Jump to content
Калькуляторы

ASR1k: ISG + [ NAT | Netflow ] => ESP crash говорят вот так...

Есть информация что

 

I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now

------------------------------------------------

I can confirm that Netflow on BB sessions is not supported.

 

Additionally, NAT on BB sessions is not supported.

 

This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion

 

Кто-нибудь использует такое сочетание?

Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR?

Share this post


Link to post
Share on other sites
Есть информация что

 

I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now

------------------------------------------------

I can confirm that Netflow on BB sessions is not supported.

 

Additionally, NAT on BB sessions is not supported.

 

This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion

 

Кто-нибудь использует такое сочетание?

Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR?

Подтверждаю, asr1002 (asr1000rp1-advipservicesk9.02.06.02.122-33.XNF2.bin), было NAT, Netflow и было все хорошо, начали переводить на ISG, периодически крешится (5-20 минут ребутов, потом оживает). IOS с исправление обещают после 25 марта 2011. Мы пока нат убрали, у нас его оставалось копейки. До выноса НАТа всплыл еще один баг, креш из-за слишком фрагментированного пакета :) рекомендуют ip virtual-reassembly убрать с интерфейсов на которых nat inside.

Share this post


Link to post
Share on other sites

Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9.

 

Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню.

Edited by YaroslavR

Share this post


Link to post
Share on other sites
Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9.

 

Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню.

У меня, наверное, не правильный asr1002. Netflow v5 пишет, и мои скриптики их (эти фловы) успешно анализируют на предмет аномалий...

 

ЗЫ. К чему я. Давайте не будем говорить за всех.

Edited by Konstantin Klimchev

Share this post


Link to post
Share on other sites

А при наличии ISG L4 редирект является NATом?

 

стоял у нас один, трафик ~200 адресов пропускал через ISG и сразу натил, без overload (остальным сразу реальные давались), ничего не упало за 3 месяца.

 

Сейчас нат убрали, но L4 редирект вешается многим по статистике.

Share this post


Link to post
Share on other sites
Есть информация что

 

I got a confirmation from developers that neither netflow nor NAT are supported with broadband sessions on ASR1k as of now

------------------------------------------------

I can confirm that Netflow on BB sessions is not supported.

 

Additionally, NAT on BB sessions is not supported.

 

This means that even though there is a CLI available to configure both ISG and NAT/netflow on the same interface, this configuration has not been tested and thus is not currently supported. Customer can configure these features only at his own discretion

 

Кто-нибудь использует такое сочетание?

Что делать если используется - ждать новых иосов где будет официально поддерживаться (А будет ли вообще???) , или покупать SCE и выносить сабскрайбер функции с ASR?

Подтверждаю, asr1002 (asr1000rp1-advipservicesk9.02.06.02.122-33.XNF2.bin), было NAT, Netflow и было все хорошо, начали переводить на ISG, периодически крешится (5-20 минут ребутов, потом оживает). IOS с исправление обещают после 25 марта 2011. Мы пока нат убрали, у нас его оставалось копейки. До выноса НАТа всплыл еще один баг, креш из-за слишком фрагментированного пакета :) рекомендуют ip virtual-reassembly убрать с интерфейсов на которых nat inside.

A netflow с ISG пока осталось? Живет?

У нас полгода нормально жило ISG с nat и netflow с неслабой такой загрузкой - потом крошится начало - причем жестоко, по часу могло ребутится :(

 

 

А при наличии ISG L4 редирект является NATом?

 

стоял у нас один, трафик ~200 адресов пропускал через ISG и сразу натил, без overload (остальным сразу реальные давались), ничего не упало за 3 месяца.

 

Сейчас нат убрали, но L4 редирект вешается многим по статистике.

Вообще по сути это конечно нат, но там речь идет про http трафик и скорее всего вот те злосчастные "пакеты смерти" (да-да, именно так :( ) - их у вас не будет.

Share this post


Link to post
Share on other sites
Частая причина крашей на ASR1000 - попытки настроить на нем Netflow v5. Несмотря на наличие команд, Netflow v5 не поддерживается и поддерживаться не будет. Используйте Netflow v9.

 

Комбинацию NAT + Netflow v9 + BBA самолично настраивал полгода назад и все более-менее работало. К сожалению версию IOS уже не помню.

У меня, наверное, не правильный asr1002. Netflow v5 пишет, и мои скриптики их (эти фловы) успешно анализируют на предмет аномалий...

 

ЗЫ. К чему я. Давайте не будем говорить за всех.

Я не утверждаю что Netflow v5 не работает ни при каких обстоятельствах. Я утверждаю что при определенных обстоятельствах Netflow v5 вызывает краши и рекомендация вендора - не использовать Netflow v5. Общение с разработчиками ASR1000 подтвердило что поддержку Netflow v5 они отбросили несколько релизов назад - т.е. они не тестируют работоспособность и стабильность Netflow v5.

 

Настоятельно рекомендуется использовать именно v9 чтобы избежать неприятного сюрприза в какой-нибудь момент.

 

Коллегам, испытывающим проблемы со стабильностью ASR1000 при включенном Netflow, настоятельно рекомендуется попробовать переключиться на v9. Это может помочь.

Edited by YaroslavR

Share this post


Link to post
Share on other sites

год 2014, мы на гране войны ... текущая прошивка asr1000rp1-adventerprise.03.11.00.S.154-1.S-std.bin

 

текущие настройки (на основании статьи Cisco ASR 1000 NetFlow configuration)

 

asr-1002#show running-config flow exporter
Current configuration:
!
flow exporter NETFLOW-LB
destination x.x.0.51 vrf Mgmt-intf
source GigabitEthernet0
transport udp 16016
export-protocol netflow-v5
!
asr-1002#show running-config flow monitor
Current configuration:
!
flow monitor NETFLOW-MONITOR
exporter NETFLOW-LB
cache timeout active 60
record netflow-original
!

 

но netflow на биллинг не сыпет, в чем может быть причина ? (в логах тишина)

 

asr-1002#show flow exporter NETFLOW-LB statistics
Flow Exporter NETFLOW-LB:
 Packet send statistics (last cleared 09:08:34 ago):
   Successfully sent:         0                     (0 bytes)
   Reason not given:          11261346              (15440811168 bytes)

 Client send statistics:
   Client: Flow Monitor NETFLOW-MONITOR
     Records added:           321683566
       - failed to send:      321683566
     Bytes added:             2555909280
       - failed to send:      2555909280

Share this post


Link to post
Share on other sites

destination x.x.0.51 vrf Mgmt-intf

source GigabitEthernet0

 

нельзя так делать. нужно лить с порта который обслуживается ESP, а РП.

 

"Netflow collection and export happens directly on the ESP and does not require the RP to function. The ESP has no way to interact with the Gig0 interface directly since the management interface is part of the RP."

Edited by zhenya`

Share this post


Link to post
Share on other sites

zhenya`

 

да действительно помогло, спасибо большое

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this