radiotech Опубликовано 17 сентября, 2009 · Жалоба Приветствую коллеги! Проблема в следующем... Все отлично клиенты подключаются к циске по L2TP, интернет работает отлично, скорости радиусом при подключении режутся. Потом проходит некоторое время у клиентов после подключения сайты начинают открываться только после минутной паузы(после установления подключения с NAT) затем проходит еще время и сайты вовсе перестают открываться... при этом DNS имена преобразуются и пинг идет!!! После перезагрузки cisco все начинает работать нормально... а потом опять... Вот конфиг циски... ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable password 7 password ! username netup privilege 8 password 7 password username root privilege 8 password 0 root aaa new-model ! ! aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting delay-start aaa accounting network default start-stop group radius aaa accounting system default start-stop group radius aaa session-id common ip subnet-zero no ip source-route ip rcmd rsh-enable ip rcmd remote-host netup x.x.x.x netup enable ip rcmd remote-host root x.x.x.x root enable ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 ! ! no ip domain lookup ip domain name vpn.provider.ru ip name-server x.x.x.x ip name-server x.x.x.x ! ip cef ip audit po max-events 100 vpdn enable vpdn session-limit 3000 ! vpdn-group 1 ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 1 source-ip 192.168.0.1 force-local-chap no l2tp tunnel authentication l2tp tunnel receive-window 1024 ! no ftp-server write-enable ! ! ! ! ! ! ! ! ! ! ! ! ! ! controller ISA 5/1 ! ! ! ! interface Loopback0 no ip address ! interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip route-cache flow duplex full speed auto mpls netflow egress ! interface FastEthernet0/1 ip address x.x.x.x 255.255.255.0 ip nat outside ip route-cache flow duplex auto speed auto mpls netflow egress ! interface Virtual-Template1 mtu 1400 ip unnumbered Loopback0 ip nat inside ip route-cache flow ip tcp header-compression ip mroute-cache no logging event link-status autodetect encapsulation ppp mpls netflow egress no peer default ip address keepalive 32767 ppp authentication ms-chap-v2 chap pap ms-chap eap ! interface Dialer0 no ip address ! ip nat inside source list 11 interface FastEthernet0/1 overload ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.1 ip route 10.0.0.0 255.0.0.0 192.168.0.254 ip flow-export version 5 ip flow-export destination x.x.x.2 9996 no ip http server no ip http secure-server ! ! access-list 10 permit x.x.x.2 access-list 116 dynamic test1 permit ip any any access-list 116 permit ip host 192.168.0.253 any access-list 116 deny ip any any access-list 117 dynamic test2 permit ip any any access-list 117 permit ip any host 192.168.0.253 access-list 117 deny ip any any ! snmp-server community public RO 10 snmp-server enable traps tty ! radius-server attribute 44 include-in-access-req radius-server attribute 6 on-for-login-auth radius-server attribute 8 include-in-access-req radius-server attribute 31 mac format ietf radius-server host x.x.x.2 auth-port 1812 acct-port 1813 radius-server key mysecret radius-server vsa send accounting radius-server vsa send authentication ! ! privilege exec level 8 access-template privilege exec level 8 show vpdn session state privilege exec level 8 show vpdn session privilege exec level 8 show vpdn privilege exec level 8 show users privilege exec level 8 show privilege exec level 8 clear access-template privilege exec level 8 clear vpdn tunnel pptp id privilege exec level 8 clear vpdn tunnel pptp privilege exec level 8 clear vpdn tunnel l2tp id privilege exec level 8 clear vpdn tunnel l2tp privilege exec level 8 clear vpdn tunnel privilege exec level 8 clear vpdn privilege exec level 8 clear interface privilege exec level 8 clear ! line con 0 exec-timeout 0 0 password 7 password line aux 0 line vty 0 4 password 7 password ! ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 17 сентября, 2009 · Жалоба 1. Таймауты на пинг настройте 2. Сделайте пул и натьте в него Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 17 сентября, 2009 · Жалоба 1. Таймауты на пинг настройте2. Сделайте пул и натьте в него Извините конечно...Но можно ли примерчик конфига... Заранее спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 17 сентября, 2009 · Жалоба хелп... не понимаю как пул поможет, разброс ната на несколько IP? Так ведь одновременных сессий пока штук 10 не больше... в чем проблем куда копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 17 сентября, 2009 · Жалоба хелп... не понимаю как пул поможет, разброс ната на несколько IP? Так ведь одновременных сессий пока штук 10 не больше... в чем проблем куда копать? Уж простите, но тыкну в мануал: http://www.cisco.com/en/US/technologies/tk...0080091cb9.html Про 10 одновременных сессий в первом посте сказано не было, да и 10 клиентов вполне могут насрать искомые 64000 трансляций. Помониторьте, сколько активных сессий на nat-е в момент работы. Вместо перезагрузки попробуйте сделать clear ip nat translations, если поможет - то точно дело в нате. