Быстродействие Cisco 7201

Ivan Rostovikov · March 18, 2009

Уважаемые коллеги.

Что (какие факторы) по Вашему наиболее сильно влияют на загрузку процессора у Cisco 7201 ?

В процессе эксплуатации у меня возникли опасения, что она не "вытягивает" обещаный 1Г.

Сейчас при 200М загрузка до 75%%

2bit · March 18, 2009

Я конечно с кошками не работаю, но 1Гбит/с это что-то крутовато.

Может лучше начать с того, что вы используете на ней?

UglyAdmin · March 18, 2009

В качестве простейшего роутера между двумя интерфейсами - вытянет.

Если нагрузить терминированием юзеров с шейпингами, полисингами, netflow'ами, ACL'ями - больше 400 мегабит вряд ли.

sirmax · March 18, 2009

В качестве простейшего роутера между двумя интерфейсами - вытянет.
Если нагрузить терминированием юзеров с шейпингами, полисингами, netflow'ами, ACL'ями - больше 400 мегабит вряд ли.

Под pptp с шейперами 400мбит и все.

ISG с ip-сессиями - 500, но проверяли коллеги из другого города...

Собственно, все.

Ivan Rostovikov · March 18, 2009

>В качестве простейшего роутера между двумя интерфейсами - вытянет.

Сейчас используется как "бордер":

Работают 2 интерфейса.

BGP - только анонсы своих префиксов.

роутинг - все на 0.0.0.0/0

NAT 50К трансляций.

2К хостов онлайн.

2 ACL по 3-4 строки (для нат)

1 ACL ~ 30 строк.

spservicesk9-mz.124-15.T3

При 200М - загрузка под 75 %

Edited March 18, 2009 by Ivan Rostovikov

AlexTV · March 18, 2009

http://www.cisco.com/web/partners/download...formancerus.pdf

Читаем офф. документ и думаем.

Telesis · March 18, 2009

Пожиратели CPU.

BGP - только анонсы своих префиксов.
NAT 50К трансляций.

UglyAdmin · March 18, 2009

Как бордер без NATа с двумя FV и Netflow c агрегацией по AS 7206/NPE-G2 тянет более 700 мбит при примерно 80% загрузке.

Так что пожиратель там именно NAT.

SokolovS · March 18, 2009

Скорее даже NAT. Рекомендую не использовать в NAT overload, а транслирвоать один в один. Тогда число трансляций резко упадет до значения размера пула.

Edited March 18, 2009 by SokolovS

Ivan Rostovikov · March 18, 2009

Я таки думал.

Однако непонятно почему загрузка процесса NAT ager не отражает весь драматизм ситуации ?

Там всего 2-3 процента.

UglyAdmin · March 18, 2009

Как ясно из названия, NAT ager следит за временем жизни трансляций, не более.

Сами трансляции делаются CEF, что отражается на второй цифре в первой строчке sh proc cpu.

CPU utilization for five seconds: 23%/20%; one minute: 22%; five minutes: 22%

Ivan Rostovikov · March 18, 2009

>Рекомендую не использовать в NAT overload, а транслирвоать один в один. Тогда число трансляций резко упадет до значения размера пула.

Так и делаю. Благо реальных адресов есть достаточно.

Однако по факту - каждаю TCP сесия - отдельная трансляция. Тоже и для UDP и ICMP...

>ip nat pool P1 prefix-length 24

> address xxx.2.239.0 195.2.239.255

> address xxx.33.51.0 62.33.51.255

> address xxx.237.108.0 80.237.108.255

> address xxx.237.109.0 80.237.109.255

> address xxx.205.180.0 91.205.180.255

> address xxx.205.181.0 91.205.181.255

> address xxx.205.182.0 91.205.182.255

> address xxx.205.183.0 91.205.183.255

>ip nat inside source list 3 pool P1

>access-list 3 remark NAT-list for PPPoE

>access-list 3 deny 10.0.128.0 0.0.0.255

>access-list 3 permit 10.0.0.0 0.0.255.255

>access-list 3 permit 10.100.0.0 0.0.255.255

>access-list 3 permit 10.129.0.0 0.0.0.255

>access-list 3 permit 10.1.76.0 0.0.0.255

>show ip nat translations

>Pro Inside global Inside local Outside local Outside global

>tcp xxx.205.180.22:1783 10.0.0.21:1783 64.12.25.201:5190 64.12.25.201:5190

>tcp xxx.205.180.22:1786 10.0.0.21:1786 89.249.27.112:2106 89.249.27.112:2106

>tcp xxx.205.180.22:1789 10.0.0.21:1789 81.211.86.207:7777 81.211.86.207:7777

>--- xxx.205.180.22 10.0.0.21 --- ---

2UglyAdmin Спасибо. Вы подтвердили мои опасения.

