Jump to content
Калькуляторы

NAT на Cisco ACE делимся впечатлениями :)

NAT на Cisco ACE никто не делал для абонентов? Есть проблема с traceroute, когда ACE в роутед режиме - при трассировке вместо каждого хопа возвращает адрес конечного хоста....<br />Может быть кто-то сталкивался?<br />

Edited by Stak

Share this post


Link to post
Share on other sites

Дык АСЕ какой? Фаервол?

Share this post


Link to post
Share on other sites

Application Control Engine Module ACE20-MOD-K9 вот такой АСЕ :) Самый обыкновенный...

Share this post


Link to post
Share on other sites
Application Control Engine Module ACE20-MOD-K9 вот такой АСЕ :) Самый обыкновенный...

там навскидку нужно разрешить management трафик (icmp) с внутреннего интерфейса.

с конфигом будет легче разобраться.

Share this post


Link to post
Share on other sites

Конфиг примерно такой, ничего выдающегося:

logging enable
logging standby
logging timestamp
logging trap 7
logging buffered 7
logging facility 3
logging device-id context-name
logging host 10.33.150.220 udp/514 
no logging message 302022
no logging message 302023
no logging message 302024
no logging message 302025
no logging message 302026
no logging message 302027
no logging message 313004



access-list ANY line 8 extended permit ip any any 
access-list NAT1 line 8 extended permit ip 10.144.0.0 255.255.0.0 any 
access-list NAT1 line 18 extended permit ip 10.33.154.128 255.255.255.224 any 
access-list NAT1 line 28 extended permit ip host 10.33.150.220 any 



class-map match-any NAT1
  2 match access-list NAT1

policy-map multi-match NAT
  class NAT1
    nat dynamic 1 vlan 14

interface vlan 13
  description NAT_in
  ip address 10.33.255.51 255.255.255.248
  alias 10.33.255.49 255.255.255.248
  peer ip address 10.33.255.50 255.255.255.248
  mtu 1500
  access-group input ANY
  service-policy input NAT
  no shutdown
interface vlan 14
  description NAT_out
  ip address 10.33.255.59 255.255.255.248
  alias 10.33.255.57 255.255.255.248
  peer ip address 10.33.255.58 255.255.255.248
  mtu 1500
  access-group input ANY
  nat-pool 1 1.1.220.1 1.1.223.254 netmask 255.255.252.0
  no shutdown

ip route 0.0.0.0 0.0.0.0 10.33.255.60
ip route 10.33.0.9 255.255.255.255 10.33.255.60
ip route 10.33.0.10 255.255.255.255 10.33.255.60
ip route 10.0.0.0 255.0.0.0 10.33.255.52
ip route 1.1.1.0 255.255.255.0 10.33.255.52

Share this post


Link to post
Share on other sites

class-map type management match-any MANAGEMENT

  6 match protocol icmp source-address 0.0.0.0 0.0.0.0

policy-map type management first-match REMOTE_MGMT_ALLOW_POLICY
  class MANAGEMENT
    permit

и

 

и REMOTE_MGMT_ALLOW_POLICY повесьте на nat_in и nat_out интерфейс

 

Share this post


Link to post
Share on other sites

Благодарствую, вечером попробую. Спасибо.

Share this post


Link to post
Share on other sites

Еще можно посмотреть в сторону loadbalance vip icmp-reply active в вип_полиси.

Share this post


Link to post
Share on other sites
Еще можно посмотреть в сторону loadbalance vip icmp-reply active в вип_полиси.

А где вы в этом контексте loadbalance увидели?

Share this post


Link to post
Share on other sites

interface vlan xxx

<skip>

description iface_to_ACE

service-policy input ICMP

<skip>

 

policy-map multi-match ICMP

class ICMP

inspect icmp error

 

class-map match-all ICMP

match access-list ICMP

 

access-list ICMP line 8 extended permit icmp any any

 

;o

Edited by D^2

Share this post


Link to post
Share on other sites

А где вы в этом контексте loadbalance увидели?

Да по привычке :) Для меня ася в первую очередь балансировщик.

Share this post


Link to post
Share on other sites

C icmp проблему решили, спасибо D^2

 

Коллеги, большая просьба - сможет кто-нибудь поделиться конфигом NAT на ACE?

Кто-нибудь ещё на ACE NAT делает для абонентов?

А то кроме этой ещё ряд проблем с ним нарисовался...

Share this post


Link to post
Share on other sites

Всё, уже не актуально. Разобрались с косяками...

Share this post


Link to post
Share on other sites
Всё, уже не актуально. Разобрались с косяками...

Ежли чо будет - пишите в личку, поели в свое время немало ;)

Share this post


Link to post
Share on other sites

Кстати, статистику по трансляциям как с него снимать, никто не в курсе?

