lumenok Опубликовано 26 ноября, 2015 · Жалоба Всем привет! Продолжу тему ната. А как там с количество nat трансляций на asr-1001x, сколько максимально возможно ? И еще есть вопрос по работе ната , на ericson есть команда exclude well-known которая исключает из работы ната порты до 1024, ну то есть на белых адресах которые используются для ната исключаются из работы эти порты. Как с этим на цисках, никто не знает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 26 ноября, 2015 · Жалоба Отвечу сам себе, настроил Nat ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 60 ip nat translation timeout 300 ip nat translation tcp-timeout 1800 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 10 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 360 ip nat translation port-timeout tcp 8080 360 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 2000 ip nat pool NAT_POOL_180.10.42 180.10.42.0 180.10.42.254 netmask 255.255.255.0 ip nat inside source list ACL_NAT_180.10.42 pool NAT_POOL_180.10.42 overload ip forward-protocol nd Циска умная, сама исключает порты до 1024: Router#sh ip nat translations Pro Inside global Inside local Outside local Outside global tcp 180.10.42.0:1050 10.90.0.33:61737 --- --- tcp 180.10.42.0:1027 10.90.0.33:61712 --- --- tcp 180.10.42.0:1029 10.90.0.33:62011 --- --- tcp 180.10.42.0:1045 10.90.0.33:61770 --- --- tcp 180.10.42.0:1036 10.90.0.33:62013 --- --- tcp 180.10.42.0:1049 10.90.0.33:61846 --- --- tcp 180.10.42.0:1033 10.90.0.33:61692 --- --- tcp 180.10.42.0:1046 10.90.0.33:61772 --- --- tcp 180.10.42.0:1039 10.90.0.33:61721 --- --- tcp 180.10.42.0:1048 10.90.0.33:61960 --- --- tcp 180.10.42.0:1032 10.90.0.33:61691 --- --- tcp 180.10.42.0:1025 10.90.0.33:61680 --- --- tcp 180.10.42.0:1041 10.90.0.33:62014 --- --- tcp 180.10.42.0:1031 10.90.0.33:61671 --- --- icmp 180.10.42.0:1 10.90.0.33:18 --- --- tcp 180.10.42.0:1051 10.90.0.33:61777 --- --- tcp 180.10.42.0:1035 10.90.0.33:61696 --- --- tcp 180.10.42.0:1026 10.90.0.33:61668 --- --- tcp 180.10.42.0:1042 10.90.0.33:61905 --- --- tcp 180.10.42.0:1028 10.90.0.33:62010 --- --- tcp 180.10.42.0:1037 10.90.0.33:61784 --- --- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 27 ноября, 2015 · Жалоба Вычитал в документации про нат , меня интересует про cg-nat - 200000 сессий, это тоже самое что и трансляции? Security Up to: ● IPsec: 8,000 tunnels ● Firewall: 2,000,000 sessions ● NAT: 2,000,000 sessions ● Carrier-Grade NAT: 2,00,000 sessions ● Firewall and NAT: 2,000,000 sessions Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 27 ноября, 2015 · Жалоба Там как минимум опечатка в порядке (2M вместо 200k) - даже на стартовых asr1001x до 2M (правда с пометкой, что требуется активация соответствующей лицензии, которая нынче RTU). это тоже самое что и трансляции? Стоит почитать технологические особенности CGN. Скажем так, его не зря иначе называют LSN (Large Scale NAT). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 27 ноября, 2015 · Жалоба забавно.. обычно в CGN они писали про х 2 в отличии от классического. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 27 ноября, 2015 · Жалоба обычно в CGN они писали про х 2 в отличии от классического. В доке по ссылке двумя постами выше все так и есть, за исключением самой младшей модели ASR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 27 ноября, 2015 · Жалоба Про cg-nat знаем, просто меня цифры удивили)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JohnnyL Опубликовано 17 декабря, 2015 · Жалоба Здравствуйте, прошу совета. Есть в наличии два asr1002rp1, используются в качестве терминации PPPoE + CGNAT(overload), проблема заключается в том, что сейчас стоит asr1000rp1-advipservices.03.07.05.S.152-4.S5.bin, который имеет проблему с утечкой памяти в QFP при работе NAT. Приходится грузить через каждые 1-2 месяца. Пытались перейти на более свежие версии (в том числе на последнюю рекомендованную asr1000rp1-advipservices.03.16.01a.S.155-3.S1a-ext.bin), но неизбежно натыкались на грабли - у пользователей, которые внутри PPPoE поднимают свои туннели, например PPTP, эти сервисы напрочь отказываются работать. При этом не важно за NAT'ом или нет сидят клиенты. Из опробованных нами, только эта версия ИОСа корректно работает с этими сервисами. Есть ли в природе версия IOS'а, отличная от нашей, на которой внутри PPPoE нормально работают такие сервисы как PPTP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 17 декабря, 2015 · Жалоба no ip nat service pptp - не помогает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JohnnyL Опубликовано 17 декабря, 2015 · Жалоба Затрудняюсь сказать, т.к. на меня эту проблему свалили буквально вчера - товарищ, который админит эти железки в отпуске и с ним нет связи.