_ili_ Опубликовано 22 января, 2010 (изменено) · Жалоба Ну да, на ASA это конечно проще и наглядней. Изменено 22 января, 2010 пользователем _ili_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 12 апреля, 2010 · Жалоба Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ? В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ. Есть подозрение что дело в способе применения таймеров... Сейчас таймеры применяются в сервис-полиси для ната, которая применена на внутреннем интерфейсе АСЕ. ------cut------ policy-map multi-match ABON_NAT class FULL_NAT nat dynamic 1 vlan 14 class GUEST_NAT nat dynamic 2 vlan 14 class SERVER_NAT nat dynamic 3 vlan 14 class FINBL_ACCESS nat dynamic 4 vlan 14 class TCP connection advanced-options TCP-timeout class UDP connection advanced-options UDP-timeout class ICMP connection advanced-options ICMP-timeout class IP_Time connection advanced-options Timeouts timeout xlate 60 ------cut------ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 12 апреля, 2010 · Жалоба Сегодня попробуем по другому сделать: policy-map multi-match NAT_POLICY class NAT_CLASS nat dynamic 1 vlan 9 policy-map multi-match Timeouts class ICMP connection advanced-options ICMP-timeout class UDP connection advanced-options UDP-timeout class TCP connection advanced-options TCP-timeout timeout xlate 60 interface vlan 8 description NAT_in ip address x.x.x.44 255.255.255.240 alias x.x.x.46 255.255.255.240 peer ip address x.x.x.45 255.255.255.240 mtu 1500 access-group input ALL service-policy input REMOTE-ACCESS service-policy input ICMP service-policy input NAT_POLICY service-policy input Timeouts no shutdown interface vlan 9 description NAT_out ip address x.x.x.60 255.255.255.240 alias x.x.x.62 255.255.255.240 peer ip address x.x.x.61 255.255.255.240 mtu 1500 access-group input outside nat-pool 1 z.z.z.241 z.z.z.246 netmask 255.255.255.248 nat-pool 1 z.z.z.254 z.z.z.254 netmask 255.255.255.255 pat service-policy input ICMP service-policy input Timeouts no shutdown Может поможет..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 12 апреля, 2010 · Жалоба Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ. Есть подозрение что дело в способе применения таймеров... Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 12 апреля, 2010 · Жалоба Кирилл, а вы АСЕ в резервированной конфигурации используете? Если да, то 1мппс относится к паре модулей АСЕ или к одному? У нас реализована балансировка на два АСЕ - т.е. по 1 активному контексту с НАТом на каждом, соотвественно нагрузка размазана по обоим. А по коннекциям - один модуль должен держать с активного и стендбай контекста. Вообще, ощущается чёткая временная корреляция наших проблем с новой версией mu-torrenta :( Но вот dpi для борьбы с этой мерзостью пока не внедрили... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_ili_ Опубликовано 31 мая, 2010 · Жалоба Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ. Есть подозрение что дело в способе применения таймеров... Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери. В документации же написано что до 6.5 мегапакетов держит, на практике что только 1М этоже мало очень???? Какие таймеры используете если не секрет, нормально ли железка справляется с ограничением числа сессий на клиента (если применяете конечно). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 7 июня, 2010 · Жалоба Кирилл, а вы АСЕ в резервированной конфигурации используете? Вообще, ощущается чёткая временная корреляция наших проблем с новой версией mu-torrenta :( Но вот dpi для борьбы с этой мерзостью пока не внедрили... Нет, у нас нерезервированная конфигурация. 1мппс - это 1 модуль. Новая версия торррента увеличила количество соединений, так что пришлось часть вынести с него на писюки. Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ. Есть подозрение что дело в способе применения таймеров... Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери. В документации же написано что до 6.5 мегапакетов держит, на практике что только 1М этоже мало очень???? Какие таймеры используете если не секрет, нормально ли железка справляется с ограничением числа сессий на клиента (если применяете конечно). 6.5 на синтетике - может и выдержит. На реальном трафике 1Мппс FD, т.е. по цисковской терминологии - 2мппс. Таймеры - жесткие. ограничения на АСЕ не применяем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_ili_ Опубликовано 8 июня, 2010 · Жалоба Кирилл спасибо за ответ. 6.5 на синтетике - может и выдержит. На реальном трафике 1Мппс FD, т.е. по цисковской терминологии - 2мппс.Таймеры - жесткие. ограничения на АСЕ не применяем. Т.е. все-таки 2Мпакета. Вы ошибки как определили по статистике на интерфейсах?А где вы ограничения если не на АСЕ? Я когда его тестировал на нем резал, но странный момент через него шел тот же трафик что шел через ASA но при этом число одновременных сессий было процентов на 20% больше чем на ASA, хотя таймауты я одинаковые делал. Или ACE хуже режет или у АСЕ и ASA разные представления о сессиях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rassasa Опубликовано 26 января, 2011 · Жалоба Здравствуйте, коллеги. Возникла проблема пропускания GRE-траффика через NAT на АСЕ. Если до сих пор не появилась функциональная возможность его инспектить, можете показать пример, как его заруливать на нат, поддерживающий гре? У мну на супервизоре 720 на 6509 gre работает. Используется это все для решения локальных задач, так, что думаю с нагрузкой проблем не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_ili_ Опубликовано 27 февраля, 2011 · Жалоба Здравствуйте, коллеги. Возникла проблема пропускания GRE-траффика через NAT на АСЕ. Если до сих пор не появилась функциональная возможность его инспектить, можете показать пример, как его заруливать на нат, поддерживающий гре?