kilam Опубликовано 7 декабря, 2010 Доброго времени суток коллеги. Сталкнулся с такой траблой. Мы небольшой пров. около 2к юзверей. перешли с 7201 на ASR 1001, и началось. начались жалобы от абонентов безлимитных тарифов на тормоза при серфинге, при этом еще один интересный момент с торрент трекоров скорость соответствует заявленной. тормозит именно хттп. народ начал советовать сменить IOS первоначально стоял asr1000rp1-advipservices.02.03.02.122-33.XNC2.bin далее был сменен на asr1000rp1-adventerprise.02.06.02.122-33.XNF2.bin незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SkyCaster Опубликовано 7 декабря, 2010 незнаю куда копать дальше. очень надеюсь на вашу помощь. заранее спасибо Конфиги, очевидно, надо смотреть первым делом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kilam Опубликовано 8 декабря, 2010 (изменено) вот часть конфига железки ! policy-map unlimit class class-default police cir 6100000 bc 980000 be 1500000 conform-action transmit exceed-action drop violate-action drop policy-map 800k class class-default police cir 810000 bc 500000 be 650000 conform-action transmit exceed-action drop violate-action drop policy-map 1000k class class-default police cir 1000000 bc 500000 be 650000 conform-action transmit exceed-action drop violate-action drop ! bba-group pppoe PPPoE-common virtual-template 2 sessions per-mac limit 3 sessions per-vlan limit 700 ! ! interface Loopback0 ip address 192.168.130.1 255.255.255.255 ! interface Loopback1 ip address 192.168.133.1 255.255.255.255 ! interface Loopback3 ip address 192.168.200.1 255.255.255.255 ! interface GigabitEthernet0/0/0.131 description PPPoE_Unlim_Site2(ADSL) encapsulation dot1Q 131 no ip redirects no ip unreachables no ip proxy-arp pppoe enable group PPPoE-common no cdp enable ! i interface GigabitEthernet0/0/0.135 description PPPoE_Site-Semender encapsulation dot1Q 135 no ip redirects no ip unreachables no ip proxy-arp pppoe enable group PPPoE-common no cdp enable ! interface GigabitEthernet0/0/1 no ip address negotiation auto ! interface GigabitEthernet0/0/1.181 description Uplink-to-PE2 encapsulation dot1Q 181 ip address 192.168.181.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly ip ospf authentication message-digest ip ospf message-digest-key 160 md5 <removed> no cdp enable interface Virtual-Template2 description For_PPPoE_subscribers ip unnumbered Loopback1 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip flow ingress ip flow egress no ip virtual-reassembly ppp authentication pap callin ppp ipcp dns x.x.x.x 8.8.4.4 ! ! ! router ospf 160 router-id 192.168.181.2 log-adjacency-changes area 0 authentication message-digest area 0 range 192.168.129.0 255.255.255.248 redistribute connected subnets route-map office_vpn redistribute static route-map nat_unlim network 192.168.181.0 0.0.0.255 area 0 ! ip nat translation timeout 18000 ip nat translation max-entries all-host 6000 ip nat pool VPN_Subscr_AS-ip1 x.x.x.x y.y.y.y netmask 255.255.255.192 i ip nat inside source list nat-VPN_subscr.-1 pool VPN_Subscr_AS-ip1 overload i ip classless ip route 0.0.0.0 0.0.0.0 192.168.181.1 i ip route x.x.x.x 255.255.255.255 Null0 ! Изменено 8 декабря, 2010 пользователем kilam Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dead_moroz Опубликовано 8 декабря, 2010 Попробуйте убрать из описания ip nat inside source ключик overload и расширить pool VPN_Subscr_AS-ip1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 10 декабря, 2010 (изменено) А какая лицензия нужна для ASR1001 для поддержки ISG для L3? Изменено 10 декабря, 2010 пользователем shaytan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SkyCaster Опубликовано 11 декабря, 2010 попробуйте таймауты пожесче поставить ip nat translation timeout 1200 ip nat translation tcp-timeout 1200 ip nat translation udp-timeout 60 ip nat translation max-entries all-host 1000 overload возможно не просто так - может белых адресов не хватает можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kilam Опубликовано 20 декабря, 2010 попробуйте таймауты пожесче поставить ip nat translation timeout 1200 ip nat translation tcp-timeout 1200 ip nat translation udp-timeout 60 ip nat translation max-entries all-host 1000 overload возможно не просто так - может белых адресов не хватает можно еще попробовать сделать несколько nat-пулов состоящих из одного адреса, разбить сетку серых ип на подсети и подсеть натить одним белым ип Спасибо все так и было. + зарубил злобныйм червям лезть на порты 445 135 и прочие Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...