ShyLion Опубликовано 2 мая, 2017 · Жалоба Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО. Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 2 мая, 2017 · Жалоба эм. а где в конфиге ip nat settings mode cgn и no ip nat settings support mapping outside? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 2 мая, 2017 · Жалоба эм. а где в конфиге ip nat settings mode cgn и no ip nat settings support mapping outside? эм... а с ip nat settings mode cgn во flow-export не льются трансляции. или это глюк иоса? тестировали на 3.16-какой-то - пришлось отключить mode cgn из-за этого. и, ещё, если ничё не путаю, то был косячок с неработой pptp с mode cgn, несмотря на no ip nat service all-algs (тоже актуально для 3.16.хх) . есть смысл всё это включать обратно и проверять? Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО. Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp не, нифига. проблема в том, что если с интернета заломиться на белый адрес такой трансляции, то на сером адресе появляется трафик. получается тупо двухсторонний нат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 2 мая, 2017 · Жалоба Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО. Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp не, нифига. проблема в том, что если с интернета заломиться на белый адрес такой трансляции, то на сером адресе появляется трафик. получается тупо двухсторонний нат. Это понятно. Я объясняю, что такие трансляции появляются при нате чего-то отличного от TCP/UDP/ICMP. Избежать этого можно указывая конкретные протоколы в аксес-листе вместо тупо 'ip'. Кроме TCP/UDP/ICMP по IP ходят еще несколько протоколов, например GRE, ESP, AH и т.д. Проблема тут не в том что к абоненту летят "левые" пакеты, это его проблема, по большому счету, а в том, что занимается адрес из пула целиком на одного абонента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 2 мая, 2017 · Жалоба Вы похоже не ребутнули коробку после перехода на классический нат, иногда надо да. Проблемы с пптп я видел только с дропом на стороне nat outside трафика гре.. для белых адресов.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 3 мая, 2017 · Жалоба итак... дорисовал ip nat settings mode cgn no ip nat settings support mapping outside "двухсторонний" нат пропал, но, тут-же тикет прилетел, что eoip туннель у клиента поломался. у клиента белый айпишник. что нужно подправить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima89 Опубликовано 3 мая, 2017 · Жалоба уберите у клиента ip nat inside, если у него сабинтерфейс и такая строка есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 3 мая, 2017 · Жалоба уберите у клиента ip nat inside, если у него сабинтерфейс и такая строка есть мдя... а альтернативные варианты существуют? ибо топология не позволяет - нижестоящая циска ipoe-шит и отдаёт на asr и серые и белые адреса в куче. соответственно, pbr на ней я сделать не могу, чтобы раздербанить серых и белых в разные сабы. может, для решения моей задачи мне достаточно будет перевести нат обратно в дефолт и сделать no ip nat settings support mapping outside? или это команда только для cgn? или она вообще не для того, что я думаю? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 мая, 2017 · Жалоба ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload Покажи листы эти Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 4 мая, 2017 · Жалоба я тоже с таким сталкивался только на пптп. причем как показал эксперимент (я снимал нетфлоу).. дропается именно GRE трафик идущий от внешнего узла на стороне интерфейса с ip nat outside. ip nat settings support mapping outside и cgn связаны. в классик моде у вас должны быть все трансляции udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368 tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443 такого вида.