Edited March 18, 2009 by Ivan Rostovikov

UglyAdmin · March 18, 2009

Может, стоит раздавать юзерам реальные IP, и не париться с NATом, если уж адресов достаточно.

Ivan Rostovikov · March 18, 2009

Золотые слова...

sirmax · March 18, 2009

Хорошие идеи приходят в голову многим людям одновременно, но там свои закидоны с помегабайтными тарифами (

SergeiK · March 18, 2009

NAT лучше вынести на отдельное устройство, например ASA5500.

Ivan Rostovikov · March 18, 2009

>но там свои закидоны с помегабайтными тарифами

Правельный биллинг не считает трафик если адрес никому не выдан.

А уж если выдан - то будьте любезны.

Edited March 18, 2009 by Ivan Rostovikov

UglyAdmin · March 18, 2009

Там есть ещё вариант с "ip flow egress", но только на БРАСе. Если клиента нет в АРПах, то пакеты ему не шлются, NetFlow не считается.

SokolovS · March 18, 2009

>Рекомендую не использовать в NAT overload, а транслирвоать один в один. Тогда число трансляций резко упадет до значения размера пула.

Так и делаю. Благо реальных адресов есть достаточно.

Однако по факту - каждаю TCP сесия - отдельная трансляция. Тоже и для UDP и ICMP...

Нее, не так делаете. Это PAT. При обычном NAT на каждый TCP/UDP и.т.д сеанс не создается отдельаня запись в таблице трансляций, только по специфичным протоколам котоыре этого требуют, типа FTP, IRC и.т.д.

Вот пример таких записей:

--- X.X.125.96         172.16.3.175          ---                   ---
--- X.X.125.97         172.16.6.26           ---                   ---
--- X.X.125.98         172.16.5.171          ---                   ---
--- X.X.125.99         172.16.2.6            ---                   ---
--- X.X.125.100        172.16.3.251          ---                   ---
--- X.X.125.101        172.16.6.159          ---                   ---
--- X.X.125.102        172.16.3.159          ---                   ---

А вот пример статистики например:

cisco6509-av94#sh ip nat stat
Total active translations: 868 (0 static, 868 dynamic; 395 extended)
Outside interfaces:
  Vlan4, Vlan9
Inside interfaces:
  Vlan5
Hits: 2264996708  Misses: 136450
Expired translations: 339688
Dynamic mappings:
-- Inside Source
access-list 2 pool GRAY-TO-WHITE-STATIC refcount 868
pool GRAY-TO-WHITE-STATIC: netmask 255.255.252.0
        start x.x.125.3 end x.x.127.254
        type generic, total addresses 764, allocated 473 (61%), misses 0

При этом сеансов более 100 тыщ.

Edited March 18, 2009 by SokolovS

Ivan Rostovikov · March 18, 2009

Приведите пример Вашего конфига ?

Как организован такой режим NAT ?

Stak · March 18, 2009

Обычная трансляция через пул без overload. Число адресов в пуле = числу активных абонентов; расход адресов не сокращается. Однако это единственный вид нат на много пользователей, который будет нормально работать на 65ХХ/76ХХ без извращений типа fwsm или ace)))

В примере выше пул на 1024 адреса, активно ~850 абонентов.

SokolovS · March 19, 2009

Однако это единственный вид нат на много пользователей, который будет нормально работать на 65ХХ/76ХХ без извращений типа fwsm или ace)))

Да ты прав, ибо каталисты без PIX,a для этого не предназначены.

Ivan Rostovikov · March 19, 2009

Эта тема про 7201. Каталисты - мимо.

Я привел свой конфиг, там черным по белому написано "БЕЗ overload". При этом отдельная трансляция на каждую сессию.

По этому прошу привести Ваш пример.Но на каталистах видимо все не так, как на роутерах.

SokolovS · March 19, 2009

2Ivan Rostovikov: значит на роутере должен быть доп. параметр при заведении nat отключающий overload. Например noverload. На каталисте по умолчанию overload отключени и включается указанием в самом конце команды опции overload. В роутере может быть все наоборот, т.е. по уомлчанию включен.

Ivan Rostovikov · March 19, 2009

#conf t

(config)#ip nat inside source list 3 pool TTK ?

mapping-id Associate a mapping id to this mapping

overload Overload an address translation

reversible Allow out->in traffic

vrf Specify vrf

<cr>

Sign In

Быстродействие Cisco 7201

Recommended Posts

Ivan Rostovikov

2bit

UglyAdmin

sirmax

Ivan Rostovikov

AlexTV

Telesis

UglyAdmin

SokolovS

Ivan Rostovikov

UglyAdmin

Ivan Rostovikov

UglyAdmin

Ivan Rostovikov

sirmax

SergeiK

Ivan Rostovikov

UglyAdmin

SokolovS

Ivan Rostovikov

Stak

SokolovS

Ivan Rostovikov

SokolovS

Ivan Rostovikov

Join the conversation