 shutdown ! ! ! interface FastEthernet1/0 description To Local ip address 10.1.2.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside no ip mroute-cache speed 10 half-duplex hold-queue 4096 in hold-queue 4096 out ! interface Serial1/0:0 description To Rostelecom ip address 94.хх.хх.94 255.255.255.252 ip access-group 110 out ip verify unicast reverse-path no ip redirects no ip unreachables no ip proxy-arp ip nat outside no fair-queue hold-queue 4096 in hold-queue 4096 out ! ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat translation max-entries 25000 ip nat pool to_rt2 94.хх.хх.94 94.хх.хх.94 netmask 255.255.255.252 ip nat inside source list 100 pool to_rt2 overload ip classless ip route 0.0.0.0 0.0.0.0 94.хх.хх.93 100 ip route 10.1.3.0 255.255.255.0 10.1.2.1 no ip http server ! access-list 100 permit ip 10.1.3.0 0.0.0.255 any access-list 100 deny ip any any access-list 110 deny ip 10.1.3.0 0.0.0.255 any access-list 110 permit ip any any Особо интересуют вот эти параметры: ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat translation max-entries 25000 Сколько юзеров за НАТом потянет такая циска? Какова оптимальный размер таблицы НАТа на ней? Оптимальные параметры таймаутов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 декабря, 2008 · Жалоба Нет на форуме цисководов?! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mancubus Опубликовано 19 декабря, 2008 · Жалоба Вы задаёте эфимерный вопрос =) Будет работать пока память есть... сколько ж Вы хотите запихнуть пользователей в e1? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boombastic Опубликовано 19 декабря, 2008 (изменено) · Жалоба IOS - c3620-ik8o3s-mz.122-13.bin Фрагмент конфига, скасающийся НАТа (собственно больше на этой циске задач и нет, сейчас на ней размер макс.таблицы трасляций - 25000 строк): ip nat translation timeout 1800 ip nat translation tcp-timeout 1800 ip nat translation udp-timeout 150 ip nat translation max-entries 25000 Сколько юзеров за НАТом потянет такая циска? Какова оптимальный размер таблицы НАТа на ней? Оптимальные параметры таймаутов? Привет Андрей. вижу ты так и мучаешься с этим вопром :).Ну смотри, вот что есть на cisco.com Q. How many concurrent NAT sessions are supported in Cisco IOS NAT? A. The NAT session limit is bounded by the amount of available DRAM in the router. Each NAT translation consumes about 312 bytes in DRAM. As a result, 10,000 translations (more than would generally be handled on a single router) would consume about 3 MB. Therefore, typical routing hardware has more than enough memory to support thousands of NAT translations. (http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.shtml) говоря по русски - в раутерах нет ограничений на таблицу nat транляций (они есть в cat6500). Всё заканчивается гораздо раньше из-за нехватки либо CPU либо RAM. Если хочешь потюнить NAT то почитай вот: http://www.cisco.com/en/US/docs/ios/12_3t/...e/gt_natrl.html в ограничениях на nat entries можно вставлять ACL ;) Плюс, порядок обработки пакетов при работе с NAT: http://www.cisco.com/en/US/tech/tk648/tk36...080133ddd.shtml Плюс, рыская в своё время на cisco.com на предмет этого же вопроса, я встречал картинку с описанием в котором фигурировала вот такая информация: NAT would handle the routing to the host similar to PBR. Но это. сам понимаешь, очень смахивает на "вилами по воде" Изменено 19 декабря, 2008 пользователем boombastic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 декабря, 2008 · Жалоба Будет работать пока память есть...Это как раз понятно.Когда память кончится, будет уже поздно. Потому и стоит ip nat translation max-entries 25000 сколько ж Вы хотите запихнуть пользователей в e1Пошейпленных до 64К или 128К - до 40-50 одновременных. Вполне по божески. http://www.cisco.com/en/US/tech/tk648/tk36...0800e523b.shtmlЭто прочел в 1ю очередь, но ответов на свои вопросы не нашел. http://www.cisco.com/en/US/docs/ios/12_3t/....html#wp1046355Это уже ближе к истине. Почитаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 19 декабря, 2008 · Жалоба Есть еще чУдная команда ip nat translation max-entries all-host 300 ограничить кол-во сесий - 300 на 1 хост, но мой IOS ее не поддерживает :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boombastic Опубликовано 19 декабря, 2008 · Жалоба вывод, меняй IOS p.s. JFYI: Поддержка 12.3 Mainline закончилась 15.03.2008. Я бы на твоём месте обновил до 12.3.26 и "жил" пока 3620 не помрёт окончательно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...