Перейти к содержимому
Калькуляторы

NAT на Cisco ACE делимся впечатлениями :)

Ну да, на ASA это конечно проще и наглядней.

Изменено пользователем _ili_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

 

Сейчас таймеры применяются в сервис-полиси для ната, которая применена на внутреннем интерфейсе АСЕ.

 

------cut------

policy-map multi-match ABON_NAT

class FULL_NAT

nat dynamic 1 vlan 14

class GUEST_NAT

nat dynamic 2 vlan 14

class SERVER_NAT

nat dynamic 3 vlan 14

class FINBL_ACCESS

nat dynamic 4 vlan 14

class TCP

connection advanced-options TCP-timeout

class UDP

connection advanced-options UDP-timeout

class ICMP

connection advanced-options ICMP-timeout

class IP_Time

connection advanced-options Timeouts

timeout xlate 60

------cut------

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня попробуем по другому сделать:

policy-map multi-match NAT_POLICY

class NAT_CLASS

nat dynamic 1 vlan 9

policy-map multi-match Timeouts

class ICMP

connection advanced-options ICMP-timeout

class UDP

connection advanced-options UDP-timeout

class TCP

connection advanced-options TCP-timeout

timeout xlate 60

 

interface vlan 8

description NAT_in

ip address x.x.x.44 255.255.255.240

alias x.x.x.46 255.255.255.240

peer ip address x.x.x.45 255.255.255.240

mtu 1500

access-group input ALL

service-policy input REMOTE-ACCESS

service-policy input ICMP

service-policy input NAT_POLICY

service-policy input Timeouts

no shutdown

interface vlan 9

description NAT_out

ip address x.x.x.60 255.255.255.240

alias x.x.x.62 255.255.255.240

peer ip address x.x.x.61 255.255.255.240

mtu 1500

access-group input outside

nat-pool 1 z.z.z.241 z.z.z.246 netmask 255.255.255.248

nat-pool 1 z.z.z.254 z.z.z.254 netmask 255.255.255.255 pat

service-policy input ICMP

service-policy input Timeouts

no shutdown

Может поможет.....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кирилл, а вы АСЕ в резервированной конфигурации используете?

Если да, то 1мппс относится к паре модулей АСЕ или к одному?

У нас реализована балансировка на два АСЕ - т.е. по 1 активному контексту с НАТом на каждом, соотвественно нагрузка размазана по обоим.

А по коннекциям - один модуль должен держать с активного и стендбай контекста.

Вообще, ощущается чёткая временная корреляция наших проблем с новой версией mu-torrenta :(

Но вот dpi для борьбы с этой мерзостью пока не внедрили...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери.

В документации же написано что до 6.5 мегапакетов держит, на практике что только 1М этоже мало очень???? Какие таймеры используете если не секрет, нормально ли железка справляется с ограничением числа сессий на клиента (если применяете конечно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кирилл, а вы АСЕ в резервированной конфигурации используете?

 

Вообще, ощущается чёткая временная корреляция наших проблем с новой версией mu-torrenta :(

Но вот dpi для борьбы с этой мерзостью пока не внедрили...

Нет, у нас нерезервированная конфигурация. 1мппс - это 1 модуль.

 

Новая версия торррента увеличила количество соединений, так что пришлось часть вынести с него на писюки.

 

Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери.

В документации же написано что до 6.5 мегапакетов держит, на практике что только 1М этоже мало очень???? Какие таймеры используете если не секрет, нормально ли железка справляется с ограничением числа сессий на клиента (если применяете конечно).

6.5 на синтетике - может и выдержит. На реальном трафике 1Мппс FD, т.е. по цисковской терминологии - 2мппс.

Таймеры - жесткие. ограничения на АСЕ не применяем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кирилл спасибо за ответ.

6.5 на синтетике - может и выдержит. На реальном трафике 1Мппс FD, т.е. по цисковской терминологии - 2мппс.

Таймеры - жесткие. ограничения на АСЕ не применяем.

Т.е. все-таки 2Мпакета. Вы ошибки как определили по статистике на интерфейсах?А где вы ограничения если не на АСЕ? Я когда его тестировал на нем резал, но странный момент через него шел тот же трафик что шел через ASA но при этом число одновременных сессий было процентов на 20% больше чем на ASA, хотя таймауты я одинаковые делал. Или ACE хуже режет или у АСЕ и ASA разные представления о сессиях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, коллеги. Возникла проблема пропускания GRE-траффика через NAT на АСЕ. Если до сих пор не появилась функциональная возможность его инспектить, можете показать пример, как его заруливать на нат, поддерживающий гре?