 

CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB.my - по этой мибе нифига не отдаётся, хотя в консоли показывает по sh res usage, а обычный NAT-MIB - не поддерживается :(

 

$snmpwalk -v2c -c test *.*.*.* 1.3.6.1.4.1.9.9.480.1.1.2.1.7

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.1 = INTEGER: 1

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.3 = INTEGER: 1

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.7 = INTEGER: 1

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.7.4.71.111.108.100.8 = INTEGER: 1

 

$snmpwalk -v2c -c test *.*.*.* 1.3.6.1.4.1.9.9.480.1.1.2.1.8

SNMPv2-SMI::enterprises.9.9.480.1.1.2.1.8 = No Such Object available on this agent at this OID

Первое – это crlResourceLimitRowStatus,

а второе - crlResourceLimitCurrentUsage...

Share this post


Link to post
Share on other sites

Никто не пробовал статический НАТ настраивать?

 

Пробую так:

 

ACE-NAT/Admin(config)# policy-map multi-match NAT_POLICY
ACE-NAT/Admin(config-pmap)#   class NAT_CLASS
ACE-NAT/Admin(config-pmap-c)# nat static 192.168.1.77 netmask 255.255.255.0 vlan 402
Error: NAT static can only have one real IP and netmask!

Edited by raveren

Share this post


Link to post
Share on other sites
Никто не пробовал статический НАТ настраивать?
как-то так:

static vlan 10 vlan 20 х.х.х.20 10.х.х.20 netmask 255.255.255.255

 

П.Сы: Как показала практика, наличие лимита в 8М соединений здорово портит жисть при нате на АСЕ...

И самое неприятное, что их ещё и пер-юзер ограничить нельзя...

И таймауты задаются весьма оригинальным образом - на тцп и юдп один и тот же, блин. Индусы хреновы... Причем дефолтные - нормально, для тцп, юдп и ицмп разные значения.

И статистику нормально хрен соберешь - снмп обещают когда-то потом допилить... Разве что скриптами дёргать с консоли)

Share this post


Link to post
Share on other sites
Никто не пробовал статический НАТ настраивать?
как-то так:

static vlan 10 vlan 20 х.х.х.20 10.х.х.20 netmask 255.255.255.255

 

П.Сы: Как показала практика, наличие лимита в 8М соединений здорово портит жисть при нате на АСЕ...

И самое неприятное, что их ещё и пер-юзер ограничить нельзя...

И таймауты задаются весьма оригинальным образом - на тцп и юдп один и тот же, блин. Индусы хреновы... Причем дефолтные - нормально, для тцп, юдп и ицмп разные значения.

И статистику нормально хрен соберешь - снмп обещают когда-то потом допилить... Разве что скриптами дёргать с консоли)

Не нашел где это "как-то так" прописывается.

 

P.S. Вы уже уперлись в ограничение 8М соединений?

 

 

Share this post


Link to post
Share on other sites
Не нашел где это "как-то так" прописывается.

P.S. Вы уже уперлись в ограничение 8М соединений?

прописывается в глобал конфиг режиме. ( conf t)

Скоро упрёмся...

Share this post


Link to post
Share on other sites
Не нашел где это "как-то так" прописывается.

P.S. Вы уже уперлись в ограничение 8М соединений?

прописывается в глобал конфиг режиме. ( conf t)

Скоро упрёмся...

Нет такой команды в глобал конфиг режиме.

 

ACE-NAT/Admin(config)# ?
Configure commands:
  aaa                 Configure aaa functions
  access-group        Activate context global access-list
  access-list         Configure access control list
  arp                 Configure ARP
  banner              Configure banner message
  boot                Modify system boot parameters
  class-map           Configure a Class map
  clock               Configure time-of-day clock
  config-register     Define the configuration register
  context             Create a context
  crypto              Configure CSR parameters
  do                  EXEC command
  domain              Create a domain
  end                 Exit from configure mode
  exit                Exit from configure mode
  ft                  Configure Fault Tolerance
  hostname            Configure hostname
  hw-module           Configure hardware module parameters
  interface           Configure an interface
  ip                  Configure IP features
  ldap-server         Configure LDAP related parameters
  line                Configure a terminal line
  logging             Modify message logging facilities
  login               Configure login session parameters
  no                  Negate a command or set its defaults
  parameter-map       Configure a parameter map
  peer                Configure High Availability Peer
  policy-map          Configure a policy map
  probe               Configure probe
  radius-server       Configure RADIUS related parameters
  resource-class      Create a resource-class
  role                Create a new Role
  rserver             Configure rserver
  script              Configure script file and tasks
  serverfarm          Configure serverfarm
  service-policy      Enter service policy to be applied to this context
  shared-vlan-hostid  Configure a unique ID to use shared vlans
  snmp-server         Configure snmp server
  ssh                 Configure SSH parameters
  ssl-proxy           Configure an ssl-proxy service
  sticky              Configure sticky
  tacacs-server       Configure TACACS+ server related parameters
  telnet              Telnet config commands
  timeout             Configure the maximum timeout duration
  username            Configure user information.

