Jump to content
Калькуляторы

NAT на ASR1000: создает отдельные трансляции

Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.

 

show ip nat translations | i 10.5.78.53
---  3.5.4.166         10.5.78.53           ---                   ---
tcp  3.5.4.166:42847   10.5.78.53:42847     195.19.50.70:52493    195.19.50.70:52493
udp  3.5.4.166:6881    10.5.78.53:6881      62.212.47.5:25760     62.212.47.5:25760
tcp  3.5.4.166:46302   10.5.78.53:46302     195.144.14.196:52160  195.144.14.196:5210
udp  3.5.4.166:6881    10.5.78.53:6881      62.152.6.129:36263    62.152.6.129:36263
tcp  3.5.4.166:47017   10.5.78.53:47017     212.232.66.16:12851   212.232.66.16:12851
udp  3.5.4.166:6881    10.5.78.53:6881      84.228.224.195:19834  84.228.224.195:1984
tcp  3.5.4.166:55599   10.5.78.53:55599     195.19.50.70:52491    195.19.50.70:52491
udp  3.5.4.166:6881    10.5.78.53:6881      178.130.18.131:35691  178.130.18.131:3561
udp  3.5.4.166:6881    10.5.78.53:6881      91.203.197.163:34028  91.203.197.163:3408
udp  3.5.4.166:6881    10.5.78.53:6881      202.179.16.191:31498  202.179.16.191:3148
tcp  3.5.4.166:47502   10.5.78.53:47502     213.79.8.117:6881     213.79.8.117:6881
tcp  3.5.4.166:60136   10.5.78.53:60136     77.232.143.210:6886   77.232.143.210:6886
tcp  3.5.4.166:57116   10.5.78.53:57116     212.232.66.192:29707  212.232.66.192:2977

 

Ввожу:

asr1006-2(config)#no ip nat create flow-entries

%NAT: Disabling of flow creation is not allowed

 

Конфиг:

 

ip nat pool nat-pool-c 3.5.3.1 3.5.5.254 prefix-length 22
ip nat inside source list nat-net-c pool nat-pool-c vrf edge-nat
!
ip route vrf edge-nat 0.0.0.0 0.0.0.0 81.81.81.17 permanent
ip route vrf edge-nat 10.5.0.0 255.255.0.0 81.81.81.9 permanent
!
ip access-list extended nat-net-c
   permit ip 10.5.64.0 0.0.63.255 any

 

Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек.

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

Я у себя поставил относительно короткие таймауты ибо на ASR нат в целом странно иногда работает.

Edited by XeonVs

Share this post


Link to post
Share on other sites

А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?

Share this post


Link to post
Share on other sites
А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

 

 

Share this post


Link to post
Share on other sites
А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки

Share this post


Link to post
Share on other sites
А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки

Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.

Share this post


Link to post
Share on other sites
Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.
Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить?

 

Share this post


Link to post
Share on other sites
Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.
Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить?

Не было тогда столько свободных адресов, а таймауты не крутились вообще. А теперь это и не нужно.

 

Share this post


Link to post
Share on other sites
Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.

Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек.

А что не так с этими трансляциями? Классический динамик нат 1 в 1

 

Share this post


Link to post
Share on other sites
А что не так с этими трансляциями? Классический динамик нат 1 в 1
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.

 

И неизвестно, какие ресурсы они используют реально.

Share this post


Link to post
Share on other sites
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.
очень долго в свое время боролись с этой проблемой у себя, в итоге просто отказались от ната.

как вариант разве что доверить задачу ната хорошему писюку (если нужен большой поток - то с 10g картами на борту).

кроме как таймауты понижать - ничего больше в голову не приходило, однако сильно занижая таймауты, можно обрушить на себя приличный гнев со стороны абонентов,

которые очень скоро почувствуют дискомфорт (частые дисконнекты в играх например)

Share this post


Link to post
Share on other sites

В том то и дело, что даже если убить трасляцию для порта, остается трансляция для всего ip и пакеты в обе стороны продолжают нормально бегать.

Share this post


Link to post
Share on other sites
А что не так с этими трансляциями? Классический динамик нат 1 в 1
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.

 

И неизвестно, какие ресурсы они используют реально.

Насколько я понимаю это просто подробный вывод открытых трансляций по инклюду, и вроде такой вывод как правило и есть цисковских софтроутерах, не скажу за все но по крайней мере на 3845 было также, это может понадобиться например для того что бы можно было логгировать в сислог все когда либо открытые трансляции, а вот в ASA можно смотреть информацию только об общей трансляции адрес в адрес. Это не значит что нат как то отличается, есть разница в командах и соответствнно выводе этих команд. Физической сути проблемы в вашем случае что то не вижу.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this