Перейти к содержимому
Калькуляторы

проблеммы с asr1001

Доброго времени суток коллеги.

Сталкнулся с такой траблой. Мы небольшой пров. около 2к юзверей. перешли с 7201 на ASR 1001, и началось.

начались жалобы от абонентов безлимитных тарифов на тормоза при серфинге, при этом еще один интересный момент с торрент трекоров скорость соответствует заявленной. тормозит именно хттп.

народ начал советовать сменить IOS

первоначально стоял asr1000rp1-advipservices.02.03.02.122-33.XNC2.bin

далее был сменен на asr1000rp1-adventerprise.02.06.02.122-33.XNF2.bin

 

незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо

Конфиги, очевидно, надо смотреть первым делом

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот часть конфига железки

 

 

!

policy-map unlimit
class class-default
   police cir 6100000 bc 980000 be 1500000
    conform-action transmit
    exceed-action drop
    violate-action drop
policy-map 800k
class class-default
   police cir 810000 bc 500000 be 650000
    conform-action transmit
    exceed-action drop
    violate-action drop
policy-map 1000k
class class-default
   police cir 1000000 bc 500000 be 650000
    conform-action transmit
    exceed-action drop
    violate-action drop

!
bba-group pppoe PPPoE-common
virtual-template 2
sessions per-mac limit 3
sessions per-vlan limit 700
!
!
interface Loopback0
ip address 192.168.130.1 255.255.255.255
!
interface Loopback1
ip address 192.168.133.1 255.255.255.255
!
interface Loopback3
ip address 192.168.200.1 255.255.255.255

!
interface GigabitEthernet0/0/0.131
description PPPoE_Unlim_Site2(ADSL)
encapsulation dot1Q 131
no ip redirects
no ip unreachables
no ip proxy-arp
pppoe enable group PPPoE-common
no cdp enable
!
i
interface GigabitEthernet0/0/0.135
description PPPoE_Site-Semender
encapsulation dot1Q 135
no ip redirects
no ip unreachables
no ip proxy-arp
pppoe enable group PPPoE-common
no cdp enable
!

interface GigabitEthernet0/0/1
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.181
description Uplink-to-PE2
encapsulation dot1Q 181
ip address 192.168.181.2 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
  ip ospf authentication message-digest
ip ospf message-digest-key 160 md5 <removed>
no cdp enable


interface Virtual-Template2
description For_PPPoE_subscribers
ip unnumbered Loopback1
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
ip flow egress
no ip virtual-reassembly
ppp authentication pap callin
ppp ipcp dns x.x.x.x 8.8.4.4
!
!

!
router ospf 160
router-id 192.168.181.2
log-adjacency-changes
area 0 authentication message-digest
area 0 range 192.168.129.0 255.255.255.248
redistribute connected subnets route-map office_vpn
redistribute static route-map nat_unlim
network 192.168.181.0 0.0.0.255 area 0
!
ip nat translation timeout 18000
ip nat translation max-entries all-host 6000
ip nat pool VPN_Subscr_AS-ip1 x.x.x.x y.y.y.y  netmask 255.255.255.192
i

ip nat inside source list nat-VPN_subscr.-1 pool VPN_Subscr_AS-ip1 overload
i
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.181.1
i
ip route x.x.x.x 255.255.255.255 Null0


!

Изменено пользователем kilam

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте убрать из описания ip nat inside source ключик overload и расширить pool VPN_Subscr_AS-ip1.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А какая лицензия нужна для ASR1001 для поддержки ISG для L3?

Изменено пользователем shaytan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте таймауты пожесче поставить

 

ip nat translation timeout 1200

ip nat translation tcp-timeout 1200

ip nat translation udp-timeout 60

ip nat translation max-entries all-host 1000

 

 

overload возможно не просто так - может белых адресов не хватает

можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

попробуйте таймауты пожесче поставить

 

ip nat translation timeout 1200

ip nat translation tcp-timeout 1200

ip nat translation udp-timeout 60

ip nat translation max-entries all-host 1000

 

 

overload возможно не просто так - может белых адресов не хватает

можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип

Спасибо все так и было. + зарубил злобныйм червям лезть на порты 445 135 и прочие

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.