[Merridius]

Добрый вечер всем. Подскажите кто в курсе, как там сейчас дела с Nat overload на ASR, на новых прошивках?

[littlevik]

В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling).

bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out.

Symptom:

When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped.

Conditions:

ASR running NAT PAP

Workaround:

none

 

Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно.

Если пофиксят, то можно будет сказать, что работает нормально.

 

Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает.

[alks]

емнип CGN-NAT на ASR работает только для ppoe, никто не в курсе планов циски насчет реализации для ipoe?

[Alex/AT]

Не совсем понимаю - а что все так пристали к CGNAT? В нём глюки всегда были, есть, и, похоже, ещё долго будут.

Если не считать увеличения ёмкости по трансляциям при использовании CGNAT вдвое - "обычный" NAT вполне нормально работает.

[littlevik]

"обычный" NAT вполне нормально работает

Без overload - да, работает.

С overload только делает вид, что работает.

[Merridius]

Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле?

[vurd]

Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле?

 

А как без paired address может нормально работать пул на несколько адресов. На каждый новый коннект рандомный адрес из пула?

[shaytan]

В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling).

bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out.

Symptom:

When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped.

Conditions:

ASR running NAT PAP

Workaround:

none

 

Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно.

Если пофиксят, то можно будет сказать, что работает нормально.

 

Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает.

 

Данный баг имеет статус Fixed.

[littlevik]

Данный баг имеет статус Fixed

Ну да, fixed - дата 4 октября.

Официальный ответ Cisco TAC: "The bug will be fixed in 3.10.1 release. The release date for the IOS is 31st Oct".

Пока доступен только 3.10.0.

[shaytan]

Ну да ведь релизы выпускают раз в 3 месяца.

Изменено 14 октября, 2013 пользователем shaytan

[shaytan]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

[myst]

Не понимаю, вот честно. Даже у нас, обычной конторы (пусть и самой крупной в своем роде в россии) хватило денег купить /20... Зачем НАТ то?

Изменено 30 октября, 2013 пользователем myst

[denis_vid]

Потому что не всех устраивает L2 до браса, и не всем нравится голый зад абонента, то бишь его белый айпи наружу. Мы в числе тех кого не устраивает, да и нет у нас /20.

Холиварить на эту тему можно до усеру абсолютно без результата.

 

По сабжу интересует кто юзал с ISG, 1 в 1 работает, но overload видимо будет нужен, т.к. темпы роста ipv6 очень унылые

[shaytan]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

 

http://www.cisco.com/en/US/docs/routers/asr1000/release/notes/asr1k_rn_rel_notes.pdf

Рекомендуемый rom-mon к IOS XE 3.10.x для:

ASR1000-RP2: 15.2(1r)S

ASR1000-ESP20: 15.3(3r)S

ASR1000-SIP10: 15.3(3r)S1

Изменено 31 октября, 2013 пользователем shaytan

[littlevik]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

[dazgluk]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

[littlevik]

Работает ли в связке с ISG на одной коробке?

Не знаю, у нас BRAS на MX80, ASR только для NAT.

[psa79]

поделитесь 3.10.1 для rp1 и rp2 пожалуйста

[Дегтярев Илья]

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом.

[denis_vid]

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом.

Я не в РФ, не в курсе нюансов, а СОРМ netflow с интерфейса в локальную сеть недостаточно?

[dazgluk]

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом.

Думаю просто будем сливать до BRAS, чтож делать то :)

[shaytan]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

[evg_b]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

 

 

 

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

[evg_b]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

 

 

 

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

 

откатился на 10.1 Все заработало.

[shaytan]

Вышел 3.10.1. Кто уже опробовал NAT с PAP?

Протестили - работает нормально, баг с PAP исправлен.

Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP).

Работает ли в связке с ISG на одной коробке?

У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет

НАТ делаем на x86, может уже можно переносить на ASR?

 

У нас работает ISG + NAT(pap) + netflow.

 

 

 

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

 

откатился на 10.1 Все заработало.

 

А мы на 3.10.0 (классический nat) имеем проблему с работой nat passive ftp, но при этом nat active ftp работает корректно.

Настройка nat:

 

ip nat settings pap

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation pptp-timeout 1800

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation port-timeout tcp 1600 10

ip nat translation port-timeout tcp 8080 10

ip nat translation port-timeout tcp 110 60

ip nat translation port-timeout tcp 25 60

ip nat translation port-timeout tcp 80 15

ip nat pool Pool-1 176.x.x.0 176.x.x.255 prefix-length 24

ip nat inside source list NAT-USERS pool Pool-1 overload