Jump to content
Калькуляторы

NAT на Cisco ACE делимся впечатлениями :)

Ну да, на ASA это конечно проще и наглядней.

Edited by _ili_

Share this post


Link to post
Share on other sites

Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

 

Сейчас таймеры применяются в сервис-полиси для ната, которая применена на внутреннем интерфейсе АСЕ.

 

------cut------

policy-map multi-match ABON_NAT

class FULL_NAT

nat dynamic 1 vlan 14

class GUEST_NAT

nat dynamic 2 vlan 14

class SERVER_NAT

nat dynamic 3 vlan 14

class FINBL_ACCESS

nat dynamic 4 vlan 14

class TCP

connection advanced-options TCP-timeout

class UDP

connection advanced-options UDP-timeout

class ICMP

connection advanced-options ICMP-timeout

class IP_Time

connection advanced-options Timeouts

timeout xlate 60

------cut------

Share this post


Link to post
Share on other sites

Сегодня попробуем по другому сделать:

policy-map multi-match NAT_POLICY

class NAT_CLASS

nat dynamic 1 vlan 9

policy-map multi-match Timeouts

class ICMP

connection advanced-options ICMP-timeout

class UDP

connection advanced-options UDP-timeout

class TCP

connection advanced-options TCP-timeout

timeout xlate 60

 

interface vlan 8

description NAT_in

ip address x.x.x.44 255.255.255.240

alias x.x.x.46 255.255.255.240

peer ip address x.x.x.45 255.255.255.240

mtu 1500

access-group input ALL

service-policy input REMOTE-ACCESS

service-policy input ICMP

service-policy input NAT_POLICY

service-policy input Timeouts

no shutdown

interface vlan 9

description NAT_out

ip address x.x.x.60 255.255.255.240

alias x.x.x.62 255.255.255.240

peer ip address x.x.x.61 255.255.255.240

mtu 1500

access-group input outside

nat-pool 1 z.z.z.241 z.z.z.246 netmask 255.255.255.248

nat-pool 1 z.z.z.254 z.z.z.254 netmask 255.255.255.255 pat

service-policy input ICMP

service-policy input Timeouts

no shutdown

Может поможет.....

Share this post


Link to post
Share on other sites
Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери.

Share this post


Link to post
Share on other sites

Кирилл, а вы АСЕ в резервированной конфигурации используете?

Если да, то 1мппс относится к паре модулей АСЕ или к одному?

У нас реализована балансировка на два АСЕ - т.е. по 1 активному контексту с НАТом на каждом, соотвественно нагрузка размазана по обоим.

А по коннекциям - один модуль должен держать с активного и стендбай контекста.

Вообще, ощущается чёткая временная корреляция наших проблем с новой версией mu-torrenta :(

Но вот dpi для борьбы с этой мерзостью пока не внедрили...

Share this post


Link to post
Share on other sites
Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери.

В документации же написано что до 6.5 мегапакетов держит, на практике что только 1М этоже мало очень???? Какие таймеры используете если не секрет, нормально ли железка справляется с ограничением числа сессий на клиента (если применяете конечно).

Share this post


Link to post
Share on other sites
Кирилл, а вы АСЕ в резервированной конфигурации используете?

 

Вообще, ощущается чёткая временная корреляция наших проблем с новой версией mu-torrenta :(

Но вот dpi для борьбы с этой мерзостью пока не внедрили...

Нет, у нас нерезервированная конфигурация. 1мппс - это 1 модуль.

 

Новая версия торррента увеличила количество соединений, так что пришлось часть вынести с него на писюки.

 

Коллеги, подскажите, как вы на АСЕ таймеры применяете на соединения через НАТ?

В последнее время с ростом нагрузки на АСЕ есть серьёзные проблемы с дропами и доступной для абонента полосой через АСЕ.

Есть подозрение что дело в способе применения таймеров...

Мы применяем таймауты отдельно. 7.5М соединений - нормально тянет. Главное, держать поток не более 1мппс, выше - будут потери.

В документации же написано что до 6.5 мегапакетов держит, на практике что только 1М этоже мало очень???? Какие таймеры используете если не секрет, нормально ли железка справляется с ограничением числа сессий на клиента (если применяете конечно).

6.5 на синтетике - может и выдержит. На реальном трафике 1Мппс FD, т.е. по цисковской терминологии - 2мппс.

Таймеры - жесткие. ограничения на АСЕ не применяем.

Share this post


Link to post
Share on other sites

Кирилл спасибо за ответ.

6.5 на синтетике - может и выдержит. На реальном трафике 1Мппс FD, т.е. по цисковской терминологии - 2мппс.

Таймеры - жесткие. ограничения на АСЕ не применяем.

Т.е. все-таки 2Мпакета. Вы ошибки как определили по статистике на интерфейсах?А где вы ограничения если не на АСЕ? Я когда его тестировал на нем резал, но странный момент через него шел тот же трафик что шел через ASA но при этом число одновременных сессий было процентов на 20% больше чем на ASA, хотя таймауты я одинаковые делал. Или ACE хуже режет или у АСЕ и ASA разные представления о сессиях.

Share this post


Link to post
Share on other sites

Здравствуйте, коллеги. Возникла проблема пропускания GRE-траффика через NAT на АСЕ. Если до сих пор не появилась функциональная возможность его инспектить, можете показать пример, как его заруливать на нат, поддерживающий гре?

У мну на супервизоре 720 на 6509 gre работает. Используется это все для решения локальных задач, так, что думаю с нагрузкой проблем не будет.

