Дегтярев Илья Опубликовано 29 октября, 2010 (изменено) · Жалоба Перенесли нат на ASR. Без overload, но появляются отдельные трансляции. show ip nat translations | i 10.5.78.53 --- 3.5.4.166 10.5.78.53 --- --- tcp 3.5.4.166:42847 10.5.78.53:42847 195.19.50.70:52493 195.19.50.70:52493 udp 3.5.4.166:6881 10.5.78.53:6881 62.212.47.5:25760 62.212.47.5:25760 tcp 3.5.4.166:46302 10.5.78.53:46302 195.144.14.196:52160 195.144.14.196:5210 udp 3.5.4.166:6881 10.5.78.53:6881 62.152.6.129:36263 62.152.6.129:36263 tcp 3.5.4.166:47017 10.5.78.53:47017 212.232.66.16:12851 212.232.66.16:12851 udp 3.5.4.166:6881 10.5.78.53:6881 84.228.224.195:19834 84.228.224.195:1984 tcp 3.5.4.166:55599 10.5.78.53:55599 195.19.50.70:52491 195.19.50.70:52491 udp 3.5.4.166:6881 10.5.78.53:6881 178.130.18.131:35691 178.130.18.131:3561 udp 3.5.4.166:6881 10.5.78.53:6881 91.203.197.163:34028 91.203.197.163:3408 udp 3.5.4.166:6881 10.5.78.53:6881 202.179.16.191:31498 202.179.16.191:3148 tcp 3.5.4.166:47502 10.5.78.53:47502 213.79.8.117:6881 213.79.8.117:6881 tcp 3.5.4.166:60136 10.5.78.53:60136 77.232.143.210:6886 77.232.143.210:6886 tcp 3.5.4.166:57116 10.5.78.53:57116 212.232.66.192:29707 212.232.66.192:2977 Ввожу: asr1006-2(config)#no ip nat create flow-entries %NAT: Disabling of flow creation is not allowed Конфиг: ip nat pool nat-pool-c 3.5.3.1 3.5.5.254 prefix-length 22 ip nat inside source list nat-net-c pool nat-pool-c vrf edge-nat ! ip route vrf edge-nat 0.0.0.0 0.0.0.0 81.81.81.17 permanent ip route vrf edge-nat 10.5.0.0 255.255.0.0 81.81.81.9 permanent ! ip access-list extended nat-net-c permit ip 10.5.64.0 0.0.63.255 any Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек. Изменено 29 октября, 2010 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 29 октября, 2010 (изменено) · Жалоба Я у себя поставил относительно короткие таймауты ибо на ASR нат в целом странно иногда работает. Изменено 29 октября, 2010 пользователем XeonVs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikhalich Опубликовано 29 октября, 2010 · Жалоба А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 30 октября, 2010 · Жалоба А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5На ESP10 не пробовал, оставил нат 1:1, работает стабильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 30 октября, 2010 · Жалоба А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5На ESP10 не пробовал, оставил нат 1:1, работает стабильно. Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 30 октября, 2010 · Жалоба А в чем заключается странность? И как лучше использовать НАТ с оверлоад или без?Например в выше описанном, ip могут вообще выдаваться на каждый коннект разные. Это все правда наблюдалось на ESP5На ESP10 не пробовал, оставил нат 1:1, работает стабильно. Всмысле ip разные? Как PAT наоборот? Или адрес из пула не свободный по порядку а произвольно? Такое у меня наблюдалось на 3845, но там нат с ее слабым cpu больше для галочки Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 30 октября, 2010 · Жалоба Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 30 октября, 2010 · Жалоба Первый свободный, но т.к. народу много получается выдается случайный адрес, тому кто успел, следующий коннект все повторяется. При этом не реагировало на команды привязки к src клиента.Так может это из за коротких таймаутов? Если адресов в достатке может попробовать их увеличить? Не было тогда столько свободных адресов, а таймауты не крутились вообще. А теперь это и не нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 30 октября, 2010 · Жалоба Перенесли нат на ASR. Без overload, но появляются отдельные трансляции.Какие есть предложения, кроме выкручивания таймаутов по сессиям в 1 сек. А что не так с этими трансляциями? Классический динамик нат 1 в 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 30 октября, 2010 · Жалоба А что не так с этими трансляциями? Классический динамик нат 1 в 1то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии. И неизвестно, какие ресурсы они используют реально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 31 октября, 2010 · Жалоба то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии.очень долго в свое время боролись с этой проблемой у себя, в итоге просто отказались от ната. как вариант разве что доверить задачу ната хорошему писюку (если нужен большой поток - то с 10g картами на борту). кроме как таймауты понижать - ничего больше в голову не приходило, однако сильно занижая таймауты, можно обрушить на себя приличный гнев со стороны абонентов, которые очень скоро почувствуют дискомфорт (частые дисконнекты в играх например) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 31 октября, 2010 · Жалоба В том то и дело, что даже если убить трасляцию для порта, остается трансляция для всего ip и пакеты в обе стороны продолжают нормально бегать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 1 ноября, 2010 · Жалоба А что не так с этими трансляциями? Классический динамик нат 1 в 1то, что кроме общей трансляции ip->ip сохраняются абсолютно ненужная информация о каждой tcp/udp/etc сессии. И неизвестно, какие ресурсы они используют реально. Насколько я понимаю это просто подробный вывод открытых трансляций по инклюду, и вроде такой вывод как правило и есть цисковских софтроутерах, не скажу за все но по крайней мере на 3845 было также, это может понадобиться например для того что бы можно было логгировать в сислог все когда либо открытые трансляции, а вот в ASA можно смотреть информацию только об общей трансляции адрес в адрес. Это не значит что нат как то отличается, есть разница в командах и соответствнно выводе этих команд. Физической сути проблемы в вашем случае что то не вижу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...