kilam Posted December 7, 2010 · Report post Доброго времени суток коллеги. Сталкнулся с такой траблой. Мы небольшой пров. около 2к юзверей. перешли с 7201 на ASR 1001, и началось. начались жалобы от абонентов безлимитных тарифов на тормоза при серфинге, при этом еще один интересный момент с торрент трекоров скорость соответствует заявленной. тормозит именно хттп. народ начал советовать сменить IOS первоначально стоял asr1000rp1-advipservices.02.03.02.122-33.XNC2.bin далее был сменен на asr1000rp1-adventerprise.02.06.02.122-33.XNF2.bin незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SkyCaster Posted December 7, 2010 · Report post незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо Конфиги, очевидно, надо смотреть первым делом Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kilam Posted December 8, 2010 (edited) · Report post вот часть конфига железки ! policy-map unlimit class class-default police cir 6100000 bc 980000 be 1500000 conform-action transmit exceed-action drop violate-action drop policy-map 800k class class-default police cir 810000 bc 500000 be 650000 conform-action transmit exceed-action drop violate-action drop policy-map 1000k class class-default police cir 1000000 bc 500000 be 650000 conform-action transmit exceed-action drop violate-action drop ! bba-group pppoe PPPoE-common virtual-template 2 sessions per-mac limit 3 sessions per-vlan limit 700 ! ! interface Loopback0 ip address 192.168.130.1 255.255.255.255 ! interface Loopback1 ip address 192.168.133.1 255.255.255.255 ! interface Loopback3 ip address 192.168.200.1 255.255.255.255 ! interface GigabitEthernet0/0/0.131 description PPPoE_Unlim_Site2(ADSL) encapsulation dot1Q 131 no ip redirects no ip unreachables no ip proxy-arp pppoe enable group PPPoE-common no cdp enable ! i interface GigabitEthernet0/0/0.135 description PPPoE_Site-Semender encapsulation dot1Q 135 no ip redirects no ip unreachables no ip proxy-arp pppoe enable group PPPoE-common no cdp enable ! interface GigabitEthernet0/0/1 no ip address negotiation auto ! interface GigabitEthernet0/0/1.181 description Uplink-to-PE2 encapsulation dot1Q 181 ip address 192.168.181.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly ip ospf authentication message-digest ip ospf message-digest-key 160 md5 <removed> no cdp enable interface Virtual-Template2 description For_PPPoE_subscribers ip unnumbered Loopback1 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip flow ingress ip flow egress no ip virtual-reassembly ppp authentication pap callin ppp ipcp dns x.x.x.x 8.8.4.4 ! ! ! router ospf 160 router-id 192.168.181.2 log-adjacency-changes area 0 authentication message-digest area 0 range 192.168.129.0 255.255.255.248 redistribute connected subnets route-map office_vpn redistribute static route-map nat_unlim network 192.168.181.0 0.0.0.255 area 0 ! ip nat translation timeout 18000 ip nat translation max-entries all-host 6000 ip nat pool VPN_Subscr_AS-ip1 x.x.x.x y.y.y.y netmask 255.255.255.192 i ip nat inside source list nat-VPN_subscr.-1 pool VPN_Subscr_AS-ip1 overload i ip classless ip route 0.0.0.0 0.0.0.0 192.168.181.1 i ip route x.x.x.x 255.255.255.255 Null0 ! Edited December 8, 2010 by kilam Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dead_moroz Posted December 8, 2010 · Report post Попробуйте убрать из описания ip nat inside source ключик overload и расширить pool VPN_Subscr_AS-ip1. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaytan Posted December 10, 2010 (edited) · Report post А какая лицензия нужна для ASR1001 для поддержки ISG для L3? Edited December 10, 2010 by shaytan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SkyCaster Posted December 11, 2010 · Report post попробуйте таймауты пожесче поставить ip nat translation timeout 1200 ip nat translation tcp-timeout 1200 ip nat translation udp-timeout 60 ip nat translation max-entries all-host 1000 overload возможно не просто так - может белых адресов не хватает можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kilam Posted December 20, 2010 · Report post попробуйте таймауты пожесче поставить ip nat translation timeout 1200 ip nat translation tcp-timeout 1200 ip nat translation udp-timeout 60 ip nat translation max-entries all-host 1000 overload возможно не просто так - может белых адресов не хватает можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип Спасибо все так и было. + зарубил злобныйм червям лезть на порты 445 135 и прочие Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
