Перейти к содержимому
Калькуляторы

NAT на Cisco ACE делимся впечатлениями :)

NAT на Cisco ACE никто не делал для абонентов? Есть проблема с traceroute, когда ACE в роутед режиме - при трассировке вместо каждого хопа возвращает адрес конечного хоста....<br />Может быть кто-то сталкивался?<br />

Изменено пользователем Stak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дык АСЕ какой? Фаервол?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Application Control Engine Module ACE20-MOD-K9 вот такой АСЕ :) Самый обыкновенный...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Application Control Engine Module ACE20-MOD-K9 вот такой АСЕ :) Самый обыкновенный...

там навскидку нужно разрешить management трафик (icmp) с внутреннего интерфейса.

с конфигом будет легче разобраться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конфиг примерно такой, ничего выдающегося:

logging enable
logging standby
logging timestamp
logging trap 7
logging buffered 7
logging facility 3
logging device-id context-name
logging host 10.33.150.220 udp/514 
no logging message 302022
no logging message 302023
no logging message 302024
no logging message 302025
no logging message 302026
no logging message 302027
no logging message 313004



access-list ANY line 8 extended permit ip any any 
access-list NAT1 line 8 extended permit ip 10.144.0.0 255.255.0.0 any 
access-list NAT1 line 18 extended permit ip 10.33.154.128 255.255.255.224 any 
access-list NAT1 line 28 extended permit ip host 10.33.150.220 any 



class-map match-any NAT1
  2 match access-list NAT1

policy-map multi-match NAT
  class NAT1
    nat dynamic 1 vlan 14

interface vlan 13
  description NAT_in
  ip address 10.33.255.51 255.255.255.248
  alias 10.33.255.49 255.255.255.248
  peer ip address 10.33.255.50 255.255.255.248
  mtu 1500
  access-group input ANY
  service-policy input NAT
  no shutdown
interface vlan 14
  description NAT_out
  ip address 10.33.255.59 255.255.255.248
  alias 10.33.255.57 255.255.255.248
  peer ip address 10.33.255.58 255.255.255.248
  mtu 1500
  access-group input ANY
  nat-pool 1 1.1.220.1 1.1.223.254 netmask 255.255.252.0
  no shutdown

ip route 0.0.0.0 0.0.0.0 10.33.255.60
ip route 10.33.0.9 255.255.255.255 10.33.255.60
ip route 10.33.0.10 255.255.255.255 10.33.255.60
ip route 10.0.0.0 255.0.0.0 10.33.255.52
ip route 1.1.1.0 255.255.255.0 10.33.255.52

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

class-map type management match-any MANAGEMENT

  6 match protocol icmp source-address 0.0.0.0 0.0.0.0

policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
  class MANAGEMENT
    permit

и

 

и REMOTE_MGMT_ALLOW_POLICY повесьте на nat_in и nat_out интерфейс

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Благодарствую, вечером попробую. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще можно посмотреть в сторону loadbalance vip icmp-reply active в вип_полиси.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще можно посмотреть в сторону loadbalance vip icmp-reply active в вип_полиси.

А где вы в этом контексте loadbalance увидели?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

interface vlan xxx

<skip>

description iface_to_ACE

service-policy input ICMP

<skip>

 

policy-map multi-match ICMP

class ICMP

inspect icmp error

 

class-map match-all ICMP

match access-list ICMP

 

access-list ICMP line 8 extended permit icmp any any

 

;o

Изменено пользователем D^2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А где вы в этом контексте loadbalance увидели?

Да по привычке :) Для меня ася в первую очередь балансировщик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C icmp проблему решили, спасибо D^2

 

Коллеги, большая просьба - сможет кто-нибудь поделиться конфигом NAT на ACE?

Кто-нибудь ещё на ACE NAT делает для абонентов?

А то кроме этой ещё ряд проблем с ним нарисовался...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё, уже не актуально. Разобрались с косяками...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё, уже не актуально. Разобрались с косяками...

Ежли чо будет - пишите в личку, поели в свое время немало ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, статистику по трансляциям как с него снимать, никто не в курсе?

