[SokolovS]

А покажи

sh run | inc nat inside

 

Еще посмотри какое значение у

ip nat translation timeout

 

P.S.: Кстати интересный параметр reversible. На каталистах при отключенном overload (т.е. по дефолту), оттранслированный адрес доступен извне, по своему белому адресу (из таблицы). Т.е. при таком нате нет например проблем с p2p. На роутере видимо это включается этой опцией.

Изменено 19 марта, 2009 пользователем SokolovS

[Ivan Rostovikov]

#sh run | inc nat inside

ip nat inside

ip nat inside source list 3 pool TTK

ip nat inside source list 4 pool TTK4 overload <<< Это запасная трансляция (на 1 внешний адрес).Сейчас не используется.

 

#sh run | inc ip nat translation timeout

ip nat translation timeout 20

 

Может как раз "reversible" включит такой режим ?

Вот что нагуглил:

 

3. Без слова reversible все происходит стандартно. Сессия начинается на Inside интерфейсе, в таблице трансляций создается запись с указанием всех адресов (inside local, inside global, outside local, outside global) и соответствующих портов. При такой записи обратно пройдет только трафик с тех же портов и того же глобального адреса.

 

При использовании reversible при начале сессии создается две записи. Одна полная. И одна с указанием только inside global и inside local адресов. Это позволяет прохождение любого обратного трафика.

Изменено 20 марта, 2009 пользователем Ivan Rostovikov

[Notius]

Однако по факту - каждаю TCP сесия - отдельная трансляция. Тоже и для UDP и ICMP...

no ip nat create flow-entries

 

[Ivan Rostovikov]

>no ip nat create flow-entries

 

8-)

 

Блин, а ведь и правда !

Действительно, flow-entries исчезли. Но на производительность (загрузку CPU) это не повлияло :-(

[grfmaniak]

Обычная трансляция через пул без overload. Число адресов в пуле = числу активных абонентов; расход адресов не сокращается. Однако это единственный вид нат на много пользователей, который будет нормально работать на 65ХХ/76ХХ без извращений типа fwsm или ace)))

 

В примере выше пул на 1024 адреса, активно ~850 абонентов.

А зачем вообще тогда NAT использовать? Выдавать всем реальные ip из этого самого пула динамически, и все. Расход адресов такой же, никаких проблем с работой через NAT и ресурсы проца NAT не жрет.

[leveler]

А зачем вообще тогда NAT использовать? Выдавать всем реальные ip из этого самого пула динамически, и все. Расход адресов такой же, никаких проблем с работой через NAT и ресурсы проца NAT не жрет.

Тут вопрос может быть в другом - умеет ли это биллинг.

[Stak]

<br />

Обычная трансляция через пул без overload. Число адресов в пуле = числу активных абонентов; расход адресов не сокращается. Однако это единственный вид нат на много пользователей, который будет нормально работать на 65ХХ/76ХХ без извращений типа fwsm или ace)))<br /><br />В примере выше пул на 1024 адреса, активно ~850 абонентов.

<br /><br />А зачем вообще тогда NAT использовать? Выдавать всем реальные ip из этого самого пула динамически, и все. Расход адресов такой же, никаких проблем с работой через NAT и ресурсы проца NAT не жрет.<br />

<br /><br /><br />

Выдача из пула реальных ip - это если туннели используются. А для схемы с дхцп вполне подходит - внутри сети приватная адресация, и нат для абонентов один-в-один на том же свиче агрегации. и не нужно на внутренние линки адреса выделять.

[UglyAdmin]

ХМ, а почему нельзя выдавать реальные адреса по DHCP, со временем жизни полсуток или вообще час?

Вопрос только в привязке выданных IP к юзеру - т.е. связка с биллингом.

[Stak]

Да можно конечно и реальные выдавать. Даже лучше. Однако если адреса PA, а сами не LIR то при смене аплинка ведь нужна перенумерация... Хотя это больше надуманная проблема. В общем имхо вариант с нат один в один тоже имеет право на существование. Особенно на 65х)))

[UglyAdmin]

Если выдавать по DHCP, а не статиком, то и перенумерации не потребуется - просто в следующий раз выдастся новый адрес...

[Valaskor]

Интересует опыт использования 7201 как бордера, с netflow и bgp (в пределах нескольких тыс. маршрутов).

Насколько ее загрузит netflow?

