Перейти к содержимому
Калькуляторы

Стоит ли на ASR1002 разворачивать NAT

Cisco на IOS XE 03.06.02.S таки допилила CG NAT для ASR1K, на стенде вроде даже все нормально работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco на IOS XE 03.06.02.S таки допилила CG NAT для ASR1K, на стенде вроде даже все нормально работает.

Насколько долго?

3.1.2S могла упасть один раз в два месяца

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Overload NAT выпрямлен только в IOS XE 3.6.2, вышедшей в августе.

До этого PAT на ASR1K корректно не работал в принципе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Overload NAT выпрямлен только в IOS XE 3.6.2, вышедшей в августе.

До этого PAT на ASR1K корректно не работал в принципе.

Это хорошо конечно, но не исключает моего замечания. Было бы неплохо подождать стабильного аптайма в несколько месяцев.

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Overload NAT выпрямлен только в IOS XE 3.6.2, вышедшей в августе.

До этого PAT на ASR1K корректно не работал в принципе.

Это хорошо конечно, но не исключает моего замечания. Было бы неплохо подождать стабильного аптайма в несколько месяцев.

 

А как в случае с Overload балансируются внешние ипы на внутренние ? У меня получается что пару тысяч физиков могут пронатиться всего на 20 внешних ипов, что не сильно комильфо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перешел с IOS 3.21 на 3.7.2

C Натом стал RP проц грузиться под 100 процентов и циска начала падать. Вернулся на старый иос

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перешел с IOS 3.21 на 3.7.2

C Натом стал RP проц грузиться под 100 процентов и циска начала падать. Вернулся на старый иос

Странно...

ASR1004

IOS XE Version: 03.07.02.S

Total number of translations: 577359

 

CPU Utilization

Slot CPU User System Nice Idle IRQ SIRQ IOwait

RP0 0 3.40 2.70 0.00 93.89 0.00 0.00 0.00

1 5.10 9.00 0.00 85.90 0.00 0.00 0.00

 

НАТится примерно 16К хомячков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перешел с IOS 3.21 на 3.7.2

C Натом стал RP проц грузиться под 100 процентов и циска начала падать. Вернулся на старый иос

Странно...

ASR1004

IOS XE Version: 03.07.02.S

Total number of translations: 577359

 

CPU Utilization

Slot CPU User System Nice Idle IRQ SIRQ IOwait

RP0 0 3.40 2.70 0.00 93.89 0.00 0.00 0.00

1 5.10 9.00 0.00 85.90 0.00 0.00 0.00

 

НАТится примерно 16К хомячков.

 

 

 

а какой проц стоит RP1 или RP2 ?

включен или нет netflow ?

 

и какой тип NAT ?

 

ip nat settings mode cgn или обычный?

 

overload или rotary ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а какой проц стоит RP1 или RP2 ?

включен или нет netflow ?

 

и какой тип NAT ?

 

ip nat settings mode cgn или обычный?

 

overload или rotary ?

 

1. RP2

2. выключен

3. PAT

4. CGN

5. overload

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а GRE через этот нат нормально работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, да. По поводу GRE и прочих FTP. Где-то в документации мне попадалось, что CGN не подразумевает реализацию (или ещё не реализовано) ната для протоколов требующих Application-level gateway и cisco двагала другую мега идею. Кто-нибудь может проверить как через CGN оно работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, да. По поводу GRE и прочих FTP. Где-то в документации мне попадалось, что CGN не подразумевает реализацию (или ещё не реализовано) ната для протоколов требующих Application-level gateway и cisco двагала другую мега идею. Кто-нибудь может проверить как через CGN оно работает?

 

да похоже что не работает. Когда я его включал, прилетели сразу звонки от физиков, что не могут поднять туннели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Позвольте поинтересоваться что говорит тех.поддержка Cisco по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

имхо до 2 пришествия ждать этой ТП можно, быстрее PI получить в нужном колличесве

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Позвольте поинтересоваться что говорит тех.поддержка Cisco по этому поводу?

А техподдержка как обычно грамотно мажется

я им -вот грю на таком иосе с таким-то натом циска падает - они - типа вот есть таокй вот NAT ( CGN), используйте его. Я им говорю - дак с ним тоже циска падает, а они - дак вот у вас тут еще нетфлов, косы, IP nbar - грузите циску ерундой - выключайте давайте.

Я им грю - дак на предыдущ иосе - вроде все работало, почти не падала. Они мне- дак мы не видели виших нагрузок и конфигов раньше, да и профиль трафика мог поменяться.

В общем хрен докажешь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну фиг его знает.

 

ASR1004, RP2, ESP40. VRF, BGP (2xFV), route reflector на /32 между брасами. Для части юзверей - NAT (PAT). Нескольо inside/outside интерфейсов. VASI (в т.ч. с NAT) между VRF. Netflow.

Сейчас гоняет несколько гигасов трафика, аптайм на данном иосе уже почти год.

 

Cisco IOS Software, IOS-XE Software (X86_64_LINUX_IOSD-ADVIPSERVICES-M), Version 15.1(3)S, RELEASE SOFTWARE (fc1)
/host/ uptime is 43 weeks, 3 days, 4 hours, 47 minutes.

/host/#sh ip nat translations total
Total number of translations: 106237

 

NAT примерно следующий:

ip nat translation max-entries 2147483647
ip nat translation max-entries all-host 4096
ip nat pool /Pool/ /ip/ /ip/ prefix-length 22
ip nat inside source list /List/ pool /Pool/ vrf /VRF/ overload

 

Мб конечно трансляций ещё маловато, но на стабильность пока нареканий нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже не понимаю критикующих, у меня на 2.6.2 все стабильно, загрузка qfp в пиках при 4 Гбитах in+out 12% ESP20, 1% RP.

Плюс qos, ip nbar, netflow+несколько мапов вроде снимающих флаг DF, etc.

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишут что не стоит ISG+NAT, это так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишут что не стоит ISG+NAT, это так?

Нормально стоит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишут что не стоит ISG+NAT, это так?

Нормально стоит

условия у всех разные и используемые фичи

show ip nat translations total

Total number of translations: 752396

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

условия у всех разные и используемые фичи

show ip nat translations total

Total number of translations: 752396

Вопрос про работу - работает

У меня ISG+NAT 1 в 1

Изменено пользователем denis_vid

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишут что не стоит ISG+NAT, это так?

В разных VRF'ах нормально работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишут что не стоит ISG+NAT, это так?

В разных VRF'ах нормально работает.

Раньше было много проблем со стабильностью софта. Официальный ответ циски, что ISG+NAT не тестируемая конфигурация, а значит не поддерживаемая.

Решение от циски типа нат на одном асре, isg на другом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишут что не стоит ISG+NAT, это так?

В разных VRF'ах нормально работает.

Раньше было много проблем со стабильностью софта. Официальный ответ циски, что ISG+NAT не тестируемая конфигурация, а значит не поддерживаемая.

Решение от циски типа нат на одном асре, isg на другом.

Без VRF работает вместе

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишут что не стоит ISG+NAT, это так?

В разных VRF'ах нормально работает.

 

Случайно не VASI использовали? расскажите как сделали ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.