Jump to content

NAT на ASR1000: создает отдельные трансляции

Дегтярев Илья
 Share

Recommended Posts

Дегтярев Илья

Дегтярев Илья

Posted
Posted (edited)

Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.

 

show ip nat translations | i 10.5.78.53
---  3.5.4.166         10.5.78.53           ---                   ---
tcp  3.5.4.166:42847   10.5.78.53:42847     195.19.50.70:52493    195.19.50.70:52493
udp  3.5.4.166:6881    10.5.78.53:6881      62.212.47.5:25760     62.212.47.5:25760
tcp  3.5.4.166:46302   10.5.78.53:46302     195.144.14.196:52160  195.144.14.196:5210
udp  3.5.4.166:6881    10.5.78.53:6881      62.152.6.129:36263    62.152.6.129:36263
tcp  3.5.4.166:47017   10.5.78.53:47017     212.232.66.16:12851   212.232.66.16:12851
udp  3.5.4.166:6881    10.5.78.53:6881      84.228.224.195:19834  84.228.224.195:1984
tcp  3.5.4.166:55599   10.5.78.53:55599     195.19.50.70:52491    195.19.50.70:52491
udp  3.5.4.166:6881    10.5.78.53:6881      178.130.18.131:35691  178.130.18.131:3561
udp  3.5.4.166:6881    10.5.78.53:6881      91.203.197.163:34028  91.203.197.163:3408
udp  3.5.4.166:6881    10.5.78.53:6881      202.179.16.191:31498  202.179.16.191:3148
tcp  3.5.4.166:47502   10.5.78.53:47502     213.79.8.117:6881     213.79.8.117:6881
tcp  3.5.4.166:60136   10.5.78.53:60136     77.232.143.210:6886   77.232.143.210:6886
tcp  3.5.4.166:57116   10.5.78.53:57116     212.232.66.192:29707  212.232.66.192:2977

 

Ввожу:

asr1006-2(config)#no ip nat create flow-entries

%NAT: Disabling of flow creation is not allowed

 

Конфиг:

 

ip nat pool nat-pool-c 3.5.3.1 3.5.5.254 prefix-length 22
ip nat inside source list nat-net-c pool nat-pool-c vrf edge-nat
!
ip route vrf edge-nat 0.0.0.0 0.0.0.0 81.81.81.17 permanent
ip route vrf edge-nat 10.5.0.0 255.255.0.0 81.81.81.9 permanent
!
ip access-list extended nat-net-c
   permit ip 10.5.64.0 0.0.63.255 any

 

Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек.

Edited by Дегтярев Илья
XeonVs

XeonVs

Posted
Posted (edited)

Я у себя поставил относительно короткие таймауты ибо на ASR нат в целом странно иногда работает.

Edited by XeonVs
XeonVs

XeonVs

Posted
Posted
А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

 

 

denis_vid

denis_vid

Posted
Posted
А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки
XeonVs

XeonVs

Posted
Posted
А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки

Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.
denis_vid

denis_vid

Posted
Posted
Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.
Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить?

 

XeonVs

XeonVs

Posted
Posted
Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.
Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить?

Не было тогда столько свободных адресов, а таймауты не крутились вообще. А теперь это и не нужно.

 

denis_vid

denis_vid

Posted
Posted
Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.

Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек.

А что не так с этими трансляциями? Классический динамик нат 1 в 1

 

Дегтярев Илья

Дегтярев Илья

Posted
  • Author
Posted
А что не так с этими трансляциями? Классический динамик нат 1 в 1
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.

 

И неизвестно, какие ресурсы они используют реально.

darkagent

darkagent

Posted
Posted
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.
очень долго в свое время боролись с этой проблемой у себя, в итоге просто отказались от ната.

как вариант разве что доверить задачу ната хорошему писюку (если нужен большой поток - то с 10g картами на борту).

кроме как таймауты понижать - ничего больше в голову не приходило, однако сильно занижая таймауты, можно обрушить на себя приличный гнев со стороны абонентов,

которые очень скоро почувствуют дискомфорт (частые дисконнекты в играх например)

denis_vid

denis_vid

Posted
Posted
А что не так с этими трансляциями? Классический динамик нат 1 в 1
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.

 

И неизвестно, какие ресурсы они используют реально.

Насколько я понимаю это просто подробный вывод открытых трансляций по инклюду, и вроде такой вывод как правило и есть цисковских софтроутерах, не скажу за все но по крайней мере на 3845 было также, это может понадобиться например для того что бы можно было логгировать в сислог все когда либо открытые трансляции, а вот в ASA можно смотреть информацию только об общей трансляции адрес в адрес. Это не значит что нат как то отличается, есть разница в командах и соответствнно выводе этих команд. Физической сути проблемы в вашем случае что то не вижу.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.