Перейти к содержимому
Калькуляторы

ASR1k: ISG + [ NAT | Netflow ] => ESP crash говорят вот так...

Есть информация что

 

I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now

------------------------------------------------

I can confirm that Netflow on BB sessions is not supported.

 

Additionally, NAT on BB sessions is not supported.

 

This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion

 

Кто-нибудь использует такое сочетание?

Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть информация что

 

I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now

------------------------------------------------

I can confirm that Netflow on BB sessions is not supported.

 

Additionally, NAT on BB sessions is not supported.

 

This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion

 

Кто-нибудь использует такое сочетание?

Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR?

Подтверждаю, asr1002 (asr1000rp1-advipservicesk9.02.06.02.122-33.XNF2.bin), было NAT, Netflow и было все хорошо, начали переводить на ISG, периодически крешится (5-20 минут ребутов, потом оживает). IOS с исправление обещают после 25 марта 2011. Мы пока нат убрали, у нас его оставалось копейки. До выноса НАТа всплыл еще один баг, креш из-за слишком фрагментированного пакета :) рекомендуют ip virtual-reassembly убрать с интерфейсов на которых nat inside.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9.

 

Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню.

Изменено пользователем YaroslavR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9.

 

Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню.

У меня, наверное, не правильный asr1002. Netflow v5 пишет, и мои скриптики их (эти фловы) успешно анализируют на предмет аномалий...

 

ЗЫ. К чему я. Давайте не будем говорить за всех.

Изменено пользователем Konstantin Klimchev

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А при наличии ISG L4 редирект является NATом?

 

стоял у нас один, трафик ~200 адресов пропускал через ISG и сразу натил, без overload (остальным сразу реальные давались), ничего не упало за 3 месяца.

 

Сейчас нат убрали, но L4 редирект вешается многим по статистике.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть информация что

 

I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now

------------------------------------------------

I can confirm that Netflow on BB sessions is not supported.

 

Additionally, NAT on BB sessions is not supported.

 

This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion

 

Кто-нибудь использует такое сочетание?

Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR?

Подтверждаю, asr1002 (asr1000rp1-advipservicesk9.02.06.02.122-33.XNF2.bin), было NAT, Netflow и было все хорошо, начали переводить на ISG, периодически крешится (5-20 минут ребутов, потом оживает). IOS с исправление обещают после 25 марта 2011. Мы пока нат убрали, у нас его оставалось копейки. До выноса НАТа всплыл еще один баг, креш из-за слишком фрагментированного пакета :) рекомендуют ip virtual-reassembly убрать с интерфейсов на которых nat inside.

A netflow с ISG пока осталось? Живет?

У нас полгода нормально жило ISG с nat и netflow с неслабой такой загрузкой - потом крошится начало - причем жестоко, по часу могло ребутится :(

 

 

А при наличии ISG L4 редирект является NATом?

 

стоял у нас один, трафик ~200 адресов пропускал через ISG и сразу натил, без overload (остальным сразу реальные давались), ничего не упало за 3 месяца.

 

Сейчас нат убрали, но L4 редирект вешается многим по статистике.

Вообще по сути это конечно нат, но там речь идет про http трафик и скорее всего вот те злосчастные "пакеты смерти" (да-да, именно так :( ) - их у вас не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9.

 

Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню.

У меня, наверное, не правильный asr1002. Netflow v5 пишет, и мои скриптики их (эти фловы) успешно анализируют на предмет аномалий...

 

ЗЫ. К чему я. Давайте не будем говорить за всех.

Я не утверждаю что Netflow v5 не работает ни при каких обстоятельствах. Я утверждаю что при определенных обстоятельствах Netflow v5 вызывает краши и рекомендация вендора - не использовать Netflow v5. Общение с разработчиками ASR1000 подтвердило что поддержку Netflow v5 они отбросили несколько релизов назад - т.е. они не тестируют работоспособность и стабильность Netflow v5.

 

Настоятельно рекомендуется использовать именно v9 чтобы избежать неприятного сюрприза в какой-нибудь момент.

 

Коллегам, испытывающим проблемы со стабильностью ASR1000 при включенном Netflow, настоятельно рекомендуется попробовать переключиться на v9. Это может помочь.

Изменено пользователем YaroslavR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

год 2014, мы на гране войны ... текущая прошивка asr1000rp1-adventerprise.03.11.00.S.154-1.S-std.bin

 

текущие настройки (на основании статьи Cisco ASR 1000 NetFlow configuration)

 

asr-1002#show running-config flow exporter
Current configuration:
!
flow exporter NETFLOW-LB
destination x.x.0.51 vrf Mgmt-intf
source GigabitEthernet0
transport udp 16016
export-protocol netflow-v5
!
asr-1002#show running-config flow monitor
Current configuration:
!
flow monitor NETFLOW-MONITOR
exporter NETFLOW-LB
cache timeout active 60
record netflow-original
!

 

но netflow на биллинг не сыпет, в чем может быть причина ? (в логах тишина)

 

asr-1002#show flow exporter NETFLOW-LB statistics
Flow Exporter NETFLOW-LB:
 Packet send statistics (last cleared 09:08:34 ago):
   Successfully sent:         0                     (0 bytes)
   Reason not given:          11261346              (15440811168 bytes)

 Client send statistics:
   Client: Flow Monitor NETFLOW-MONITOR
     Records added:           321683566
       - failed to send:      321683566
     Bytes added:             2555909280
       - failed to send:      2555909280

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

destination x.x.0.51 vrf Mgmt-intf

source GigabitEthernet0

 

нельзя так делать. нужно лить с порта который обслуживается ESP, а РП.

 

"Netflow collection and export happens directly on the ESP and does not require the RP to function. The ESP has no way to interact with the Gig0 interface directly since the management interface is part of the RP."

Изменено пользователем zhenya`

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

zhenya`

 

да действительно помогло, спасибо большое

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.