Stak Опубликовано 13 июля, 2009 (изменено) · Жалоба NAT на Cisco ACE никто не делал для абонентов? Есть проблема с traceroute, когда ACE в роутед режиме - при трассировке вместо каждого хопа возвращает адрес конечного хоста....<br />Может быть кто-то сталкивался?<br /> Изменено 22 января, 2010 пользователем Stak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 13 июля, 2009 · Жалоба Дык АСЕ какой? Фаервол? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 13 июля, 2009 · Жалоба Application Control Engine Module ACE20-MOD-K9 вот такой АСЕ :) Самый обыкновенный... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 13 июля, 2009 · Жалоба Application Control Engine Module ACE20-MOD-K9 вот такой АСЕ :) Самый обыкновенный... там навскидку нужно разрешить management трафик (icmp) с внутреннего интерфейса. с конфигом будет легче разобраться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 13 июля, 2009 · Жалоба Конфиг примерно такой, ничего выдающегося: logging enable logging standby logging timestamp logging trap 7 logging buffered 7 logging facility 3 logging device-id context-name logging host 10.33.150.220 udp/514 no logging message 302022 no logging message 302023 no logging message 302024 no logging message 302025 no logging message 302026 no logging message 302027 no logging message 313004 access-list ANY line 8 extended permit ip any any access-list NAT1 line 8 extended permit ip 10.144.0.0 255.255.0.0 any access-list NAT1 line 18 extended permit ip 10.33.154.128 255.255.255.224 any access-list NAT1 line 28 extended permit ip host 10.33.150.220 any class-map match-any NAT1 2 match access-list NAT1 policy-map multi-match NAT class NAT1 nat dynamic 1 vlan 14 interface vlan 13 description NAT_in ip address 10.33.255.51 255.255.255.248 alias 10.33.255.49 255.255.255.248 peer ip address 10.33.255.50 255.255.255.248 mtu 1500 access-group input ANY service-policy input NAT no shutdown interface vlan 14 description NAT_out ip address 10.33.255.59 255.255.255.248 alias 10.33.255.57 255.255.255.248 peer ip address 10.33.255.58 255.255.255.248 mtu 1500 access-group input ANY nat-pool 1 1.1.220.1 1.1.223.254 netmask 255.255.252.0 no shutdown ip route 0.0.0.0 0.0.0.0 10.33.255.60 ip route 10.33.0.9 255.255.255.255 10.33.255.60 ip route 10.33.0.10 255.255.255.255 10.33.255.60 ip route 10.0.0.0 255.0.0.0 10.33.255.52 ip route 1.1.1.0 255.255.255.0 10.33.255.52 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chocholl Опубликовано 13 июля, 2009 · Жалоба class-map type management match-any MANAGEMENT 6 match protocol icmp source-address 0.0.0.0 0.0.0.0 policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY class MANAGEMENT permit и и REMOTE_MGMT_ALLOW_POLICY повесьте на nat_in и nat_out интерфейс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 13 июля, 2009 · Жалоба Благодарствую, вечером попробую. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 13 июля, 2009 · Жалоба Еще можно посмотреть в сторону loadbalance vip icmp-reply active в вип_полиси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 13 июля, 2009 · Жалоба Еще можно посмотреть в сторону loadbalance vip icmp-reply active в вип_полиси. А где вы в этом контексте loadbalance увидели? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 13 июля, 2009 (изменено) · Жалоба interface vlan xxx <skip> description iface_to_ACE service-policy input ICMP <skip> policy-map multi-match ICMP class ICMP inspect icmp error class-map match-all ICMP match access-list ICMP access-list ICMP line 8 extended permit icmp any any ;o Изменено 13 июля, 2009 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 13 июля, 2009 · Жалоба А где вы в этом контексте loadbalance увидели? Да по привычке :) Для меня ася в первую очередь балансировщик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 14 июля, 2009 · Жалоба C icmp проблему решили, спасибо D^2 Коллеги, большая просьба - сможет кто-нибудь поделиться конфигом NAT на ACE? Кто-нибудь ещё на ACE NAT делает для абонентов? А то кроме этой ещё ряд проблем с ним нарисовался... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 июля, 2009 · Жалоба Всё, уже не актуально. Разобрались с косяками... