Перейти к содержимому
Калькуляторы

Быстродействие Cisco 7201

Уважаемые коллеги.

 

Что (какие факторы) по Вашему наиболее сильно влияют на загрузку процессора у Cisco 7201 ?

В процессе эксплуатации у меня возникли опасения, что она не "вытягивает" обещаный 1Г.

Сейчас при 200М загрузка до 75%%

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я конечно с кошками не работаю, но 1Гбит/с это что-то крутовато.

Может лучше начать с того, что вы используете на ней?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В качестве простейшего роутера между двумя интерфейсами - вытянет.

Если нагрузить терминированием юзеров с шейпингами, полисингами, netflow'ами, ACL'ями - больше 400 мегабит вряд ли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В качестве простейшего роутера между двумя интерфейсами - вытянет.

Если нагрузить терминированием юзеров с шейпингами, полисингами, netflow'ами, ACL'ями - больше 400 мегабит вряд ли.

Под pptp с шейперами 400мбит и все.

ISG с ip-сессиями - 500, но проверяли коллеги из другого города...

Собственно, все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>В качестве простейшего роутера между двумя интерфейсами - вытянет.

 

Сейчас используется как "бордер":

Работают 2 интерфейса.

BGP - только анонсы своих префиксов.

роутинг - все на 0.0.0.0/0

NAT 50К трансляций.

2К хостов онлайн.

2 ACL по 3-4 строки (для нат)

1 ACL ~ 30 строк.

spservicesk9-mz.124-15.T3

При 200М - загрузка под 75 %

Изменено пользователем Ivan Rostovikov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пожиратели CPU.

BGP - только анонсы своих префиксов.

NAT 50К трансляций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как бордер без NATа с двумя FV и Netflow c агрегацией по AS 7206/NPE-G2 тянет более 700 мбит при примерно 80% загрузке.

Так что пожиратель там именно NAT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скорее даже NAT. Рекомендую не использовать в NAT overload, а транслирвоать один в один. Тогда число трансляций резко упадет до значения размера пула.

Изменено пользователем SokolovS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я таки думал.

Однако непонятно почему загрузка процесса NAT ager не отражает весь драматизм ситуации ?

Там всего 2-3 процента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как ясно из названия, NAT ager следит за временем жизни трансляций, не более.

Сами трансляции делаются CEF, что отражается на второй цифре в первой строчке sh proc cpu.

CPU utilization for five seconds: 23%/20%; one minute: 22%; five minutes: 22%

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>Рекомендую не использовать в NAT overload, а транслирвоать один в один. Тогда число трансляций резко упадет до значения размера пула.

 

Так и делаю. Благо реальных адресов есть достаточно.

Однако по факту - каждаю TCP сесия - отдельная трансляция. Тоже и для UDP и ICMP...

 

>ip nat pool P1 prefix-length 24

> address xxx.2.239.0 195.2.239.255

> address xxx.33.51.0 62.33.51.255

> address xxx.237.108.0 80.237.108.255

> address xxx.237.109.0 80.237.109.255

> address xxx.205.180.0 91.205.180.255

> address xxx.205.181.0 91.205.181.255

> address xxx.205.182.0 91.205.182.255

> address xxx.205.183.0 91.205.183.255

>ip nat inside source list 3 pool P1

>access-list 3 remark NAT-list for PPPoE

>access-list 3 deny 10.0.128.0 0.0.0.255

>access-list 3 permit 10.0.0.0 0.0.255.255

>access-list 3 permit 10.100.0.0 0.0.255.255

>access-list 3 permit 10.129.0.0 0.0.0.255

>access-list 3 permit 10.1.76.0 0.0.0.255

 

>show ip nat translations

 

>Pro Inside global Inside local Outside local Outside global

>tcp xxx.205.180.22:1783 10.0.0.21:1783 64.12.25.201:5190 64.12.25.201:5190

>tcp xxx.205.180.22:1786 10.0.0.21:1786 89.249.27.112:2106 89.249.27.112:2106

>tcp xxx.205.180.22:1789 10.0.0.21:1789 81.211.86.207:7777 81.211.86.207:7777

>--- xxx.205.180.22 10.0.0.21 --- ---

 

 

2UglyAdmin Спасибо. Вы подтвердили мои опасения.