Сейчас секция NAT выглядит примерно так: ip nat settings mode cgn no ip nat settings support mapping outside ip nat translation timeout 120 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation max-entries 1000000 ip nat translation max-entries all-host 1000 ip nat inside source list 1 interface Loopback1 overload ip nat inside source list 2 interface Loopback2 overload ip nat inside source list 3 interface Loopback3 overload ip nat inside source list 4 interface Loopback4 overload ip nat inside source list 5 interface Loopback5 overload ip nat inside source list 6 interface Loopback6 overload ip nat inside source list 7 interface Loopback7 overload ip nat inside source list 8 interface Loopback8 overload ip forward-protocol nd ! Железка начинает умирать так: Dec 15 13:55:09.382: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha: QFP 0 DRAM resource low - 97 percent depleted Dec 15 14:43:58.447: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha: QFP 0 DRAM resource low - 98 percent depleted Dec 15 15:28:51.342: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha: QFP 0 IRAM resource low - 97 percent depleted Dec 15 15:30:45.372: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha: QFP 0 DRAM resource low - 99 percent depleted Dec 16 06:25:33.274: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha: QFP 0 IRAM resource low - 98 percent depleted Dec 16 10:12:55.769: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha: QFP 0 IRAM resource low - 99 percent depleted Dec 16 11:10:34.459: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp: cpp_cp encountered an error -Traceback= 1#a02fe41959962bc73fb1cfe3492d20f4 errmsg:CD55000+2250 cpp_common_os:D3C1000+BBC0 cpp_common_os:D3C1000+B9D0 cpp_common_os:D3C1000+18EBC cpp_alg_svr_lib:DA4E000+4BB0 cpp_alg_svr_lib:DA4E000+8BF4 cpp_dmap:E35B000+35394 cpp_dmap:E35B000+3CA54 cpp_common_os:D3C1000+10AA4 cpp_common_os:D3C1000+110DC evlib:D124000+E0EC evlib:D124000+104D4 cpp_common_os:D3C1000+127F8 :10000000+45A0 c:A919000+1E938 c:A919000+1EAE0 Dec 16 11:16:28.826: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:023 TS:00001682379000270646 %FTP_ALG-3-L7_DATA_CREATE_ERROR: -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1 Dec 16 11:16:34.194: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:146 TS:00001682384368197840 %RCMD_ALG-3-L7_DATA_CREATE_ERROR: -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 802fd4d4 801d8406 801d8caa 801d9662 801e44d1 801e50cc Dec 16 11:16:35.837: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:014 TS:00001682386011097670 %FTP_ALG-3-L7_DATA_CREATE_ERROR: -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1 Dec 16 11:16:43.564: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:110 TS:00001682393737754674 %FTP_ALG-3-L7_DATA_CREATE_ERROR: -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1 Dec 16 11:16:53.638: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:067 TS:00001682403810977254 %FTP_ALG-3-L7_DATA_CREATE_ERROR: -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1 Dec 16 11:48:54.645: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:059 TS:00001684324798681394 %SIP_ALG-3-L7_DATA_CREATE_ERROR: -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8030d120 8030eda8 801d8406 801d8f09 801d9698 801e44d1 Dec 16 12:08:43.786: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:039 TS:00001685513928773636 %RCMD_ALG-3-L7_DATA_CREATE_ERROR: -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 802fd4d4 801d8406 801d8caa 801d9662 801e44d1 801e5121 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 декабря, 2015 · Жалоба жутььььььььььь натить надо в пул ( переделывайте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 декабря, 2015 · Жалоба JohnnyL На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому: no ip nat service ftp и настанет счастье Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JohnnyL Опубликовано 21 декабря, 2015 · Жалоба JohnnyL На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому: no ip nat service ftp и настанет счастье Т.е., насколько я понял, в природе нет IOS'а с нормально работающим ALG в режиме nat overload? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 22 декабря, 2015 · Жалоба JohnnyL На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому: no ip nat service ftp и настанет счастье Т.е., насколько я понял, в природе нет IOS'а с нормально работающим ALG в режиме nat overload? ip nat settings mode cgn no ip nat settings support mapping outside ip nat inside source list nat pool nat_pool overload Cisco IOS XE Software, Version 03.13.02.S - Extended Support Release 600 абонентов, никто не жаловался на нат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sacrament Опубликовано 28 декабря, 2015 (изменено) · Жалоба А возможно ли использование одновременно и серых адресов за НАТом и белых для части абонов без НАТа на одном устройстве и каким образом это достигается? Абоненты цепляются по PPPoE Изменено 28 декабря, 2015 пользователем Sacrament Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 28 декабря, 2015 (изменено) · Жалоба А возможно ли использование одновременно и серых адресов за НАТом и белых для части абонов без НАТа на одном устройстве и каким образом это достигается? Абоненты цепляются по PPPoE для ната указывается аксес лист, в котором и перечисляется, какие соединения натить, а какие нет. мало кто (я думаю) пишет там "any any". то, что на интерфейсе стоит ip nat inside еще не означает, что натится будет все подряд Изменено 28 декабря, 2015 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 28 декабря, 2015 · Жалоба Cisco IOS XE Software, Version 03.13.02.S - Extended Support Release 600 абонентов, никто не жаловался на нат. даже на pptp && ppoe? JohnnyL На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому: no ip nat service ftp и настанет счастье Т.