 

Share this post


Link to post
Share on other sites
Здравствуйте, коллеги. Возникла проблема пропускания GRE-траффика через NAT на АСЕ. Если до сих пор не появилась функциональная возможность его инспектить, можете показать пример, как его заруливать на нат, поддерживающий гре?

У мну на супервизоре 720 на 6509 gre работает. Используется это все для решения локальных задач, так, что думаю с нагрузкой проблем не будет.

Если проблему еще не решили, то решение одно отруливать gre трафик с помощью PBR.

Share this post


Link to post
Share on other sites

Коллеги, с логгированием РАТ с АСЕ на сислог как боретесь?

Интересует поведение при большой или максимальной нагрузке (около 1.1 Мппс)

Loggingn fastpath помогает?

Share this post


Link to post
Share on other sites

Вот и новая потенциальная натилка от циски скоро появится:

http://www.cisco.com...c67-662207.html

 

судя по описанию - почти asa5585, но в формате модуля в 65ю.

Share this post


Link to post
Share on other sites

Для новой натилки от циски многообещающе выглядит CGSE для CRS-1

Share this post


Link to post
Share on other sites

PAT на ACE30-MOD-08-K9, GRE не ходит. Кроме PBR решения до сих пор нет?

Share this post


Link to post
Share on other sites

PAT на ACE20-MOD-K9, софт A2(3.2a).

Хочу в сислоге получать 302022/302023 итп, а получаю только 305011/305012.

Настройки:

logging enable

logging trap 7

logging host bla-bla

 

Никаких no logging message, естественно, нет.

 

ACE-6-302022: Built TCP connection id for interface:real-address/real-port (mapped-address/mapped-port) to interface:real-address/real-port (mapped-address/mapped-port)

ACE-6-302023: Teardown TCP connection id for interface:real-address/real-port to interface:real-address/real-port duration hh:mm:ss bytes bytes [reason]

 

ACE-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/real_port to interface_name:mapped_address/mapped_port

ACE-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address/{real_port|real_ICMP_ID}to interface_name:mapped_address/{mapped_port|mapped_ICMP_ID} duration time

 

 

Можно ли добиться желаемого и как?

Edited by gramshi

Share this post


Link to post
Share on other sites

PAT на ACE30-MOD-08-K9, GRE не ходит. Кроме PBR решения до сих пор нет?

Так пропишите NAT без PAT в отдельный пул для GRE/PPTP

Share this post


Link to post
Share on other sites
Так пропишите NAT без PAT в отдельный пул для GRE/PPTP

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 3.6 Gbit/s входящего и 0.4 0.6 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

Edited by pronix

Share this post


Link to post
Share on other sites

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 Gbit/s входящего и 0.4 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

 

Только мне кажется что количество соединений многовато для такого?

Я вот не знаю - возможно ограничить на ACE количество соединений per-user до 1000 хотя б? на обычных asa'х это реализуется.

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites

Ввел в заблуждение, входящего трафика в пиках 3.6 gbit/s. Интересно как у других.

Share this post


Link to post
Share on other sites
Так пропишите NAT без PAT в отдельный пул для GRE/PPTP

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 3.6 Gbit/s входящего и 0.4 0.6 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

я очень жестко выкручивал таймауты для соединений. Для определенного класса задач (порты, протоколы - аська, игрушки, впны какие-то) оставлял большие таймауты, для остального все жал по минимуму. Тогда 7М соединений получали на 6Гбит фулл-дуплекса.

 

Спасибо, так и сделал. Только пул быстро выжирается)

На 1.7 Gbit/s входящего и 0.4 Gbit/s исходящего, на ACE30 уперся в 8М соединений. Думал, что этот модуль способен на большее. Для такого трафика это нормальное число соединений и это потолок или что-нибудь еще можно подкрутить?

 

Только мне кажется что количество соединений многовато для такого?

Я вот не знаю - возможно ограничить на ACE количество соединений per-user до 1000 хотя б? на обычных asa'х это реализуется.

Много. Ограничивать надо, но с умом. У меня это SCE до АСЕ делала.

Share this post


Link to post
Share on other sites

"Проблема" была в отключенной "normalization" на нескольких интерфейсах, оставшейся от прошлых опытов. При этом idle timeout для TCP был около 60 мин., а 2 новых соединения создавались, как минимум, на каждый SYN от абонентов в инет.

Share this post


Link to post
Share on other sites

Кто уже расширял throughput с 8 (ACE30-MOD-08-K9) до 16 Gb - нужна лицензия ACE30-MOD-UPG3 или подойдет ACE30-UPG-16-K9= (ACE10 or ACE20 to ACE30 Upgrade for 16 Gbps Throughput)? Не упирались ли после расширения во что-то еще?

Share this post


Link to post
Share on other sites

Использую dynamic NAT - один белый адрес отдается эксклюзивно одному серому.

Получаемый бинат работает отлично, до тех пор, пока src_port != dst_port.

Иначе (с устройства с серым адресом)

# nc -p 51121 1.1.1.1 51121

ACE не сохраняет, а выбирает случайный порт для исходящего соединения

в логах получаем

Built dynamic tcp translation from :x.x.x.x/51121 to :x.x.x.x/6535

В итоге не работает, в частности xbox, который привередлив до ната и видимо именно так проверяет тип подключения.

Удалось ли кому-нибудь это победить?

Пробовал на софте A4_2_3 и A5_2_1

Edited by pronix

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now