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 18 сентября, 2009 · Жалоба хелп... не понимаю как пул поможет, разброс ната на несколько IP? Так ведь одновременных сессий пока штук 10 не больше... в чем проблем куда копать? Уж простите, но тыкну в мануал: http://www.cisco.com/en/US/technologies/tk...0080091cb9.html Про 10 одновременных сессий в первом посте сказано не было, да и 10 клиентов вполне могут насрать искомые 64000 трансляций. Помониторьте, сколько активных сессий на nat-е в момент работы. Вместо перезагрузки попробуйте сделать clear ip nat translations, если поможет - то точно дело в нате. Хм вот что показываю команды: Router#sh ip nat sta Total active translations: 53151 (0 static, 53151 dynamic; 53151 extended) Outside interfaces: FastEthernet0/1 Inside interfaces: Virtual-Template1, Virtual-Access4, Virtual-Access8, Virtual-Access13 Virtual-Access25 Hits: 6890278 Misses: 135179 Expired translations: 82028 Dynamic mappings: -- Inside Source [id: 1] access-list 11 interface FastEthernet0/1 refcount 53151 При это всего 4 активных сессии: Router#sh vpdn session L2TP Session Information Total tunnels 4 sessions 4 LocID RemID TunID Intf Username State Last Chg Uniq ID 14 1 20501 Vi13 xxxx est 16:34:34 13 132 1 2107 Vi25 yyyy est 02:22:41 131 133 1 10284 Vi4 zzzz est 01:56:12 132 139 1 59346 Vi8 nnnnn est 00:19:14 138 И в списке трансляций судя по всему уже давно разорваные подключения... но почему они остаются висеть в памяти? Router#sh ip nat trans Pro Inside global Inside local Outside local Outside global tcp x.x.x.254:46022 172.16.0.2:1070 213.180.204.91:80 213.180.204.91:80 tcp x.x.x.254:53253 172.16.0.15:53253 62.105.135.103:80 62.105.135.103:80 tcp x.x.x.254:29321 172.16.0.16:1031 87.242.75.91:80 87.242.75.91:80 tcp x.x.x.254:29695 172.16.0.17:2062 91.212.198.3:80 91.212.198.3:80 tcp x.x.x.254:33254 172.16.0.47:1861 94.100.181.140:80 94.100.181.140:80 tcp x.x.x.254:29655 172.16.0.16:1234 213.180.204.75:80 213.180.204.75:80 tcp x.x.x.254:46024 172.16.0.2:1072 213.180.204.91:80 213.180.204.91:80 tcp x.x.x.254:13296 172.16.0.10:3168 213.180.204.51:80 213.180.204.51:80 tcp x.x.x.254:46026 172.16.0.2:1074 213.180.204.91:80 213.180.204.91:80 tcp x.x.x.254:32819 172.16.0.34:2698 78.140.135.26:80 78.140.135.26:80 tcp x.x.x.254:32821 172.16.0.34:2699 78.140.135.26:80 78.140.135.26:80 tcp x.x.x.254:15662 172.16.0.18:1199 90.151.160.5:7777 90.151.160.5:7777 tcp x.x.x.254:1190 172.16.0.41:1190 94.100.178.211:80 94.100.178.211:80 tcp x.x.x.254:17509 172.16.0.3:1214 94.100.179.20:80 94.100.179.20:80 tcp x.x.x.254:13239 172.16.0.10:3099 217.73.200.221:80 217.73.200.221:80 tcp x.x.x.254:14317 172.16.0.3:3286 94.246.126.252:80 94.246.126.252:80 Так должно быть или это какие то глюки циски? Router#sh ver Cisco Internetwork Operating System Software IOS EGR Software (C7100-JK9O3S-M), Version 12.3(12e), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2005 by cisco Systems, Inc. Compiled Wed 24-Aug-05 15:44 by ssearch Image text-base: 0x60008AF4, data-base: 0x62816000 ROM: System Bootstrap, Version 12.0(5r)XE, RELEASE SOFTWARE (fc1) BOOTLDR: EGR Software (C7100-BOOT-M), Version 12.2(27c), RELEASE SOFTWARE (fc1) Router uptime is 17 hours, 0 minutes System returned to ROM by reload at 02:52:05 UTC Thu Sep 17 2009 System image file is "slot0:c7100-jk9o3s-mz.123-12e.bin" Last reload reason: Reload command Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 18 сентября, 2009 · Жалоба Сейчас попробовал выставить следующие параметры: ip nat translation timeout 20 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation dns-timeout 80 ip nat translation icmp-timeout 10 ip nat translation max-entries 30000 погляжу что изменится... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnb Опубликовано 18 сентября, 2009 · Жалоба Сейчас попробовал выставить следующие параметры:ip nat translation timeout 20 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation dns-timeout 80 ip nat translation icmp-timeout 10 ip nat translation max-entries 30000 погляжу что изменится... в момент затыка посмотрите sh ip nat sta, ну и sh proc cpu sort 1m загрузка CPU небось взлетает до 100% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radiotech Опубликовано 18 сентября, 2009 · Жалоба кстати вроде помогло!!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 18 сентября, 2009 · Жалоба Total active translations: 53151 (0 static, 53151 dynamic; 53151 extended) Всего при одном IP-адресе в пуле доступно 64000 портов и соответственно столько же трансляций, а у вас уже 53151 трансляций. И в списке трансляций судя по всему уже давно разорваные подключения... но почему они остаются висеть в памяти? Потому что они по-умолчанию висят сутки, если не изменяет память. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L_V Опубликовано 20 сентября, 2009 · Жалоба Использую cisco 7140 как брас для РРРoE абонентов. Для абонентов с реальными ип - проблем нет, с фейковыми ип возникла проблема - не хватает ресурсов с запущенным натом. Нагрузка была 100%. Решением было установка cisco pix 515e. Сейчас натит без проблем. Отлично, очень доволен и все забыли о затыках на фейковых адресах. Нагрузка на брас не более 500 абонентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...