 

Что думаете делать, когда упретесь?

 

P.S. Откуда Вы такую цифру взяли 8М? У него вроде по заявленному от Cisco 1,000,000 NAT транзакций.

 

Edited by raveren

Share this post


Link to post
Share on other sites

For example, to create a static NAT configuration for the mapped interface VLAN 176, real interface VLAN 171, and real IP address of 10.181.0.2 255.255.255.255 to be translated to the mapped address 5.6.7.4, enter:

host1/C1(config)# static vlan 176 vlan 171 5.6.7.4 10.81.0.2 netmask 255.255.255.255

 

http://www.cisco.com/en/US/docs/interfaces....html#wp1084392

 

Нат трансляций - да, 1М. Но трансляций немного. А вот коннекшн создаётся на каждый поток....

Edited by Stak

Share this post


Link to post
Share on other sites

Понятно. У меня софт Version 3.0(0)A1(6.3a) с другим синтаксисом. Спасибо! Смысл понятен в другом контексте его делать надо.

Share this post


Link to post
Share on other sites

Сегодня попробовал на 4000 абонентах этот "замечательный модуль". 10 минут продержался, затем отвалился доступ по ssh, следом перестали выводится данные на команды "sh xlate" и "sh connections". Абоненты стали жаловаться на то, что не открываются страницы, хотя все пингуется. Думаю что максимальное кол-во соединений "sh conn" на этот момент было около 100000. Так я и не понял что это с ним такое...

Share this post


Link to post
Share on other sites

Впятеро больше лопатит без проблем.

Так что смотрите что там у вас с софтами и конфигами...

есть такая замечательная команда sh res usage, в Admin контексте особенно наглядно.

П.С. статические НАТ-трансляции работают только на крайней версии софта) 2.2 который

Share this post


Link to post
Share on other sites

Я решил статический НАТ на управляющий модуль направить через pbr. Его всего то нужно для ~ 100 ip-адресов сделать, а всех остальных отправляю на ACE. С конфигом у меня все просто:

 

Generating configuration....

logging enable
logging standby
logging timestamp
logging trap 7
logging buffered 7
logging facility 3
logging device-id hostname
logging host xxx.xxx.xxx.xxx udp/514


login timeout 15
hostname ACE-NAT
boot system image:c6ace-t1k9-mz.3.0.0_A1_6_3a.bin



clock timezone lalala

access-list ANY_ACCESS line 10 extended permit ip any any
access-list NAT_ACCESS line 10 extended permit ip 192.168.0.0 255.255.0.0 any


class-map match-any NAT_CLASS
  2 match access-list NAT_ACCESS
class-map type management match-any MGMT_ACCESS
  description Remote Access traffic
  10 match protocol snmp source-address xx.xx.xx.xx xxx.xxx.xxx.xxx
  20 match protocol icmp any
  30 match protocol ssh source-address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

policy-map type management first-match MGMT_POLICY
  class REMOTE_ACCESS
    permit
policy-map multi-match NAT_POLICY
  class NAT_CLASS
    nat dynamic 1 vlan 200
timeout xlate 120

interface vlan 200
  description NAT
  ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
  mtu 1500
  access-group input ANY_ACCESS
  nat-pool 1 xx.xx.xx.230 xx.xx.xx.250 netmask 255.255.254.0 pat
  service-policy input MGMT_ACCESS_POLICY
  service-policy input NAT_POLICY
  no shutdown

ip route 0.0.0.0 0.0.0.0 xx.xx.xx.1

ACE-NAT/Admin#

 

sh res usage показал бы, но я его перезапускал после глюка. В нем пусто.

 

Да и еще в лог постоянно сыпалось вот такое:

 

Oct 15 15:59:52 xx.xx.xx.xx ACE-NAT %ACE-4-313004: Denied ICMP type=11, from laddr 95.181.0.6 on interface vlan402 to <ip-адрес из пула>: no matching session

 

Cisco 7201 (c7201) - держит этих же абонентов с максимальной нагрузкой в часы пик 90%. Хотя у нее заявленные параметры поскромней. Вот я и думаю, что за хрень то такая? Думаете все-таки IOS обновить или еще какие мысли будут?

Edited by raveren

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now