У мну на супервизоре 720 на 6509 gre работает. Используется это все для решения локальных задач, так, что думаю с нагрузкой проблем не будет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, коллеги. Возникла проблема пропускания GRE-траффика через NAT на АСЕ. Если до сих пор не появилась функциональная возможность его инспектить, можете показать пример, как его заруливать на нат, поддерживающий гре?

У мну на супервизоре 720 на 6509 gre работает. Используется это все для решения локальных задач, так, что думаю с нагрузкой проблем не будет.

Если проблему еще не решили, то решение одно отруливать gre трафик с помощью PBR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tcp/1723 и gre натить в отдельный пул без порт-трансляций

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, с логгированием РАТ с АСЕ на сислог как боретесь?

Интересует поведение при большой или максимальной нагрузке (около 1.1 Мппс)

Loggingn fastpath помогает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот и новая потенциальная натилка от циски скоро появится:

http://www.cisco.com...c67-662207.html

 

судя по описанию - почти asa5585, но в формате модуля в 65ю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для новой натилки от циски многообещающе выглядит CGSE для CRS-1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PAT на ACE30-MOD-08-K9, GRE не ходит. Кроме PBR решения до сих пор нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PAT на ACE20-MOD-K9, софт A2(3.2a).

Хочу в сислоге получать 302022/302023 итп, а получаю только 305011/305012.

Настройки:

logging enable

logging trap 7

logging host bla-bla

 

Никаких no logging message, естественно, нет.

 

ACE-6-302022: Built TCP connection id for interface:real-address/real-port (mapped-address/mapped-port) to interface:real-address/real-port (mapped-address/mapped-port)

ACE-6-302023: Teardown TCP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [reason]

 

ACE-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/real_port to interface_name:mapped_address/mapped_port

ACE-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/{real_port|real_ICMP_ID}to interface_name:mapped_address/{mapped_port|mapped_ICMP_ID} duration time

 

 

Можно ли добиться желаемого и как?

Изменено пользователем gramshi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PAT на ACE30-MOD-08-K9, GRE не ходит. Кроме PBR решения до сих пор нет?

Так пропишите NAT без PAT в отдельный пул для GRE/PPTP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так пропишите NAT без PAT в отдельный пул для GRE/PPTP

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 3.6 Gbit/s входящего и 0.4 0.6 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

Изменено пользователем pronix

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 Gbit/s входящего и 0.4 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

 

Только мне кажется что количество соединений многовато для такого?

Я вот не знаю - возможно ограничить на ACE количество соединений per-user до 1000 хотя б? на обычных asa'х это реализуется.

Изменено пользователем Konstantin Klimchev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ввел в заблуждение, входящего трафика в пиках 3.6 gbit/s. Интересно как у других.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так пропишите NAT без PAT в отдельный пул для GRE/PPTP

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 3.6 Gbit/s входящего и 0.4 0.6 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

я очень жестко выкручивал таймауты для соединений. Для определенного класса задач (порты, протоколы - аська, игрушки, впны какие-то) оставлял большие таймауты, для остального все жал по минимуму. Тогда 7М соединений получали на 6Гбит фулл-дуплекса.

 

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 Gbit/s входящего и 0.4 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

 

Только мне кажется что количество соединений многовато для такого?

Я вот не знаю - возможно ограничить на ACE количество соединений per-user до 1000 хотя б? на обычных asa'х это реализуется.

Много. Ограничивать надо, но с умом. У меня это SCE до АСЕ делала.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Проблема" была в отключенной "normalization" на нескольких интерфейсах, оставшейся от прошлых опытов. При этом idle timeout для TCP был около 60 мин., а 2 новых соединения создавались, как минимум, на каждый SYN от абонентов в инет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто уже расширял throughput с 8 (ACE30-MOD-08-K9) до 16 Gb - нужна лицензия ACE30-MOD-UPG3 или подойдет ACE30-UPG-16-K9= (ACE10 or ACE20 to ACE30 Upgrade for 16 Gbps Throughput)? Не упирались ли после расширения во что-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Использую dynamic NAT - один белый адрес отдается эксклюзивно одному серому.

Получаемый бинат работает отлично, до тех пор, пока src_port != dst_port.

Иначе (с устройства с серым адресом)

# nc -p 51121 1.1.1.1 51121

ACE не сохраняет, а выбирает случайный порт для исходящего соединения

в логах получаем

Built dynamic tcp translation from :x.x.x.x/51121 to :x.x.x.x/6535

В итоге не работает, в частности xbox, который привередлив до ната и видимо именно так проверяет тип подключения.

Удалось ли кому-нибудь это победить?

Пробовал на софте A4_2_3 и A5_2_1

Изменено пользователем pronix

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.