У мну на супервизоре 720 на 6509 gre работает. Используется это все для решения локальных задач, так, что думаю с нагрузкой проблем не будет. Если проблему еще не решили, то решение одно отруливать gre трафик с помощью PBR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 28 февраля, 2011 · Жалоба tcp/1723 и gre натить в отдельный пул без порт-трансляций Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 апреля, 2011 · Жалоба Коллеги, с логгированием РАТ с АСЕ на сислог как боретесь? Интересует поведение при большой или максимальной нагрузке (около 1.1 Мппс) Loggingn fastpath помогает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 2 июня, 2011 · Жалоба Вот и новая потенциальная натилка от циски скоро появится: http://www.cisco.com...c67-662207.html судя по описанию - почти asa5585, но в формате модуля в 65ю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 3 июня, 2011 · Жалоба Для новой натилки от циски многообещающе выглядит CGSE для CRS-1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 27 сентября, 2012 · Жалоба PAT на ACE30-MOD-08-K9, GRE не ходит. Кроме PBR решения до сих пор нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gramshi Опубликовано 8 января, 2013 (изменено) · Жалоба PAT на ACE20-MOD-K9, софт A2(3.2a). Хочу в сислоге получать 302022/302023 итп, а получаю только 305011/305012. Настройки: logging enable logging trap 7 logging host bla-bla Никаких no logging message, естественно, нет. ACE-6-302022: Built TCP connection id for interface:real-address/real-port (mapped-address/mapped-port) to interface:real-address/real-port (mapped-address/mapped-port) ACE-6-302023: Teardown TCP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [reason] ACE-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/real_port to interface_name:mapped_address/mapped_port ACE-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/{real_port|real_ICMP_ID}to interface_name:mapped_address/{mapped_port|mapped_ICMP_ID} duration time Можно ли добиться желаемого и как? Изменено 8 января, 2013 пользователем gramshi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 9 января, 2013 · Жалоба PAT на ACE30-MOD-08-K9, GRE не ходит. Кроме PBR решения до сих пор нет? Так пропишите NAT без PAT в отдельный пул для GRE/PPTP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 24 января, 2013 (изменено) · Жалоба Так пропишите NAT без PAT в отдельный пул для GRE/PPTP Спасибо, так и сделал. Только пул быстро выжирается) На 1.7 3.6 Gbit/s входящего и 0.4 0.6 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить? Изменено 25 января, 2013 пользователем pronix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 25 января, 2013 (изменено) · Жалоба Спасибо, так и сделал. Только пул быстро выжирается) На 1.7 Gbit/s входящего и 0.4 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить? Только мне кажется что количество соединений многовато для такого? Я вот не знаю - возможно ограничить на ACE количество соединений per-user до 1000 хотя б? на обычных asa'х это реализуется. Изменено 25 января, 2013 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 25 января, 2013 · Жалоба Ввел в заблуждение, входящего трафика в пиках 3.6 gbit/s. Интересно как у других. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 25 января, 2013 · Жалоба Так пропишите NAT без PAT в отдельный пул для GRE/PPTP Спасибо, так и сделал. Только пул быстро выжирается) На 1.7 3.6 Gbit/s входящего и 0.4 0.6 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить? я очень жестко выкручивал таймауты для соединений. Для определенного класса задач (порты, протоколы - аська, игрушки, впны какие-то) оставлял большие таймауты, для остального все жал по минимуму. Тогда 7М соединений получали на 6Гбит фулл-дуплекса. Спасибо, так и сделал. Только пул быстро выжирается) На 1.7 Gbit/s входящего и 0.4 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить? Только мне кажется что количество соединений многовато для такого? Я вот не знаю - возможно ограничить на ACE количество соединений per-user до 1000 хотя б? на обычных asa'х это реализуется. Много. Ограничивать надо, но с умом. У меня это SCE до АСЕ делала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 28 января, 2013 · Жалоба "Проблема" была в отключенной "normalization" на нескольких интерфейсах, оставшейся от прошлых опытов. При этом idle timeout для TCP был около 60 мин., а 2 новых соединения создавались, как минимум, на каждый SYN от абонентов в инет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 12 декабря, 2013 · Жалоба Кто уже расширял throughput с 8 (ACE30-MOD-08-K9) до 16 Gb - нужна лицензия ACE30-MOD-UPG3 или подойдет ACE30-UPG-16-K9= (ACE10 or ACE20 to ACE30 Upgrade for 16 Gbps Throughput)? Не упирались ли после расширения во что-то еще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pronix Опубликовано 4 февраля, 2016 (изменено) · Жалоба Использую dynamic NAT - один белый адрес отдается эксклюзивно одному серому. Получаемый бинат работает отлично, до тех пор, пока src_port != dst_port. Иначе (с устройства с серым адресом) # nc -p 51121 1.1.1.1 51121 ACE не сохраняет, а выбирает случайный порт для исходящего соединения в логах получаем Built dynamic tcp translation from :x.x.x.x/51121 to :x.x.x.x/6535 В итоге не работает, в частности xbox, который привередлив до ната и видимо именно так проверяет тип подключения. Удалось ли кому-нибудь это победить? Пробовал на софте A4_2_3 и A5_2_1 Изменено 4 февраля, 2016 пользователем pronix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 28 ноября, 2017 · Жалоба Проблема решена. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...