 

CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB.my - по этой мибе нифига не отдаётся, хотя в консоли показывает по sh res usage, а обычный NAT-MIB - не поддерживается :(

 

$snmpwalk -v2c -c test *.*.*.* 1.3.6.1.4.1.9.9.480.1.1.2.1.7

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.1 = INTEGER: 1

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.3 = INTEGER: 1

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.7 = INTEGER: 1

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.8 = INTEGER: 1

 

$snmpwalk -v2c -c test *.*.*.* 1.3.6.1.4.1.9.9.480.1.1.2.1.8

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.8 = No Such Object available on this agent at this OID

Первое – это crlResourceLimitRowStatus,

а второе - crlResourceLimitCurrentUsage...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никто не пробовал статический НАТ настраивать?

 

Пробую так:

 

ACE-NAT/Admin(config)# policy-map multi-match NAT_POLICY
ACE-NAT/Admin(config-pmap)#   class NAT_CLASS
ACE-NAT/Admin(config-pmap-c)# nat static 192.168.1.77 netmask 255.255.255.0 vlan 402
Error: NAT static can only have one real IP and netmask!

Изменено пользователем raveren

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никто не пробовал статический НАТ настраивать?
как-то так:

static vlan 10 vlan 20 х.х.х.20 10.х.х.20 netmask 255.255.255.255

 

П.Сы: Как показала практика, наличие лимита в 8М соединений здорово портит жисть при нате на АСЕ...

И самое неприятное, что их ещё и пер-юзер ограничить нельзя...

И таймауты задаются весьма оригинальным образом - на тцп и юдп один и тот же, блин. Индусы хреновы... Причем дефолтные - нормально, для тцп, юдп и ицмп разные значения.

И статистику нормально хрен соберешь - снмп обещают когда-то потом допилить... Разве что скриптами дёргать с консоли)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никто не пробовал статический НАТ настраивать?
как-то так:

static vlan 10 vlan 20 х.х.х.20 10.х.х.20 netmask 255.255.255.255

 

П.Сы: Как показала практика, наличие лимита в 8М соединений здорово портит жисть при нате на АСЕ...

И самое неприятное, что их ещё и пер-юзер ограничить нельзя...

И таймауты задаются весьма оригинальным образом - на тцп и юдп один и тот же, блин. Индусы хреновы... Причем дефолтные - нормально, для тцп, юдп и ицмп разные значения.

И статистику нормально хрен соберешь - снмп обещают когда-то потом допилить... Разве что скриптами дёргать с консоли)

Не нашел где это "как-то так" прописывается.

 

P.S. Вы уже уперлись в ограничение 8М соединений?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не нашел где это "как-то так" прописывается.

P.S. Вы уже уперлись в ограничение 8М соединений?

прописывается в глобал конфиг режиме. ( conf t)

Скоро упрёмся...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не нашел где это "как-то так" прописывается.

P.S. Вы уже уперлись в ограничение 8М соединений?

прописывается в глобал конфиг режиме. ( conf t)

Скоро упрёмся...

Нет такой команды в глобал конфиг режиме.

 

ACE-NAT/Admin(config)# ?
Configure commands:
  aaa                 Configure aaa functions
  access-group        Activate context global access-list
  access-list         Configure access control list
  arp                 Configure ARP
  banner              Configure banner message
  boot                Modify system boot parameters
  class-map           Configure a Class map
  clock               Configure time-of-day clock
  config-register     Define the configuration register
  context             Create a context
  crypto              Configure CSR parameters
  do                  EXEC command
  domain              Create a domain
  end                 Exit from configure mode
  exit                Exit from configure mode
  ft                  Configure Fault Tolerance
  hostname            Configure hostname
  hw-module           Configure hardware module parameters
  interface           Configure an interface
  ip                  Configure IP features
  ldap-server         Configure LDAP related parameters
  line                Configure a terminal line
  logging             Modify message logging facilities
  login               Configure login session parameters
  no                  Negate a command or set its defaults
  parameter-map       Configure a parameter map
  peer                Configure High Availability Peer
  policy-map          Configure a policy map
  probe               Configure probe
  radius-server       Configure RADIUS related parameters
  resource-class      Create a resource-class
  role                Create a new Role
  rserver             Configure rserver
  script              Configure script file and tasks
  serverfarm          Configure serverfarm
  service-policy      Enter service policy to be applied to this context
  shared-vlan-hostid  Configure a unique ID to use shared vlans
  snmp-server         Configure snmp server
  ssh                 Configure SSH parameters
  ssl-proxy           Configure an ssl-proxy service
  sticky              Configure sticky
  tacacs-server       Configure TACACS+ server related parameters
  telnet              Telnet config commands
  timeout             Configure the maximum timeout duration
  username            Configure user information.

