siddkharta Опубликовано 28 ноября, 2016 · Жалоба Нет ни у кого свежих прошивок? Пока что нету. Есть старые, на которых работаем. System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin" Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 29 ноября, 2016 · Жалоба Нет ни у кого свежих прошивок? Пока что нету. Есть старые, на которых работаем. System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin" Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску. А как нат настроен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 29 ноября, 2016 · Жалоба Нет ни у кого свежих прошивок? Пока что нету. Есть старые, на которых работаем. System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin" Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску. asr1002x-universalk9.03.13.02.S.154-3.S2-ext.SPA.bin аптайм был больше года, на днях выключали чтобы вторую 10Г плату всунуть. 1К абонентов, пул такой-же. ip nat settings mode cgn no ip nat settings support mapping outside ip nat log translations flow-export v9 udp destination x.x.x.8 8889 source Loopback0 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat pool nat_pool x.x.x.65 x.x.x.191 netmask 255.255.255.0 ip nat inside source list nat pool nat_pool overload ip access-list extended nat deny ip any host x.x.x.4 deny ip host x.x.x.4 any deny ip any host x.x.x.13 deny ip host x.x.x.13 any deny ip any host x.x.x.90 deny ip host x.x.x.90 any deny ip any host x.x.x.18 deny ip any host x.x.x.3 deny ip any host x.x.x.1 deny ip any 100.64.0.0 0.63.255.255 deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 deny ip any 169.254.0.0 0.0.255.255 permit ip 100.64.0.0 0.63.255.255 any permit tcp 100.64.0.0 0.63.255.255 any permit udp 100.64.0.0 0.63.255.255 any permit icmp 100.64.0.0 0.63.255.255 any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 29 ноября, 2016 · Жалоба redundancy mode none не поможет продлить жизнь ? ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 1 декабря, 2016 · Жалоба А как можно через SNMP мониторить количество PAT трансляций? А то я нашел оид для этого, а он 0 возвращает. :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 3 декабря, 2016 · Жалоба А как можно через SNMP мониторить количество PAT трансляций? А то я нашел оид для этого, а он 0 возвращает. :( в 3.13 никак. возможно позднее допилили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kartashevav Опубликовано 23 января, 2017 · Жалоба может кому пригодится ASR1001-X Version 03.16.02 oid для мониторинга трансляций 1.3.6.1.2.1.123.1.7.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 22 февраля, 2017 · Жалоба ребят, подскажите, у кого нормально работает cgn + pap с примерно таким конфигом: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 60 ip nat translation timeout 60 ip nat translation tcp-timeout 120 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 30 ip nat translation syn-timeout 60 ip nat translation dns-timeout 5 ip nat translation icmp-timeout 5 ip nat translation max-entries 512000 ip nat translation max-entries all-host 500 ip nat pool NAT X.X.X.0 X.X.X.31 prefix-length 27 ip nat inside source list NAT pool NAT overload asr1001-universalk9.03.13.01.S.154-3.S1-ext.bin. sh ip nat limits all-host показывает не всех абонентов, видимо и лимитирует не всех - отсюда забивается пул внешних. подскажите, есть ли рабочий иос, сегодня пробовал asr1001-universalk9.03.16.03.S.155-3.S3-ext.bin, 2 ребута и отвалы сервисов. *** огорчение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 22 февраля, 2017 (изменено) · Жалоба ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 30 ip nat log translations flow-export v9 udp destination a.a.a.8 8889 source Loopback0 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2000 no ip nat service sip tcp port 5060 no ip nat service sip udp port 5060 ip nat pool nat_pool a.a.a.65 a.a.a.191 netmask 255.255.255.0 ip nat inside source list nat pool nat_pool overload Total number of limit entries: 466 Это при 1200 pppoe сеансах. Ну не обязательно же все прямо сейчас че-то качают. asr1002x-universalk9.03.13.02.S.154-3.S2-ext.SPA.bin Для 1001 есть asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin Изменено 22 февраля, 2017 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 