[Telesis]

2-FullView,Netflow,MPLS, трафика на 100М - загрузка порядка 30%

[UglyAdmin]

Несильно, кстати.

У меня, правда, аггрегированный нетфлов (по АС), но грузит не более 10% в дополнение ко всему остальному...

[Sqquirrel]

Там есть ещё вариант с "ip flow egress", но только на БРАСе. Если клиента нет в АРПах, то пакеты ему не шлются, NetFlow не считается.

Не понял, т.е. если а АРПах клиента нет, на все что он скачает netflow не будет сгенерирован?

[UglyAdmin]

В данном случае говорится о ситуации, когда у клиента есть сабинтерфейс на циске.

Это каким образом он может что-либо скачать, если его нет в ARP'ах?

[pliskinsad]

1600 абонентов pppoe, rate-limt, несложные acl, netflow, трафика порядка 1gbit. Загрузка 80%.

Изменено 19 ноября, 2009 пользователем pliskinsad

[fon_yurgen]

2-FullView,Netflow,MPLS, трафика на 100М - загрузка порядка 30%

Добрый день! Встряну тут со своими проблемами. 7201, FullView, 2 IX, порядка 40 прямых пиров (там от единиц до десятков-сотен маршрутов), полисинг для 80-ти /30 сетей, NetFlow. При 120-130 Мбит/сек - средняя загрузка 80%, в пиках - 100%. Как так? Всё работает на одном физическом интерфейсе - настругано 5-6 сабинтерфейсов в сторону апстримов и внутрь сети.

[avf]

У нас одна из 7201 обслуживает uplink в 900 мбит/с, CPU - 65%

[Alex780]

500Мбит вход и 350 Мбит выход, только 2FV, никаких фильтров и флоу - 45%

[fon_yurgen]

2-FullView,Netflow,MPLS, трафика на 100М - загрузка порядка 30%

Добрый день! Встряну тут со своими проблемами. 7201, FullView, 2 IX, порядка 40 прямых пиров (там от единиц до десятков-сотен маршрутов), полисинг для 80-ти /30 сетей, NetFlow. При 120-130 Мбит/сек - средняя загрузка 80%, в пиках - 100%. Как так? Всё работает на одном физическом интерфейсе - настругано 5-6 сабинтерфейсов в сторону апстримов и внутрь сети.

Утащил полисинг на каталист 2960G - он даже не заметил, а 7201 разгрузился чуть ли не вполовину.

[Дегтярев Илья]

no ip nat create flow-entries

 

8-)

 

Блин, а ведь и правда !

Действительно, flow-entries исчезли. Но на производительность (загрузку CPU) это не повлияло

Подниму старую тему. Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.

 

Ввожу:

asr1006-2(config)#no ip nat create flow-entries

%NAT: Disabling of flow creation is not allowed

 

Конфиг:

ip nat pool nat-pool-c 3.5.3.1 3.5.5.254 prefix-length 22
ip nat inside source list nat-net-c pool nat-pool-c vrf edge-nat
!
ip route vrf edge-nat 0.0.0.0 0.0.0.0 81.81.81.17 permanent
ip route vrf edge-nat 10.5.0.0 255.255.0.0 81.81.81.9 permanent
!
ip access-list extended nat-net-c
   permit ip 10.5.64.0 0.0.63.255 any

Изменено 27 октября, 2010 пользователем Дегтярев Илья

[ichthyandr]

всетаки относительно cisco 7201 - заявлено коммутация максимум 2000000 пакетов в секунду и пропускная спсобность всего 1Gb?

[darkagent]

всетаки относительно cisco 7201 - заявлено коммутация максимум 2000000 пакетов в секунду и пропускная спсобность всего 1Gb?

почему 1Gb ? вы используете 72ую только в четверть ее возможностей?

4 порта х 1 Гбит/с

не факт конечно что она выживет под такой нагрузкой, но видимо в таких условиях и достигается 2mpps предел.

ну или как вариант влейте 110мбит/с поток из пакетов минимального размера... думаю вы сильно удивитесь что предел так быстро достижим..

[UglyAdmin]

2Mpps - это "сферических пакетов в вакууме".

Т.е. пакетов по 64 байта с одного интерфейса на другой, без ничего, даже ACL. И таблица маршрутизации из двух записей - для одного интерфейса и для другого.