 

Что думаете делать, когда упретесь?

 

P.S. Откуда Вы такую цифру взяли 8М? У него вроде по заявленному от Cisco 1,000,000 NAT транзакций.

 

Изменено пользователем raveren

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

For example, to create a static NAT configuration for the mapped interface VLAN 176, real interface VLAN 171, and real IP address of 10.181.0.2 255.255.255.255 to be translated to the mapped address 5.6.7.4, enter:

host1/C1(config)# static vlan 176 vlan 171 5.6.7.4 10.81.0.2 netmask 255.255.255.255

 

http://www.cisco.com/en/US/docs/interfaces....html#wp1084392

 

Нат трансляций - да, 1М. Но трансляций немного. А вот коннекшн создаётся на каждый поток....

Изменено пользователем Stak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понятно. У меня софт Version 3.0(0)A1(6.3a) с другим синтаксисом. Спасибо! Смысл понятен в другом контексте его делать надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня попробовал на 4000 абонентах этот "замечательный модуль". 10 минут продержался, затем отвалился доступ по ssh, следом перестали выводится данные на команды "sh xlate" и "sh connections". Абоненты стали жаловаться на то, что не открываются страницы, хотя все пингуется. Думаю что максимальное кол-во соединений "sh conn" на этот момент было около 100000. Так я и не понял что это с ним такое...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Впятеро больше лопатит без проблем.

Так что смотрите что там у вас с софтами и конфигами...

есть такая замечательная команда sh res usage, в Admin контексте особенно наглядно.

П.С. статические НАТ-трансляции работают только на крайней версии софта) 2.2 который

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я решил статический НАТ на управляющий модуль направить через pbr. Его всего то нужно для ~ 100 ip-адресов сделать, а всех остальных отправляю на ACE. С конфигом у меня все просто:

 

Generating configuration....

logging enable
logging standby
logging timestamp
logging trap 7
logging buffered 7
logging facility 3
logging device-id hostname
logging host xxx.xxx.xxx.xxx udp/514


login timeout 15
hostname ACE-NAT
boot system image:c6ace-t1k9-mz.3.0.0_A1_6_3a.bin



clock timezone lalala

access-list ANY_ACCESS line 10 extended permit ip any any
access-list NAT_ACCESS line 10 extended permit ip 192.168.0.0 255.255.0.0 any


class-map match-any NAT_CLASS
  2 match access-list NAT_ACCESS
class-map type management match-any MGMT_ACCESS
  description Remote Access traffic
  10 match protocol snmp source-address xx.xx.xx.xx xxx.xxx.xxx.xxx
  20 match protocol icmp any
  30 match protocol ssh source-address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

policy-map type management first-match MGMT_POLICY
  class REMOTE_ACCESS
    permit
policy-map multi-match NAT_POLICY
  class NAT_CLASS
    nat dynamic 1 vlan 200
timeout xlate 120

interface vlan 200
  description NAT
  ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
  mtu 1500
  access-group input ANY_ACCESS
  nat-pool 1 xx.xx.xx.230 xx.xx.xx.250 netmask 255.255.254.0 pat
  service-policy input MGMT_ACCESS_POLICY
  service-policy input NAT_POLICY
  no shutdown

ip route 0.0.0.0 0.0.0.0 xx.xx.xx.1

ACE-NAT/Admin#

 

sh res usage показал бы, но я его перезапускал после глюка. В нем пусто.

 

Да и еще в лог постоянно сыпалось вот такое:

 

Oct 15 15:59:52 xx.xx.xx.xx ACE-NAT %ACE-4-313004: Denied ICMP type=11, from laddr 95.181.0.6 on interface vlan402 to <ip-адрес из пула>: no matching session

 

Cisco 7201 (c7201) - держит этих же абонентов с максимальной нагрузкой в часы пик 90%. Хотя у нее заявленные параметры поскромней. Вот я и думаю, что за хрень то такая? Думаете все-таки IOS обновить или еще какие мысли будут?

Изменено пользователем raveren

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.