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 15 июля, 2009 · Жалоба Всё, уже не актуально. Разобрались с косяками... Ежли чо будет - пишите в личку, поели в свое время немало ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 сентября, 2009 · Жалоба Кстати, статистику по трансляциям как с него снимать, никто не в курсе? CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB.my - по этой мибе нифига не отдаётся, хотя в консоли показывает по sh res usage, а обычный NAT-MIB - не поддерживается :( $snmpwalk -v2c -c test *.*.*.* 1.3.6.1.4.1.9.9.480.1.1.2.1.7 SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.1 = INTEGER: 1 SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.3 = INTEGER: 1 SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.7 = INTEGER: 1 SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.8 = INTEGER: 1 $snmpwalk -v2c -c test *.*.*.* 1.3.6.1.4.1.9.9.480.1.1.2.1.8 SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.8 = No Such Object available on this agent at this OID Первое – это crlResourceLimitRowStatus, а второе - crlResourceLimitCurrentUsage... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 7 октября, 2009 (изменено) · Жалоба Никто не пробовал статический НАТ настраивать? Пробую так: ACE-NAT/Admin(config)# policy-map multi-match NAT_POLICY ACE-NAT/Admin(config-pmap)# class NAT_CLASS ACE-NAT/Admin(config-pmap-c)# nat static 192.168.1.77 netmask 255.255.255.0 vlan 402 Error: NAT static can only have one real IP and netmask! Изменено 7 октября, 2009 пользователем raveren Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 октября, 2009 · Жалоба Никто не пробовал статический НАТ настраивать?как-то так:static vlan 10 vlan 20 х.х.х.20 10.х.х.20 netmask 255.255.255.255 П.Сы: Как показала практика, наличие лимита в 8М соединений здорово портит жисть при нате на АСЕ... И самое неприятное, что их ещё и пер-юзер ограничить нельзя... И таймауты задаются весьма оригинальным образом - на тцп и юдп один и тот же, блин. Индусы хреновы... Причем дефолтные - нормально, для тцп, юдп и ицмп разные значения. И статистику нормально хрен соберешь - снмп обещают когда-то потом допилить... Разве что скриптами дёргать с консоли) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 8 октября, 2009 · Жалоба Никто не пробовал статический НАТ настраивать?как-то так:static vlan 10 vlan 20 х.х.х.20 10.х.х.20 netmask 255.255.255.255 П.Сы: Как показала практика, наличие лимита в 8М соединений здорово портит жисть при нате на АСЕ... И самое неприятное, что их ещё и пер-юзер ограничить нельзя... И таймауты задаются весьма оригинальным образом - на тцп и юдп один и тот же, блин. Индусы хреновы... Причем дефолтные - нормально, для тцп, юдп и ицмп разные значения. И статистику нормально хрен соберешь - снмп обещают когда-то потом допилить... Разве что скриптами дёргать с консоли) Не нашел где это "как-то так" прописывается. P.S. Вы уже уперлись в ограничение 8М соединений? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 октября, 2009 · Жалоба Не нашел где это "как-то так" прописывается.P.S. Вы уже уперлись в ограничение 8М соединений? прописывается в глобал конфиг режиме. ( conf t)Скоро упрёмся... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 8 октября, 2009 (изменено) · Жалоба Не нашел где это "как-то так" прописывается.P.S. Вы уже уперлись в ограничение 8М соединений? прописывается в глобал конфиг режиме. ( conf t)Скоро упрёмся... Нет такой команды в глобал конфиг режиме. ACE-NAT/Admin(config)# ? Configure commands: aaa Configure aaa functions access-group Activate context global access-list access-list Configure access control list arp Configure ARP banner Configure banner message boot Modify system boot parameters class-map Configure a Class map clock Configure time-of-day clock config-register Define the configuration register context Create a context crypto Configure CSR parameters do EXEC command domain Create a domain end Exit from configure mode exit Exit from configure mode ft Configure Fault Tolerance hostname Configure hostname hw-module Configure hardware module parameters interface Configure an interface ip Configure IP features ldap-server Configure LDAP related parameters line Configure a terminal line logging Modify message logging facilities login Configure login session parameters no Negate a command or set its defaults parameter-map Configure a parameter map peer Configure High Availability Peer policy-map Configure a policy map probe Configure probe radius-server Configure RADIUS related parameters resource-class Create a resource-class role Create a new Role rserver Configure rserver script Configure script file and