Merridius Posted October 1, 2013 · Report post Добрый вечер всем. Подскажите кто в курсе, как там сейчас дела с Nat overload на ASR, на новых прошивках? Share this post Link to post Share on other sites
littlevik Posted October 2, 2013 · Report post В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling). bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out. Symptom: When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped. Conditions: ASR running NAT PAP Workaround: none Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно. Если пофиксят, то можно будет сказать, что работает нормально. Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает. Share this post Link to post Share on other sites
alks Posted October 2, 2013 · Report post емнип CGN-NAT на ASR работает только для ppoe, никто не в курсе планов циски насчет реализации для ipoe? Share this post Link to post Share on other sites
Alex/AT Posted October 2, 2013 · Report post Не совсем понимаю - а что все так пристали к CGNAT? В нём глюки всегда были, есть, и, похоже, ещё долго будут. Если не считать увеличения ёмкости по трансляциям при использовании CGNAT вдвое - "обычный" NAT вполне нормально работает. Share this post Link to post Share on other sites
littlevik Posted October 2, 2013 · Report post "обычный" NAT вполне нормально работает Без overload - да, работает. С overload только делает вид, что работает. Share this post Link to post Share on other sites
Merridius Posted October 2, 2013 · Report post Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле? Share this post Link to post Share on other sites
vurd Posted October 2, 2013 · Report post Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле? А как без paired address может нормально работать пул на несколько адресов. На каждый новый коннект рандомный адрес из пула? Share this post Link to post Share on other sites
shaytan Posted October 13, 2013 · Report post В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling). bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out. Symptom: When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped. Conditions: ASR running NAT PAP Workaround: none Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно. Если пофиксят, то можно будет сказать, что работает нормально. Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает. Данный баг имеет статус Fixed. Share this post Link to post Share on other sites
littlevik Posted October 14, 2013 · Report post Данный баг имеет статус Fixed Ну да, fixed - дата 4 октября. Официальный ответ Cisco TAC: "The bug will be fixed in 3.10.1 release. The release date for the IOS is 31st Oct". Пока доступен только 3.10.0. Share this post Link to post Share on other sites
shaytan Posted October 14, 2013 (edited) · Report post Ну да ведь релизы выпускают раз в 3 месяца. Edited October 14, 2013 by shaytan Share this post Link to post Share on other sites
shaytan Posted October 30, 2013 · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? Share this post Link to post Share on other sites
myst Posted October 30, 2013 (edited) · Report post Не понимаю, вот честно. Даже у нас, обычной конторы (пусть и самой крупной в своем роде в россии) хватило денег купить /20... Зачем НАТ то? Edited October 30, 2013 by myst Share this post Link to post Share on other sites
denis_vid Posted October 30, 2013 · Report post Потому что не всех устраивает L2 до браса, и не всем нравится голый зад абонента, то бишь его белый айпи наружу. Мы в числе тех кого не устраивает, да и нет у нас /20. Холиварить на эту тему можно до усеру абсолютно без результата. По сабжу интересует кто юзал с ISG, 1 в 1 работает, но overload видимо будет нужен, т.к. темпы роста ipv6 очень унылые Share this post Link to post Share on other sites
shaytan Posted October 31, 2013 (edited) · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? http://www.cisco.com/en/US/docs/routers/asr1000/release/notes/asr1k_rn_rel_notes.pdf Рекомендуемый rom-mon к IOS XE 3.10.x для: ASR1000-RP2: 15.2(1r)S ASR1000-ESP20: 15.3(3r)S ASR1000-SIP10: 15.3(3r)S1 Edited October 31, 2013 by shaytan Share this post Link to post Share on other sites
littlevik Posted November 15, 2013 · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Share this post Link to post Share on other sites
dazgluk Posted November 15, 2013 · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? Share this post Link to post Share on other sites
littlevik Posted November 15, 2013 · Report post Работает ли в связке с ISG на одной коробке? Не знаю, у нас BRAS на MX80, ASR только для NAT. Share this post Link to post Share on other sites
psa79 Posted January 9, 2014 · Report post поделитесь 3.10.1 для rp1 и rp2 пожалуйста Share this post Link to post Share on other sites
Дегтярев Илья Posted January 9, 2014 · Report post Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом. Share this post Link to post Share on other sites
denis_vid Posted January 9, 2014 · Report post Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом. Я не в РФ, не в курсе нюансов, а СОРМ netflow с интерфейса в локальную сеть недостаточно? Share this post Link to post Share on other sites
dazgluk Posted January 9, 2014 · Report post Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом. Думаю просто будем сливать до BRAS, чтож делать то :) Share this post Link to post Share on other sites
shaytan Posted January 12, 2014 · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. Share this post Link to post Share on other sites
evg_b Posted March 25, 2014 · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? Share this post Link to post Share on other sites
evg_b Posted March 26, 2014 · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? откатился на 10.1 Все заработало. Share this post Link to post Share on other sites
shaytan Posted April 17, 2014 · Report post Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? откатился на 10.1 Все заработало. А мы на 3.10.0 (классический nat) имеем проблему с работой nat passive ftp, но при этом nat active ftp работает корректно. Настройка nat: ip nat settings pap ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation port-timeout tcp 1600 10 ip nat translation port-timeout tcp 8080 10 ip nat translation port-timeout tcp 110 60 ip nat translation port-timeout tcp 25 60 ip nat translation port-timeout tcp 80 15 ip nat pool Pool-1 176.x.x.0 176.x.x.255 prefix-length 24 ip nat inside source list NAT-USERS pool Pool-1 overload Share this post Link to post Share on other sites