Изменено пользователем Ivan Rostovikov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может, стоит раздавать юзерам реальные IP, и не париться с NATом, если уж адресов достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хорошие идеи приходят в голову многим людям одновременно, но там свои закидоны с помегабайтными тарифами (

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NAT лучше вынести на отдельное устройство, например ASA5500.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>но там свои закидоны с помегабайтными тарифами

Правельный биллинг не считает трафик если адрес никому не выдан.

А уж если выдан - то будьте любезны.

Изменено пользователем Ivan Rostovikov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там есть ещё вариант с "ip flow egress", но только на БРАСе. Если клиента нет в АРПах, то пакеты ему не шлются, NetFlow не считается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
>Рекомендую не использовать в NAT overload, а транслирвоать один в один. Тогда число трансляций резко упадет до значения размера пула.

 

Так и делаю. Благо реальных адресов есть достаточно.

Однако по факту - каждаю TCP сесия - отдельная трансляция. Тоже и для UDP и ICMP...

Нее, не так делаете. Это PAT. При обычном NAT на каждый TCP/UDP и.т.д сеанс не создается отдельаня запись в таблице трансляций, только по специфичным протоколам котоыре этого требуют, типа FTP, IRC и.т.д.

 

Вот пример таких записей:

--- X.X.125.96         172.16.3.175          ---                   ---
--- X.X.125.97         172.16.6.26           ---                   ---
--- X.X.125.98         172.16.5.171          ---                   ---
--- X.X.125.99         172.16.2.6            ---                   ---
--- X.X.125.100        172.16.3.251          ---                   ---
--- X.X.125.101        172.16.6.159          ---                   ---
--- X.X.125.102        172.16.3.159          ---                   ---

 

А вот пример статистики например:

cisco6509-av94#sh ip nat stat
Total active translations: 868 (0 static, 868 dynamic; 395 extended)
Outside interfaces:
  Vlan4, Vlan9
Inside interfaces:
  Vlan5
Hits: 2264996708  Misses: 136450
Expired translations: 339688
Dynamic mappings:
-- Inside Source
access-list 2 pool GRAY-TO-WHITE-STATIC refcount 868
pool GRAY-TO-WHITE-STATIC: netmask 255.255.252.0
        start x.x.125.3 end x.x.127.254
        type generic, total addresses 764, allocated 473 (61%), misses 0

 

При этом сеансов более 100 тыщ.

Изменено пользователем SokolovS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обычная трансляция через пул без overload. Число адресов в пуле = числу активных абонентов; расход адресов не сокращается. Однако это единственный вид нат на много пользователей, который будет нормально работать на 65ХХ/76ХХ без извращений типа fwsm или ace)))

 

В примере выше пул на 1024 адреса, активно ~850 абонентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Однако это единственный вид нат на много пользователей, который будет нормально работать на 65ХХ/76ХХ без извращений типа fwsm или ace)))

Да ты прав, ибо каталисты без PIX,a для этого не предназначены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эта тема про 7201. Каталисты - мимо.

Я привел свой конфиг, там черным по белому написано "БЕЗ overload". При этом отдельная трансляция на каждую сессию.

По этому прошу привести Ваш пример.Но на каталистах видимо все не так, как на роутерах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2Ivan Rostovikov: значит на роутере должен быть доп. параметр при заведении nat отключающий overload. Например noverload. На каталисте по умолчанию overload отключени и включается указанием в самом конце команды опции overload. В роутере может быть все наоборот, т.е. по уомлчанию включен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

#conf t

(config)#ip nat inside source list 3 pool TTK ?

mapping-id Associate a mapping id to this mapping

overload Overload an address translation

reversible Allow out->in traffic

vrf Specify vrf

<cr>

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас