Jump to content
Калькуляторы

Проблема с NAT на cisco 7140

Приветствую коллеги!

Проблема в следующем... Все отлично клиенты подключаются к циске по L2TP, интернет работает отлично, скорости радиусом при подключении режутся. Потом проходит некоторое время у клиентов после подключения сайты начинают открываться только после минутной паузы(после установления подключения с NAT) затем проходит еще время и сайты вовсе перестают открываться... при этом DNS имена преобразуются и пинг идет!!! После перезагрузки cisco все начинает работать нормально... а потом опять...

Вот конфиг циски...

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password 7 password
!
username netup privilege 8 password 7 password
username root privilege 8 password 0 root
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting delay-start
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
aaa session-id common
ip subnet-zero
no ip source-route
ip rcmd rsh-enable
ip rcmd remote-host netup x.x.x.x netup enable
ip rcmd remote-host root x.x.x.x root enable
ip flow-cache timeout inactive 60
ip flow-cache timeout active 1
!
!
no ip domain lookup
ip domain name vpn.provider.ru
ip name-server x.x.x.x
ip name-server x.x.x.x
!
ip cef
ip audit po max-events 100
vpdn enable
vpdn session-limit 3000
!
vpdn-group 1
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 1
source-ip 192.168.0.1
force-local-chap
no l2tp tunnel authentication
l2tp tunnel receive-window 1024
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
controller ISA 5/1
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip route-cache flow
duplex full
speed auto
mpls netflow egress
!
interface FastEthernet0/1
ip address x.x.x.x 255.255.255.0
ip nat outside
ip route-cache flow
duplex auto
speed auto
mpls netflow egress
!
interface Virtual-Template1
mtu 1400
ip unnumbered Loopback0
ip nat inside
ip route-cache flow
ip tcp header-compression
ip mroute-cache
no logging event link-status
autodetect encapsulation ppp
mpls netflow egress
no peer default ip address
keepalive 32767
ppp authentication ms-chap-v2 chap pap ms-chap eap
!
interface Dialer0
no ip address
!
ip nat inside source list 11 interface FastEthernet0/1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.1
ip route 10.0.0.0 255.0.0.0 192.168.0.254
ip flow-export version 5
ip flow-export destination x.x.x.2 9996
no ip http server
no ip http secure-server
!
!
access-list 10 permit x.x.x.2
access-list 116 dynamic test1 permit ip any any
access-list 116 permit ip host 192.168.0.253 any
access-list 116 deny   ip any any
access-list 117 dynamic test2 permit ip any any
access-list 117 permit ip any host 192.168.0.253
access-list 117 deny   ip any any
!
snmp-server community public RO 10
snmp-server enable traps tty
!
radius-server attribute 44 include-in-access-req
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 31 mac format ietf
radius-server host x.x.x.2 auth-port 1812 acct-port 1813
radius-server key mysecret
radius-server vsa send accounting
radius-server vsa send authentication
!
!
privilege exec level 8 access-template
privilege exec level 8 show vpdn session state
privilege exec level 8 show vpdn session
privilege exec level 8 show vpdn
privilege exec level 8 show users
privilege exec level 8 show
privilege exec level 8 clear access-template
privilege exec level 8 clear vpdn tunnel pptp id
privilege exec level 8 clear vpdn tunnel pptp
privilege exec level 8 clear vpdn tunnel l2tp id
privilege exec level 8 clear vpdn tunnel l2tp
privilege exec level 8 clear vpdn tunnel
privilege exec level 8 clear vpdn
privilege exec level 8 clear interface
privilege exec level 8 clear
!
line con 0
exec-timeout 0 0
password 7 password
line aux 0
line vty 0 4
password 7 password
!
!
end

Share this post


Link to post
Share on other sites

1. Таймауты на пинг настройте

2. Сделайте пул и натьте в него

Share this post


Link to post
Share on other sites
1. Таймауты на пинг настройте

2. Сделайте пул и натьте в него

Извините конечно...

Но можно ли примерчик конфига...

Заранее спасибо!

Share this post


Link to post
Share on other sites

хелп... не понимаю как пул поможет, разброс ната на несколько IP? Так ведь одновременных сессий пока штук 10 не больше... в чем проблем куда копать?

Share this post


Link to post
Share on other sites
хелп... не понимаю как пул поможет, разброс ната на несколько IP? Так ведь одновременных сессий пока штук 10 не больше... в чем проблем куда копать?

Уж простите, но тыкну в мануал:

 

http://www.cisco.com/en/US/technologies/tk...0080091cb9.html

 

Про 10 одновременных сессий в первом посте сказано не было, да и 10 клиентов вполне могут насрать искомые 64000 трансляций. Помониторьте, сколько активных сессий на nat-е в момент работы.

 

Вместо перезагрузки попробуйте сделать clear ip nat translations, если поможет - то точно дело в нате.

Share this post


Link to post
Share on other sites
хелп... не понимаю как пул поможет, разброс ната на несколько IP? Так ведь одновременных сессий пока штук 10 не больше... в чем проблем куда копать?

Уж простите, но тыкну в мануал:

 

http://www.cisco.com/en/US/technologies/tk...0080091cb9.html

 

Про 10 одновременных сессий в первом посте сказано не было, да и 10 клиентов вполне могут насрать искомые 64000 трансляций. Помониторьте, сколько активных сессий на nat-е в момент работы.

 

Вместо перезагрузки попробуйте сделать clear ip nat translations, если поможет - то точно дело в нате.

Хм вот что показываю команды:

Router#sh ip nat sta

Total active translations: 53151 (0 static, 53151 dynamic; 53151 extended)

Outside interfaces:

FastEthernet0/1

Inside interfaces:

Virtual-Template1, Virtual-Access4, Virtual-Access8, Virtual-Access13

Virtual-Access25

Hits: 6890278 Misses: 135179

Expired translations: 82028

Dynamic mappings:

-- Inside Source

[id: 1] access-list 11 interface FastEthernet0/1 refcount 53151

 

При это всего 4 активных сессии:

Router#sh vpdn session

 

L2TP Session Information Total tunnels 4 sessions 4

 

LocID RemID TunID Intf Username State Last Chg Uniq ID

14 1 20501 Vi13 xxxx est 16:34:34 13

132 1 2107 Vi25 yyyy est 02:22:41 131

133 1 10284 Vi4 zzzz est 01:56:12 132

139 1 59346 Vi8 nnnnn est 00:19:14 138

 

И в списке трансляций судя по всему уже давно разорваные подключения... но почему они остаются висеть в памяти?

 

Router#sh ip nat trans

Pro Inside global Inside local Outside local Outside global

tcp x.x.x.254:46022 172.16.0.2:1070 213.180.204.91:80 213.180.204.91:80

tcp x.x.x.254:53253 172.16.0.15:53253 62.105.135.103:80 62.105.135.103:80

tcp x.x.x.254:29321 172.16.0.16:1031 87.242.75.91:80 87.242.75.91:80

tcp x.x.x.254:29695 172.16.0.17:2062 91.212.198.3:80 91.212.198.3:80

tcp x.x.x.254:33254 172.16.0.47:1861 94.100.181.140:80 94.100.181.140:80

tcp x.x.x.254:29655 172.16.0.16:1234 213.180.204.75:80 213.180.204.75:80

tcp x.x.x.254:46024 172.16.0.2:1072 213.180.204.91:80 213.180.204.91:80

tcp x.x.x.254:13296 172.16.0.10:3168 213.180.204.51:80 213.180.204.51:80

tcp x.x.x.254:46026 172.16.0.2:1074 213.180.204.91:80 213.180.204.91:80

tcp x.x.x.254:32819 172.16.0.34:2698 78.140.135.26:80 78.140.135.26:80

tcp x.x.x.254:32821 172.16.0.34:2699 78.140.135.26:80 78.140.135.26:80

tcp x.x.x.254:15662 172.16.0.18:1199 90.151.160.5:7777 90.151.160.5:7777

tcp x.x.x.254:1190 172.16.0.41:1190 94.100.178.211:80 94.100.178.211:80

tcp x.x.x.254:17509 172.16.0.3:1214 94.100.179.20:80 94.100.179.20:80

tcp x.x.x.254:13239 172.16.0.10:3099 217.73.200.221:80 217.73.200.221:80

tcp x.x.x.254:14317 172.16.0.3:3286 94.246.126.252:80 94.246.126.252:80

 

 

Так должно быть или это какие то глюки циски?

Router#sh ver

Cisco Internetwork Operating System Software

IOS ™ EGR Software (C7100-JK9O3S-M), Version 12.3(12e), RELEASE SOFTWARE (fc2)

Technical Support: http://www.cisco.com/techsupport

Copyright © 1986-2005 by cisco Systems, Inc.

Compiled Wed 24-Aug-05 15:44 by ssearch

Image text-base: 0x60008AF4, data-base: 0x62816000

 

ROM: System Bootstrap, Version 12.0(5r)XE, RELEASE SOFTWARE (fc1)

BOOTLDR: EGR Software (C7100-BOOT-M), Version 12.2(27c), RELEASE SOFTWARE (fc1)

 

Router uptime is 17 hours, 0 minutes

System returned to ROM by reload at 02:52:05 UTC Thu Sep 17 2009

System image file is "slot0:c7100-jk9o3s-mz.123-12e.bin"

Last reload reason: Reload command

 

 

Share this post


Link to post
Share on other sites

Сейчас попробовал выставить следующие параметры:

ip nat translation timeout 20

ip nat translation tcp-timeout 120

ip nat translation udp-timeout 60

ip nat translation dns-timeout 80

ip nat translation icmp-timeout 10

ip nat translation max-entries 30000

погляжу что изменится...

Share this post


Link to post
Share on other sites
Сейчас попробовал выставить следующие параметры:

ip nat translation timeout 20

ip nat translation tcp-timeout 120

ip nat translation udp-timeout 60

ip nat translation dns-timeout 80

ip nat translation icmp-timeout 10

ip nat translation max-entries 30000

погляжу что изменится...

в момент затыка посмотрите sh ip nat sta, ну и sh proc cpu sort 1m

загрузка CPU небось взлетает до 100%

 

 

Share this post


Link to post
Share on other sites
Total active translations: 53151 (0 static, 53151 dynamic; 53151 extended)

Всего при одном IP-адресе в пуле доступно 64000 портов и соответственно столько же трансляций, а у вас уже 53151 трансляций.

 

И в списке трансляций судя по всему уже давно разорваные подключения... но почему они остаются висеть в памяти?

Потому что они по-умолчанию висят сутки, если не изменяет память.

Share this post


Link to post
Share on other sites

Использую cisco 7140 как брас для РРРoE абонентов. Для абонентов с реальными ип - проблем нет, с фейковыми ип возникла проблема - не хватает ресурсов с запущенным натом. Нагрузка была 100%.

Решением было установка cisco pix 515e. Сейчас натит без проблем. Отлично, очень доволен и все забыли о затыках на фейковых адресах.

Нагрузка на брас не более 500 абонентов

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this