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 4 мая, 2017 · Жалоба ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload Покажи листы эти ip access-list extended Nat-From-Cisco1 permit ip 10.1.0.0 0.0.255.255 any permit ip 10.6.0.0 0.0.255.255 any permit ip 10.16.0.0 0.0.255.255 any permit ip 10.21.0.0 0.0.255.255 any permit ip 10.26.0.0 0.0.255.255 any permit ip 10.36.0.0 0.0.255.255 any permit ip 10.41.0.0 0.0.255.255 any permit ip 10.46.0.0 0.0.255.255 any ip access-list extended Nat-From-Cisco2 permit ip 10.2.0.0 0.0.255.255 any permit ip 10.7.0.0 0.0.255.255 any permit ip 10.12.0.0 0.0.255.255 any permit ip 10.17.0.0 0.0.255.255 any permit ip 10.22.0.0 0.0.255.255 any permit ip 10.27.0.0 0.0.255.255 any permit ip 10.32.0.0 0.0.255.255 any permit ip 10.37.0.0 0.0.255.255 any permit ip 10.42.0.0 0.0.255.255 any permit ip 10.47.0.0 0.0.255.255 any ну и т.д. я тоже с таким сталкивался только на пптп. причем как показал эксперимент (я снимал нетфлоу).. дропается именно GRE трафик идущий от внешнего узла на стороне интерфейса с ip nat outside. ip nat settings support mapping outside и cgn связаны. в классик моде у вас должны быть все трансляции udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368 tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443 такого вида.. в классик моде всё так и есть, но, помимо этого есть трансляции с пустыми outside, что на практике выражается в пробросе всех портов "вовнутрь" сети. с этим и пытаюсь разобраться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 5 мая, 2017 · Жалоба ip access-list extended Nat-From-Cisco1 permit ip 10.1.0.0 0.0.255.255 any замени на permit tcp 10.1.0.0 0.0.255.255 any permit udp 10.1.0.0 0.0.255.255 any permit icmp 10.1.0.0 0.0.255.255 any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 5 мая, 2017 · Жалоба Может быть тут будет ответ: show platform hardware qfp active feature alg statistics show platform hardware qfp active feature alg .. Вообще похоже на багу какую-то.. ибо у вас вроде все алг выключены.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 10 мая, 2017 · Жалоба Может быть тут будет ответ: show platform hardware qfp active feature alg statistics show platform hardware qfp active feature alg .. Вообще похоже на багу какую-то.. ибо у вас вроде все алг выключены.. ну, видимо баг общеизвестный :) и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside в общем, выключил cgn и поправил акцесс-листы (заменил ip на tcp/udp/icmp) - полёт пока нормальный: нетфлоу снимается, проц не грузится, проброса нет, тикеты не валятся :) спасибо всем :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
neuron911 Опубликовано 10 августа, 2017 · Жалоба Добрый день. Была та же проблема pap использовал ~ 20 адресов, остальные 108 адреса (пул щас /25) шли 1-to-1, и ASR в логгах писал "Address allocation failed; pool 1 may be exhausted". В acl заменил ip на tcp/udp/icmp. Щас все отлично. show ip nat statistics показывает allocated столько, сколько использует pap. Выражаю огромную благодарность господину ShyLion. boot system flash bootflash:asr1000rp2-advipservicesk9.03.16.05.S.155-3.S5-ext.bin ip access-list extended list-CGNAT permit tcp 100.64.0.0 0.63.255.255 any permit udp 100.64.0.0 0.63.255.255 any permit icmp 100.64.0.0 0.63.255.255 any ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 60 ip nat log translations flow-export v9 udp destination xx5.5x.6x.42 9001 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 2048 ip nat pool CGNAT xx5.5x.6x.0 xx5.5x.6x.127 netmask 255.255.255.128 ip nat inside source list list-CGNAT pool CGNAT overload ASR1006#show platform hardware qfp active feature nat datapath pap laddrpergaddr gaddr xx5.5x.6x.12 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.13 vrf 0 laddr-per-gaddr 36 mapid 1 gaddr xx5.5x.6x.18 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.20 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.29 vrf 0 laddr-per-gaddr 47 mapid 1 gaddr xx5.5x.6x.34 