е., насколько я понял, в природе нет IOS'а с нормально работающим ALG в режиме nat overload? я видел только на ASA Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 29 декабря, 2015 · Жалоба даже на pptp && ppoe? 99% абонентов PPPoE. PPTP не используем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 29 декабря, 2015 · Жалоба а туннели в мир у клиентов нормально натятся? юрики не жалуются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JohnnyL Опубликовано 30 декабря, 2015 · Жалоба а туннели в мир у клиентов нормально натятся? юрики не жалуются? Вот это самый интересный вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 30 декабря, 2015 · Жалоба Никто не жалуется. Я лично проверял, все работает как надо. 600 абонентов, конечно, не 6000, может еще все траблы впереди. покачто полет нормальный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JohnnyL Опубликовано 30 декабря, 2015 · Жалоба ShyLion. Спасибо, попробуем. Отпишусь, но скорее всего после праздников. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kvinogradov Опубликовано 8 февраля, 2016 · Жалоба Приветствую, коллеги! Есть вопрос про PPTP через NAT. Если верить описанию ALG, то они не работают с CGN: Restrictions for PPTP Port Address Translation The Point-to-Point Tunneling Protocol (PPTP) application layer gateway (ALG) does not support virtual TCP (vTCP) and TCP segments. The PPTP ALG will not work in Carrier Grade Network Address Translation (NAT) mode, when the NAT client and server use the same call ID. Поэтому сразу: no ip nat service all-algs Без этого все вообще грустно. А абонентам нужно пользоваться PPTP (не смотри, что уже и сма Microsoft твердит, что протоколу давно пора на свалку истории). Естественно в режиме overload-NAT PPTP работает не очень, т.к. периодически управляющая TCP-сессия на порт 1723 транслируется в один "белый" адрес, а GRE-туннель в другой. Как решение, пробую выделить этот трафик (TCP/1723 и GRE) в отдельный NAT без overload. Выделяю "белых" адресов под это дело побольше (в моем случае 1024). Пока не весь пул утилизирован - все хорошо. PPTP поднимается. Весь остальной трафик идет через oveload-NAT. Что бы сессии не висели вечно ставлю тайм-аут в 8 минут. Вот тут и возникает проблема, которая, как я понял, в следующем "белые" адреса регулярно сканируются извне (раз в 1.5-2 минуты прилетает) различными искателями открытых уязвимостей. Получается что на любой адрес периодически прилетает пакет (порт не важен, так как трансляция не overloaded). Периодичность эта меньше, чем таймаут NAT-трансляции (стандартный keepalive interval для PPTP 60 секунд, таймаут 60*3=180 секунд). Получается что трансляция сама не умирает, адрес не высвобождается. Через какой-то время пул исчерпывается и новые сессии PPTP у абонентов перестают работать. За этим NAT-ом находятся абоненты с динамическими серыми адресами с таймаутом PPPoE 24 часа. Т.е. трафик "снизу" для трансляции точно прекращается максимум через сутки. При этом на ASR есть трансляции по несколько дней. Кто нибудь знает, как такое побороть можно? Заранее спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 30 марта, 2016 · Жалоба На 3.13.4 с такой конфигой PPTP не заводилось у абонентов, включение и отклюение pptp alg не помогло. Откатились на 3.10.5 и все заработало. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap ip nat log translations flow-export v9 udp destination x.x.x.x xxxx source Loopback249 ip nat translation timeout 300 ip nat translation tcp-timeout 1800 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 10 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation max-entries 250000 ip nat translation max-entries all-host 500 ip nat pool NAT1 x.x.x.x x.x.x.x netmask x.x.x.x ip nat pool NAT2 x.x.x.x x.x.x.x netmask x.x.x.x ip nat pool NAT3 x.x.x.x x.x.x.x netmask x.x.x.x ip nat pool NAT4 x.x.x.x x.x.x.x netmask x.x.x.x ip nat pool NAT5 x.x.x.x x.x.x.x netmask x.x.x.x ip nat pool NAT6 x.x.x.x x.x.x.x netmask x.x.x.x ip nat inside source list NAT1 pool NAT1 overload ip nat inside source list NAT2 pool NAT2 overload ip nat inside source list NAT3 pool NAT3 overload ip nat inside source list NAT4 pool NAT4 overload ip nat inside source list NAT5 pool NAT5 overload Кстати, поделитесь пожалуйста у кого есть следующим: asr1001-universalk9.03.16.02.S.155-3.S2-ext.bin asr1001-universalk9.03.13.05.S.154-3.S5-ext.bin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vipro Опубликовано 25 ноября, 2016 · Жалоба Нет ни у кого свежих прошивок? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...