Перейти к содержимому
Калькуляторы

NAT на ASR1000: создает отдельные трансляции

Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.

 

show ip nat translations | i 10.5.78.53
---  3.5.4.166         10.5.78.53           ---                   ---
tcp  3.5.4.166:42847   10.5.78.53:42847     195.19.50.70:52493    195.19.50.70:52493
udp  3.5.4.166:6881    10.5.78.53:6881      62.212.47.5:25760     62.212.47.5:25760
tcp  3.5.4.166:46302   10.5.78.53:46302     195.144.14.196:52160  195.144.14.196:5210
udp  3.5.4.166:6881    10.5.78.53:6881      62.152.6.129:36263    62.152.6.129:36263
tcp  3.5.4.166:47017   10.5.78.53:47017     212.232.66.16:12851   212.232.66.16:12851
udp  3.5.4.166:6881    10.5.78.53:6881      84.228.224.195:19834  84.228.224.195:1984
tcp  3.5.4.166:55599   10.5.78.53:55599     195.19.50.70:52491    195.19.50.70:52491
udp  3.5.4.166:6881    10.5.78.53:6881      178.130.18.131:35691  178.130.18.131:3561
udp  3.5.4.166:6881    10.5.78.53:6881      91.203.197.163:34028  91.203.197.163:3408
udp  3.5.4.166:6881    10.5.78.53:6881      202.179.16.191:31498  202.179.16.191:3148
tcp  3.5.4.166:47502   10.5.78.53:47502     213.79.8.117:6881     213.79.8.117:6881
tcp  3.5.4.166:60136   10.5.78.53:60136     77.232.143.210:6886   77.232.143.210:6886
tcp  3.5.4.166:57116   10.5.78.53:57116     212.232.66.192:29707  212.232.66.192:2977

 

Ввожу:

asr1006-2(config)#no ip nat create flow-entries

%NAT: Disabling of flow creation is not allowed

 

Конфиг:

 

ip nat pool nat-pool-c 3.5.3.1 3.5.5.254 prefix-length 22
ip nat inside source list nat-net-c pool nat-pool-c vrf edge-nat
!
ip route vrf edge-nat 0.0.0.0 0.0.0.0 81.81.81.17 permanent
ip route vrf edge-nat 10.5.0.0 255.255.0.0 81.81.81.9 permanent
!
ip access-list extended nat-net-c
   permit ip 10.5.64.0 0.0.63.255 any

 

Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я у себя поставил относительно короткие таймауты ибо на ASR нат в целом странно иногда работает.

Изменено пользователем XeonVs

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?
Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5

На ESP10 не пробовал, оставил нат 1:1, работает стабильно.

Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки

Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.
Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.
Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить?

Не было тогда столько свободных адресов, а таймауты не крутились вообще. А теперь это и не нужно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.

Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек.

А что не так с этими трансляциями? Классический динамик нат 1 в 1

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что не так с этими трансляциями? Классический динамик нат 1 в 1
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.

 

И неизвестно, какие ресурсы они используют реально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.
очень долго в свое время боролись с этой проблемой у себя, в итоге просто отказались от ната.

как вариант разве что доверить задачу ната хорошему писюку (если нужен большой поток - то с 10g картами на борту).

кроме как таймауты понижать - ничего больше в голову не приходило, однако сильно занижая таймауты, можно обрушить на себя приличный гнев со стороны абонентов,

которые очень скоро почувствуют дискомфорт (частые дисконнекты в играх например)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В том то и дело, что даже если убить трасляцию для порта, остается трансляция для всего ip и пакеты в обе стороны продолжают нормально бегать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что не так с этими трансляциями? Классический динамик нат 1 в 1
то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.

 

И неизвестно, какие ресурсы они используют реально.

Насколько я понимаю это просто подробный вывод открытых трансляций по инклюду, и вроде такой вывод как правило и есть цисковских софтроутерах, не скажу за все но по крайней мере на 3845 было также, это может понадобиться например для того что бы можно было логгировать в сислог все когда либо открытые трансляции, а вот в ASA можно смотреть информацию только об общей трансляции адрес в адрес. Это не значит что нат как то отличается, есть разница в командах и соответствнно выводе этих команд. Физической сути проблемы в вашем случае что то не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.