Jump to content
Калькуляторы

проблеммы с asr1001

Доброго времени суток коллеги.

Сталкнулся с такой траблой. Мы небольшой пров. около 2к юзверей. перешли с 7201 на ASR 1001, и началось.

начались жалобы от абонентов безлимитных тарифов на тормоза при серфинге, при этом еще один интересный момент с торрент трекоров скорость соответствует заявленной. тормозит именно хттп.

народ начал советовать сменить IOS

первоначально стоял asr1000rp1-advipservices.02.03.02.122-33.XNC2.bin

далее был сменен на asr1000rp1-adventerprise.02.06.02.122-33.XNF2.bin

 

незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо

Share this post


Link to post
Share on other sites
незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо

Конфиги, очевидно, надо смотреть первым делом

Share this post


Link to post
Share on other sites

вот часть конфига железки

 

 

!

policy-map unlimit
class class-default
   police cir 6100000 bc 980000 be 1500000
    conform-action transmit
    exceed-action drop
    violate-action drop
policy-map 800k
class class-default
   police cir 810000 bc 500000 be 650000
    conform-action transmit
    exceed-action drop
    violate-action drop
policy-map 1000k
class class-default
   police cir 1000000 bc 500000 be 650000
    conform-action transmit
    exceed-action drop
    violate-action drop

!
bba-group pppoe PPPoE-common
virtual-template 2
sessions per-mac limit 3
sessions per-vlan limit 700
!
!
interface Loopback0
ip address 192.168.130.1 255.255.255.255
!
interface Loopback1
ip address 192.168.133.1 255.255.255.255
!
interface Loopback3
ip address 192.168.200.1 255.255.255.255

!
interface GigabitEthernet0/0/0.131
description PPPoE_Unlim_Site2(ADSL)
encapsulation dot1Q 131
no ip redirects
no ip unreachables
no ip proxy-arp
pppoe enable group PPPoE-common
no cdp enable
!
i
interface GigabitEthernet0/0/0.135
description PPPoE_Site-Semender
encapsulation dot1Q 135
no ip redirects
no ip unreachables
no ip proxy-arp
pppoe enable group PPPoE-common
no cdp enable
!

interface GigabitEthernet0/0/1
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.181
description Uplink-to-PE2
encapsulation dot1Q 181
ip address 192.168.181.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
  ip ospf authentication message-digest
ip ospf message-digest-key 160 md5 <removed>
no cdp enable


interface Virtual-Template2
description For_PPPoE_subscribers
ip unnumbered Loopback1
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
ip flow egress
no ip virtual-reassembly
ppp authentication pap callin
ppp ipcp dns x.x.x.x 8.8.4.4
!
!

!
router ospf 160
router-id 192.168.181.2
log-adjacency-changes
area 0 authentication message-digest
area 0 range 192.168.129.0 255.255.255.248
redistribute connected subnets route-map office_vpn
redistribute static route-map nat_unlim
network 192.168.181.0 0.0.0.255 area 0
!
ip nat translation timeout 18000
ip nat translation max-entries all-host 6000
ip nat pool VPN_Subscr_AS-ip1 x.x.x.x y.y.y.y  netmask 255.255.255.192
i

ip nat inside source list nat-VPN_subscr.-1 pool VPN_Subscr_AS-ip1 overload
i
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.181.1
i
ip route x.x.x.x 255.255.255.255 Null0


!

Edited by kilam

Share this post


Link to post
Share on other sites

Попробуйте убрать из описания ip nat inside source ключик overload и расширить pool VPN_Subscr_AS-ip1.

 

Share this post


Link to post
Share on other sites

А какая лицензия нужна для ASR1001 для поддержки ISG для L3?

Edited by shaytan

Share this post


Link to post
Share on other sites

попробуйте таймауты пожесче поставить

 

ip nat translation timeout 1200

ip nat translation tcp-timeout 1200

ip nat translation udp-timeout 60

ip nat translation max-entries all-host 1000

 

 

overload возможно не просто так - может белых адресов не хватает

можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип

 

Share this post


Link to post
Share on other sites
попробуйте таймауты пожесче поставить

 

ip nat translation timeout 1200

ip nat translation tcp-timeout 1200

ip nat translation udp-timeout 60

ip nat translation max-entries all-host 1000

 

 

overload возможно не просто так - может белых адресов не хватает

можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип

Спасибо все так и было. + зарубил злобныйм червям лезть на порты 445 135 и прочие

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this