tasks serverfarm Configure serverfarm service-policy Enter service policy to be applied to this context shared-vlan-hostid Configure a unique ID to use shared vlans snmp-server Configure snmp server ssh Configure SSH parameters ssl-proxy Configure an ssl-proxy service sticky Configure sticky tacacs-server Configure TACACS+ server related parameters telnet Telnet config commands timeout Configure the maximum timeout duration username Configure user information. Что думаете делать, когда упретесь? P.S. Откуда Вы такую цифру взяли 8М? У него вроде по заявленному от Cisco 1,000,000 NAT транзакций. Изменено 8 октября, 2009 пользователем raveren Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 октября, 2009 (изменено) · Жалоба For example, to create a static NAT configuration for the mapped interface VLAN 176, real interface VLAN 171, and real IP address of 10.181.0.2 255.255.255.255 to be translated to the mapped address 5.6.7.4, enter: host1/C1(config)# static vlan 176 vlan 171 5.6.7.4 10.81.0.2 netmask 255.255.255.255 http://www.cisco.com/en/US/docs/interfaces....html#wp1084392 Нат трансляций - да, 1М. Но трансляций немного. А вот коннекшн создаётся на каждый поток.... Изменено 9 октября, 2009 пользователем Stak Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 10 октября, 2009 · Жалоба Понятно. У меня софт Version 3.0(0)A1(6.3a) с другим синтаксисом. Спасибо! Смысл понятен в другом контексте его делать надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 15 октября, 2009 · Жалоба Сегодня попробовал на 4000 абонентах этот "замечательный модуль". 10 минут продержался, затем отвалился доступ по ssh, следом перестали выводится данные на команды "sh xlate" и "sh connections". Абоненты стали жаловаться на то, что не открываются страницы, хотя все пингуется. Думаю что максимальное кол-во соединений "sh conn" на этот момент было около 100000. Так я и не понял что это с ним такое... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 15 октября, 2009 · Жалоба Впятеро больше лопатит без проблем. Так что смотрите что там у вас с софтами и конфигами... есть такая замечательная команда sh res usage, в Admin контексте особенно наглядно. П.С. статические НАТ-трансляции работают только на крайней версии софта) 2.2 который Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
raveren Опубликовано 15 октября, 2009 (изменено) · Жалоба Я решил статический НАТ на управляющий модуль направить через pbr. Его всего то нужно для ~ 100 ip-адресов сделать, а всех остальных отправляю на ACE. С конфигом у меня все просто: Generating configuration.... logging enable logging standby logging timestamp logging trap 7 logging buffered 7 logging facility 3 logging device-id hostname logging host xxx.xxx.xxx.xxx udp/514 login timeout 15 hostname ACE-NAT boot system image:c6ace-t1k9-mz.3.0.0_A1_6_3a.bin clock timezone lalala access-list ANY_ACCESS line 10 extended permit ip any any access-list NAT_ACCESS line 10 extended permit ip 192.168.0.0 255.255.0.0 any class-map match-any NAT_CLASS 2 match access-list NAT_ACCESS class-map type management match-any MGMT_ACCESS description Remote Access traffic 10 match protocol snmp source-address xx.xx.xx.xx xxx.xxx.xxx.xxx 20 match protocol icmp any 30 match protocol ssh source-address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx policy-map type management first-match MGMT_POLICY class REMOTE_ACCESS permit policy-map multi-match NAT_POLICY class NAT_CLASS nat dynamic 1 vlan 200 timeout xlate 120 interface vlan 200 description NAT ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx mtu 1500 access-group input ANY_ACCESS nat-pool 1 xx.xx.xx.230 xx.xx.xx.250 netmask 255.255.254.0 pat service-policy input MGMT_ACCESS_POLICY service-policy input NAT_POLICY no shutdown ip route 0.0.0.0 0.0.0.0 xx.xx.xx.1 ACE-NAT/Admin# sh res usage показал бы, но я его перезапускал после глюка. В нем пусто. Да и еще в лог постоянно сыпалось вот такое: Oct 15 15:59:52 xx.xx.xx.xx ACE-NAT %ACE-4-313004: Denied ICMP type=11, from laddr 95.181.0.6 on interface vlan402 to <ip-адрес из пула>: no matching session Cisco 7201 (c7201) - держит этих же абонентов с максимальной нагрузкой в часы пик 90%. Хотя у нее заявленные параметры поскромней. Вот я и думаю, что за хрень то такая? Думаете все-таки IOS обновить или еще какие мысли будут? Изменено 16 октября, 2009 пользователем raveren Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...