23 февраля, 2017 · Жалоба ShyLion, да доступно много вариантов. только вот нет желания эксперементировать на продакшне. другой вопрос - может ли быть в роммоне дело? стоит 15.0(1r)S, на asr1000-rommon.163-2r.pkg обновиться не захотел, гад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 25 февраля, 2017 · Жалоба ShyLion, да доступно много вариантов. только вот нет желания эксперементировать на продакшне. другой вопрос - может ли быть в роммоне дело? стоит 15.0(1r)S, на asr1000-rommon.163-2r.pkg обновиться не захотел, гад. asr-1001-620#show rom-monitor r0 System Bootstrap, Version 15.2(1r)S, RELEASE SOFTWARE Copyright (c) 1994-2011 by cisco Systems, Inc. asr-1001-620 uptime is 3 weeks, 3 days, 22 hours, 46 minutes Uptime for this control processor is 3 weeks, 3 days, 22 hours, 47 minutes System returned to ROM by reload at 15:13:13 TMN Tue Jan 31 2017 System restarted at 15:16:00 TMN Tue Jan 31 2017 System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin" IOS вроде достаточо зрелый этот. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pro-R Опубликовано 27 февраля, 2017 · Жалоба Не про NAT, просто хочу оставить комментарий по используемым IOS'ам. ASR1013 (L2TP тянет около 16K сессий) - методом проб и ошибок остановились на версии: asr1000rp2-advipservicesk9.03.07.06.S.152-4.S6.bin А вот на ASR1002-x обновили IOS чтобы запилить ISG, IPv6 и другие новые плюшки. Так вот на 1002-x последний раз пробовал: asr1002x-universalk9.03.13.04.S.154-3.S4-ext.SPA.bin Результат: на 6K сессий растет CPU и очень медленно снижается, есть подозрение что в пике просто ушел в себя и помогла перезагрузка и снятие нагрузки. Сейчас залил asr1002x-universalk9.03.13.06a.S.154-3.S6a-ext.SPA.bin - Нагрузку давать уже опасаюсь, нужно выждать время чтобы опять подать нагрузку и проверить. Может есть у кого опыт использования последнего указанного IOS? Интересует подаваемая нагрузка, возможно подскажете стабильный IOS из последних. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 27 февраля, 2017 · Жалоба asr1002x-universalk9.03.13.06a.S.154-3.S6a-ext.SPA.bin - MD, теоретически менее бажный чем 16 ветка. тоже залил, буду пробовать на следующих выходных Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 5 марта, 2017 · Жалоба может кому пригодится ASR1001-X Version 03.16.02 oid для мониторинга трансляций 1.3.6.1.2.1.123.1.7.0 спасибо, на asr1001 тоже сработало. далее, по иосам. вообще, проблема с 03.13.01 в том, что нат вроде и работает, но команда ip nat translation max-entries all-host <value> применяется, но видимо не ко всем хостам (в выводе show ip nat limits all-host записей явно меньше, чем серых хостов) так как pap влюкчен, качки забивают внешний пул, приходится чистить руками. в этом плане о asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin не могу сказать ничего хорошего или плохого, изменений не заметил. нашёл последний MD - asr1001-universalk9.03.16.04b.S.155-3.S4b-ext.bin во-первых работает, arp не отваливается (это был вообще ***ец) как на asr1001-universalk9.03.16.03.S.155-3.S3-ext.bin (тут) во-вторых, в таблице с лимитами стало явно больше хостов, но пока выходные, картина не до конца понятная, однако динамика радует. если нужен 03.16.04b, могу поделиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 7 марта, 2017 · Жалоба никогда этого не было и вот опять. asr1001-universalk9.03.16.04b.S.155-3.S4b-ext.bin ребутается, ***ина, сам по себе. Last reload reason: critical process fault, fman_fp_image, fp_0_0, rc=134 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 7 марта, 2017 · Жалоба 3.13 крайний чем не устраивает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 7 марта, 2017 · Жалоба нат так и не выпрямили, по сравнению с 3.13.01 cgn+pap так же натит не всем хостам обрезая соединения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexapu Опубликовано 23 апреля, 2017 (изменено) · Жалоба у кого може завалялось: asr1002x-universalk9.03.16.05.S.155-3.S5-ext.SPA.bin asr1002x-universalk9.03.13.06a.S.154-3.S6a-ext.SPA.bin ? Изменено 23 апреля, 2017 пользователем alexapu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 апреля, 2017 · Жалоба asr1002x-universalk9.03.13.06a.S.154-3.S6a-ext.SPA.bin Есть тут: http://maintracker.org/forum/viewtopic.php?t=2989354 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexapu Опубликовано 24 апреля, 2017 · Жалоба 03.13.06a.S.154-3.S6a-ext.SPA.bin спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 28 апреля, 2017 · Жалоба и что, нат на ASR1001 до сих пор в жопошном состоянии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 29 апреля, 2017 · Жалоба Нормально работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 30 апреля, 2017 · Жалоба нат так и не выпрямили, по сравнению с 3.13.01 cgn+pap так же натит не всем хостам обрезая соединения. А что значит обрезая соединения? В чем суть? Какие симптомы ожидать если включить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 1 мая, 2017 · Жалоба заявлен функционал ограничения максимального количества трансляций для определенного хоста через ip nat translations max entries all-host <value>. по факту на 13 ветке ведет себя неадекватно - хостов может быть 500, а ограничиваются трансляции только 200 из них. на 16 работает ровно, но неадекватит уже сам роутер - перестает работать arp, самопроизвольно ребутается. причем на релизе MD. если не включить - клиенты могут наглухо забить внешний пул торрентами/вируснёй. что будет если включить догадайтесь сами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 1 мая, 2017 · Жалоба а у меня очередной "хелп плиз" :) boot system flash bootflash:/asr1000rp1-adventerprisek9.03.13.06.S.154-3.S6-ext.bin ip nat settings pap ip nat translation timeout 300 ip nat translation tcp-timeout 1800 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 60 ip nat translation finrst-timeout 10 ip nat translation syn-timeout 10 ip nat translation dns-timeout 10 ip nat translation icmp-timeout 10 ip nat translation port-timeout tcp 80 360 ip nat translation port-timeout tcp 8080 360 ip nat translation port-timeout tcp 1600 180 ip nat translation port-timeout tcp 110 180 ip nat translation port-timeout tcp 25 180 ip nat translation max-entries all-host 2000 no ip nat service all-algs ip nat pool Pool-For-Cisco1 xxx.xxx.xxx.96 xxx.xxx.xxx.111 netmask 255.255.255.0 ip nat pool Pool-For-Cisco2 xxx.xxx.xxx.112 xxx.xxx.xxx.127 netmask 255.255.255.0 ip nat pool Pool-For-Cisco3 xxx.xxx.xxx.128 xxx.xxx.xxx.143 netmask 255.255.255.0 ip nat pool Pool-For-Cisco4 xxx.xxx.xxx.144 xxx.xxx.xxx.159 netmask 255.255.255.0 ip nat pool Pool-For-Cisco5 xxx.xxx.xxx.160 xxx.xxx.xxx.175 netmask 255.255.255.0 ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload в show ip nat tra почему-то появляются "PAT"-трансляции - юзер внутри сети фиксирует незапрашиваемый трафик из интернета. из пары тысяч серых айпишников это наблюдается на 5-20 серых адресах. в большинстве случаев, серые адреса как-то одни и те-же. что это может быть, и как это полечить? если такие трансляции прибить, они появляются опять. выглядит это так.. у таких трансляций отсутствует протокол, и outside-адреса. Pro Inside global Inside local Outside local Outside global --- xxx.xxx.xxx.122 10.27.192.145 --- --- --- xxx.xxx.xxx.162 10.5.104.51 --- --- --- xxx.xxx.xxx.124 10.32.142.35 --- --- --- xxx.xxx.xxx.170 10.35.127.161 --- --- --- xxx.xxx.xxx.163 10.5.119.153 --- --- --- xxx.xxx.xxx.123 10.22.110.111 --- --- --- xxx.xxx.xxx.114 10.7.101.77 --- --- --- xxx.xxx.xxx.137 10.13.112.179 --- --- --- xxx.xxx.xxx.121 10.7.105.72 --- --- --- xxx.xxx.xxx.167 10.5.102.231 --- --- udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368 udp xxx.xxx.xxx.147:12960 10.14.102.72:49001 129.208.85.152:22433 129.208.85.152:22433 udp xxx.xxx.xxx.118:46328 10.22.112.58:6881 188.162.84.46:1 188.162.84.46:1 udp xxx.xxx.xxx.80:1045 192.168.168.232:33336 46.0.144.26:16881 46.0.144.26:16881 tcp xxx.xxx.xxx.117:45184 10.7.104.84:43825 173.194.122.244:443 173.194.122.244:443 tcp xxx.xxx.xxx.130:37736 10.13.119.194:47993 64.233.163.132:443 64.233.163.132:443 tcp xxx.xxx.xxx.96:1864 10.16.104.201:57949 209.85.233.95:443 209.85.233.95:443 tcp xxx.xxx.xxx.113:31170 10.7.103.17:53253 217.20.156.132:443 217.20.156.132:443 udp xxx.xxx.xxx.117:5158 10.22.109.31:34304 194.28.91.29:48167 194.28.91.29:48167 tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443 ..ну и ещё тыщ сто неинтересных записей :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...