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.35 vrf 0 laddr-per-gaddr 47 mapid 1 gaddr xx5.5x.6x.36 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.42 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.47 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.52 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.57 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.58 vrf 0 laddr-per-gaddr 60 mapid 1 gaddr xx5.5x.6x.60 vrf 0 laddr-per-gaddr 59 mapid 1 gaddr xx5.5x.6x.70 vrf 0 laddr-per-gaddr 59 mapid 1 gaddr xx5.5x.6x.71 vrf 0 laddr-per-gaddr 59 mapid 1 ASR1006#show ip nat statistics Total active translations: 55514 (0 static, 55514 dynamic; 55493 extended) Outside interfaces: TenGigabitEthernet0/0/0.2, TenGigabitEthernet0/0/0.7, GigabitEthernet0/1/0 TenGigabitEthernet1/0/0.1000 Inside interfaces: TenGigabitEthernet2/0/0.911, TenGigabitEthernet2/0/0.2000 Hits: 208316026 Misses: 835937 Expired translations: 770794 Dynamic mappings: -- Inside Source [id: 1] access-list list-CGNAT pool CGNAT refcount 55513 pool CGNAT: id 1, netmask 255.255.255.128 start xx5.5x.6x.0 end xx5.5x.6x.127 type generic, total addresses 128, allocated 16 (12%), misses 0 nat-limit statistics: max entry: max allowed 2000000, used 55513, missed 0 All Host Max allowed: 2048 In-to-out drops: 5678 Out-to-in drops: 57 Pool stats drop: 0 Mapping stats drop: 0 Port block alloc fail: 0 IP alias add fail: 0 Limit entry add fail: 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 10 августа, 2017 · Жалоба Вэлкам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MAXmks Опубликовано 17 августа, 2017 · Жалоба ну, видимо баг общеизвестный :) и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside Правильно я понимаю, что это эта бага CSCuz93698 ? Коллеги, поделитесь если есть asr1000rp2-advipservicesk9.03.16.04b.S.155-3.S4b-ext.bin, как я понимаю в нем эта бага пофикшена. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 17 августа, 2017 · Жалоба У нас проблема с pptp и `nat inside`-интерфейсами сохраняется даже с отключенными alg полностью. На апстрим ноде перед asr сделали pbr, который трафик для паблик адресов уводит на nh, для которого нет ip nat inside на asr. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 августа, 2017 · Жалоба ну, видимо баг общеизвестный :) и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside Правильно я понимаю, что это эта бага CSCuz93698 ? Коллеги, поделитесь если есть asr1000rp2-advipservicesk9.03.16.04b.S.155-3.S4b-ext.bin, как я понимаю в нем эта бага пофикшена. найдете - поделитесь плз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MAXmks Опубликовано 19 августа, 2017 · Жалоба Накатил asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin Проблем с туннелями и mode cgn не выявлено, абоны которые жаловались до этого подтвердили, что все ок. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 60 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2000 no ip nat service all-algs У нас ASR1004-RP2-ESP20 7000 pppoe/1000 l2tp сессий, 6 гигабит полосы в чнн, проблем за 2 дня нет, но натим пока только отключенных абонов с доступом к платежным системам, их мало, около 200 pppoe сессий и до 5k трансляций. Как будет работать с большим количеством ната незнаю, буду переводить постепенно. найдете - поделитесь плз. брал тут http://sfree.ws/files/asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin имейте ввиду, что там не много поменялся синтаксис команд radius server host. https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/200403-AAA-Server-Priority-explained-with-new-R.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 19 августа, 2017 · Жалоба Накатил asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin Проблем с туннелями и mode cgn не выявлено, абоны которые жаловались до этого подтвердили, что все ок. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 60 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries all-host 2000 no ip nat service all-algs У нас ASR1004-RP2-ESP20 7000 pppoe/1000 l2tp сессий, 6 гигабит полосы в чнн, проблем за 2 дня нет, но натим пока только отключенных абонов с доступом к платежным системам, их мало, около 200 pppoe сессий и до 5k трансляций. Как будет работать с большим количеством ната незнаю, буду переводить постепенно. найдете - поделитесь плз. брал тут http://sfree.ws/files/asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin имейте ввиду, что там не много поменялся синтаксис команд radius server host. https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/200403-AAA-Server-Priority-explained-with-new-R.html спасибо, качнул себе чтоб был Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kartashevav Опубликовано 13 декабря, 2017 (изменено) · Жалоба апну тему коллеги, такой вопрос имеем asr1001-x asr1001x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin около 6000 рррое сессий без isg, только шейп скорости через avpair около 400k трансляций в ЧНН два пула по /24 юзеры натятся в оба пула примерно поровну заметил вчера, что юзеры из пул2 имеют проблемы с доступом в инет, это выражается в постепенном увеличением пинга, величина пинга росла по мере увеличения транляций при этом юзеры из пула1 такой проблемы не испытавали, проверил переключением тестовой машины из пула в пул без pppoe через тот же маршрутизатор тоже все ОК по процу 14% в пике вопрос, что это? как будто упираемся в какой-то лимит на ASR? к сожалению повторить проблему не получится, пришлось переносить часть абонов на другую asr добавлю, что кроме pppoe на железке около 100 ip unnambered интерфейсов и BGP )) трафику 6,5 Гбит/с in+out вообще получился хороший повод проверить как 1001-x может все сразу и много, до определенного времени все работало норм Изменено 13 декабря, 2017 пользователем kartashevav добавил инфу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kartashevav Опубликовано 13 декабря, 2017 · Жалоба коллеги, дело было не в бобине проблема в аплинке, через который аонсились юзеры из пул2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 4 декабря, 2018 (изменено) · Жалоба Коллеги, прошу подсказать, какой софт показал себя более стабильным и без багов для ASR1004 (RP2) на данный момент? На древнем софте 15.4(3)S1 после нескольких лет стабильности столкнулись с: - не работающим ip nat translation max-entries all-host; - %NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed; - дропы GRE; - crash с падением Etherchannel после clear транслиций %CPPDRV-3-LOCKDOWN: F0: cpp_cp: QFP0.0 CPP Driver LOCKDOWN encountered due to previous fatal error (HW: QFP interrupt). Изменено 5 декабря, 2018 пользователем alexdirty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 13 сентября, 2019 (изменено) · Жалоба Обновился на asr1000rp2-adventerprisek9.03.16.07b.S.155-3.S7b-ext.bin 1. ip nat translation max-entries all-host - заработал 2. crash с падением Etherchannel после clear трансляций - остался По второму пункту дополню: Clear трансляций на конкретном Inside не работает если в этот момент у клиента ходит трафик. Shutdown`ишь порт клиенту, что бы трафика не было, и тогда Clear работает. Clear трансляций на конкретном Inside c указанием протокола и портов - работает. После Clear трансляций у двух абонентов, как раз и произошёл снова crash с падением Etherchannel, через 7 минут линки поднялись. Sep 13 12:47:40: %CPPHA-3-FAULT: F0: cpp_ha: CPP:0.0 desc:DPE4_CPE_CPE_DPE_INT_SET_0_LEAF_INT_INT_S4_WPT_ERROR det:DRVR(interrupt) class:OTHER sev:FATAL id:1602 cppstate:RUNNING res:UNKNOWN flags:0x7 cdmflags:0x0 Sep 13 12:47:40: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_ha: cpp_ha encountered an error -Traceback= 1#a987b1e8e3da18d823a6a09623b64c75 errmsg:7F3D12288000+121D cpp_common_os:7F3D15D98000+DA3C cpp_common_os:7F3D15D98000+1B5AE cpp_drv_cmn:7F3D155C3000+285B7 :400000+244A9 :400000+23F6C :400000+23993 :400000+1374D :400000+1272C cpp_common_os:7F3D15D98000+11C20 cpp_common_os:7F3D15D98000+12306 evlib:7F3D11202000+B937 evlib:7F3D11202000+E200 cpp_common_os:7F3D15D98000+13E42 :400000+DA85 c:7F3D09A74000+1E514 :4000 Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha: CPP 0.0 unresolved fault detected, initiating crash dump. Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha: CPP 0.0 unresolved fault detected, initiating crash dump. Sep 13 12:47:40: %CPPHA-3-FAULT: F0: cpp_ha: CPP:0.0 desc:INFP_INF_SWASSIST_LEAF_INT_INT_EVENT0 det:DRVR(interrupt) class:OTHER sev:FATAL id:2121 cppstate:RUNNING res:UNKNOWN flags:0x7 cdmflags:0x8 Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha: CPP 0.0 unresolved fault detected, initiating crash dump. Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha: CPP 0.0 unresolved fault detected, initiating crash dump. Sep 13 12:47:40: %CPPDRV-6-INTR: F0: cpp_driver-0: CPP10(0) Interrupt : Last 16 Interrupts Since Boot Sep 13 12:47:40: %CPPDRV-6-INTR: F0: cpp_driver-0: CPP10(0) Interrupt : 19-Sep-13 12:47:40.093120 UTC+0300:DPE4_CPE_CPE_DPE_INT_SET_0_LEAF_INT_INT_S4_WPT_ERROR Sep 13 12:47:40: %CPPDRV-6-INTR: F0: cpp_driver-0: CPP10(0) Interrupt : 19-Sep-13 12:47:40.093120 UTC+0300:INFP_INF_SWASSIST_LEAF_INT_INT_EVENT0 Sep 13 12:47:40: %CPPDRV-3-LOCKDOWN: F0: cpp_cp: QFP0.0 CPP Driver LOCKDOWN encountered due to previous fatal error (HW: QFP interrupt). Sep 13 12:47:40: %IOSXE_OIR-6-OFFLINECARD: Card (fp) offline in slot F0 Sep 13 12:47:40: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp: cpp_cp encountered an error -Traceback= 1#3379fd703db39406a2190384a97f7318 errmsg:7FF0960E8000+121D cpp_common_os:7FF09956F000+DA3C cpp_common_os:7FF09956F000+1B5AE cpp_nat_svr_lib:7FF0A2DC3000+2E86D cpp_nat_svr_lib:7FF0A2DC3000+1C770 cpp_nat_svr_lib:7FF0A2DC3000+1CAFE cpp_nat_svr_smc_lib:7FF0A306A000+1B61 cpp_common_os:7FF09956F000+11C20 cpp_common_os:7FF09956F000+12306 evlib:7FF0982E1000+B937 evlib:7FF0982E1000+E200 cpp_common_os:7FF09956F000+13 Sep 13 12:47:41: %CPPDRV-3-LOCKDOWN: F0: fman_fp_image: QFP0.0 CPP Driver LOCKDOWN encountered due to previous fatal error (HW: QFP interrupt). Sep 13 12:47:47: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Standby -> Active Sep 13 12:48:13: %CPPCDM-3-ERROR_NOTIFY: F0: cpp_cdm: QFP 0 thread 9 encountered an error -Traceback= 1#6df0c3e14153553c3f59b148c44ae86f 8035F39B 80347CB4 8035F3BC 8033B2B0 8033B35C 8033B4A6 8043B8B1 8043CBF2 Sep 13 12:48:13: %IOSXE-3-PLATFORM: F0: cpp_cdm: CPP crashed, core file /tmp/corelink/ASR1004-NEW_ESP_0_cpp-mcplo-ucode_091319124813.core.gz Sep 13 12:48:51: TenGigabitEthernet1/2/0 taken out of port-channel1 Sep 13 12:48:52: TenGigabitEthernet1/1/0 taken out of port-channel2 Sep 13 12:48:55: %EC-5-MINLINKS_NOTMET: Port-channel Port-channel2 is down bundled ports (0) doesn't meet min-links Sep 13 12:48:55: TenGigabitEthernet1/3/0 taken out of port-channel2 Sep 13 12:48:55: %EC-5-MINLINKS_NOTMET: Port-channel Port-channel1 is down bundled ports (0) doesn't meet min-links Sep 13 12:48:55: TenGigabitEthernet1/0/0 taken out of port-channel1 Sep 13 12:48:57: %LINK-3-UPDOWN: Interface Port-channel2, changed state to down Sep 13 12:48:57: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Active -> Init Sep 13 12:48:57: %LINK-3-UPDOWN: Interface Port-channel1, changed state to down Sep 13 12:48:57: %HSRP-5-STATECHANGE: Port-channel1.22 Grp 1 state Active -> Init Sep 13 12:48:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel2, changed state to down Sep 13 12:48:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to down Sep 13 12:49:38: %CPPHA-3-FAULT: F0: cpp_ha: CPP:0.0 desc:CPP Client process failed: FMAN-FP det:HA class:CLIENT_SW sev:FATAL id:1 cppstate:RUNNING res:UNKNOWN flags:0x0 cdmflags:0x0 Sep 13 12:49:38: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_ha: cpp_ha encountered an error -Traceback= 1#a987b1e8e3da18d823a6a09623b64c75 errmsg:7F3D12288000+121D cpp_common_os:7F3D15D98000+DA3C cpp_common_os:7F3D15D98000+1B5AE cpp_drv_cmn:7F3D155C3000+285B7 :400000+24438 :400000+23C1A :400000+14617 :400000+C0DE :400000+129AD :400000+F9E6 :400000+13B62 cpp_common_os:7F3D15D98000+1257F evlib:7F3D11202000+B937 evlib:7F3D11202000+E200 cpp_common_os:7F3D15D98000+13E42 :400000+DA85 c:7F3D09A74000+1E514 :400000+83E9 Sep 13 12:49:38: %PMAN-3-PROCHOLDDOWN: F0: pman.sh: The process fman_fp_image has been helddown (rc 134) Sep 13 12:49:38: %PMAN-0-PROCFAILCRIT: F0: pvp.sh: A critical process fman_fp_image has failed (rc 134) Sep 13 12:53:38: %IOSXE_OIR-6-ONLINECARD: Card (fp) online in slot F0 Sep 13 12:53:56: TenGigabitEthernet1/1/0 added as member-1 to port-channel2 Sep 13 12:53:57: TenGigabitEthernet1/2/0 added as member-1 to port-channel1 Sep 13 12:53:58: TenGigabitEthernet1/0/0 added as member-2 to port-channel1 Sep 13 12:53:58: %LINK-3-UPDOWN: Interface Port-channel2, changed state to up Sep 13 12:53:59: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up Sep 13 12:53:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel2, changed state to up Sep 13 12:54:00: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to up Sep 13 12:54:05: TenGigabitEthernet1/3/0 added as member-2 to port-channel2 Sep 13 12:54:21: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Standby -> Active Sep 13 12:54:22: %HSRP-5-STATECHANGE: Port-channel1.22 Grp 1 state Standby -> Active Sep 13 12:54:27: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Active -> Speak Sep 13 12:54:37: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Speak -> Standby А теперь собственно, сама причина, зачем сбрасывал трансляции. sh ip nat statistics Total active translations: 365689 (0 static, 365689 dynamic; 365372 extended) .... [Id: 1] access-list NAT-USERS pool Pool-1 refcount 194255 pool Pool-1: id 1, netmask 255.255.255.0 start *.*.*.* end *.*.*.* type generic, total addresses 256, allocated 256 (100%), misses 10 [Id: 2] access-list NAT-USERS2 pool Pool-2 refcount 171434 pool Pool-2: id 2, netmask 255.255.255.0 start *.*.*.* end *.*.*.* type generic, total addresses 256, allocated 169 (66%), misses 0 ..... Из-за того что один из pool адресов на 100% был утилизирован из-за трансляций 1-to-1 по протоколам отличных от TCP/UDP/ICMP, и полетели тикеты на нерабочий GRE с вытекающей ошибкой Sep 13 09:57:40: %IOSXE-6-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:128 TS:00013985005758018400 %NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed; pool 1 may be exhausted Количество таких трансляций было = 330 (sh ip nat translations | exclude tcp|udp|icmp) Количество используемых адресов в PAP было всего 107. show platform hardware qfp active feature nat datapath pap laddrpergaddr | count gaddr Number of lines which match regexp = 107 Количество трансляций 1-to-1, отсутствующих по количеству используемых адресов в PAP, достигло 318 (256+169-107). Access листы для pool`ов были permit ip ..... any Теперь сделал permit tcp ..... any permit udp ..... any permit icmp ..... any permit gre ..... any Ну собственно после чистки трансляций и crash`a стало: Total active translations: 362963 (0 static, 362963 dynamic; 362960 extended) [Id: 1] access-list NAT-USERS pool Pool-1 refcount 187744 pool Pool-1: id 1, netmask 255.255.255.0 start *.*.*.* end *.*.*.* type generic, total addresses 256, allocated 42 (16%), misses 0 [Id: 2] access-list NAT-USERS2 pool Pool-2 refcount 175220 pool Pool-2: id 2, netmask 255.255.255.0 start *.*.*.* end *.*.*.* type generic, total addresses 256, allocated 36 (14%), misses 0 Посмотрим как много будет трансляций вне PAP с применёнными access листами permit tcp/udp/icmp/gre... Пока, всего 15. Изменено 13 сентября, 2019 пользователем alexdirty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...