Перейти к содержимому
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

Включил режим CGN, nat ftp заработал. Странно все это на мой взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, посоветуйте актуальный IOS для 1002го.

NAT не используем, нужен только ISG функционал+стандартные роутинг фичи.

пока остановился на adventerprisek9.03.10.01.S.153-3.S1.

Кстати почему железка прячет команду show sss session detailed?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос

На свежих прошивках ipoe + nat на asr1k с RP2 работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос

На свежих прошивках ipoe + nat на asr1k с RP2 работает?

 

да и уже давно

 

Коллеги, посоветуйте актуальный IOS для 1002го.

NAT не используем, нужен только ISG функционал+стандартные роутинг фичи.

пока остановился на adventerprisek9.03.10.01.S.153-3.S1.

Кстати почему железка прячет команду show sss session detailed?

 

Вот на этом иосе и остановитесь , вполне себе годный по нашему опыту.

Команду прячет потому что вместо sss теперь используется subscriber

типа новый формат

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да и уже давно

Ух ты.

Интересно, какая будет производительность у ASR 1k с ESP40

Вытянет ли она 50000 ipoe сессий +nat 20Гбит?

Изменено пользователем KonstantinC

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в одной коробке мне кажется не поместится, очень уж объём ната приличный, скорей всего упрётся в память

esp 100 думаю прожевал бы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а вы вот этот софт не пробовали? Судя по описанию там много чего поправили.

asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а вы вот этот софт не пробовали? Судя по описанию там много чего поправили.

asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin

System image file is "bootflash:asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin"

уже почти 6 недель аптайма..

 

чистое исг без ната..

Изменено пользователем zhenya`

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорей всего упрётся в память

Быстрее упрется в количество трансляций.

Для ESP40 заявлено 2M в режиме native и 4M в CGN, для ESP100 6M и 12M соответственно.

15K хомячков с ограничением в 512 трансляций на адрес в ЧНН выжирают до 1,3M трансляций, если ограничения убрать, выжрут и 2M.

Выходит, что для ESP40 в режиме CGN предел для NAT 40-45K пользователей.

Для 50K, действительно, надо уже ESP100.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скорей всего упрётся в память

Быстрее упрется в количество трансляций.

Для ESP40 заявлено 2M в режиме native и 4M в CGN, для ESP100 6M и 12M соответственно.

15K хомячков с ограничением в 512 трансляций на адрес в ЧНН выжирают до 1,3M трансляций, если ограничения убрать, выжрут и 2M.

Выходит, что для ESP40 в режиме CGN предел для NAT 40-45K пользователей.

Для 50K, действительно, надо уже ESP100.

а трансляции не в памяти чтоли ? ) в релиз нотах написано, что память для трафик классов сессий исг используют туже память что и нат ( поэтому в случае исг + нат на одном боксе scalability ниже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

Вчера пришлось обновится с 3.10.1 на 3.13.0 (ESP крашился по несколько раз в день)

Сломался nat ftp.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

Вчера пришлось обновится с 3.10.1 на 3.13.0 (ESP крашился по несколько раз в день)

Сломался nat ftp.

 

после отключения alg nat ftp (no ip nat service ftp) пассивный ftp режим ожил, активный естественно нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добра всем.

А у кого-нибудь работает ISG+NAT+PAP на 03.10.02.S.153-3.S2?

На данный момент настроено так:

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat translation timeout 14400
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 7200
ip nat translation udp-timeout 3600
ip nat translation max-entries all-host 1000
ip nat pool White_pool_for_NAT xx.xx.xx.xx xx.xx.xx.xx netmask xx.xx.xx.xx
ip nat inside source list 100 pool White_pool_for_NAT overload

 

После включения PAP (ip nat settings pap limit 60), активные трансляции упали в 0 и не поднялись. (If you change the Network Address Translation (NAT) configuration mode to paired-address-pooling configuration mode and vice versa, all existing NAT sessions are removed.) Может конечно шёл процесс перераспределения ресурсов, но я не рискнул ждать дальше, вырубил.

 

P.S. ASR1k6 RP2

Изменено пользователем h2kb

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

апну тему.

есть asr1001, ios 03.13.01.S.154-3.S1

 

такой нат:

ip nat pool NAT1 1.1.1.0 1.1.1.3 prefix-length 30

ip nat inside source list NAT pool NAT1 overload

 

всё время занят только 1 адрес из пула, можно ли настроить так, чтобы для каждого соединения адрес выбирался рандомно из пула?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просьба к владельцам ASR1k, стоит на этой железяке запускать CGNAT-PAP+IPOE(l2/l3)+ISG. Какие проблемы ожидают? Креши? Не работающий NAT?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

asr1000rp1-advipservicesk9.03.12.01.S.154-2.S1-std.bin
ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 30 
ip nat translation timeout 300
ip nat translation tcp-timeout 180
ip nat translation udp-timeout 180
ip nat translation syn-timeout 180
ip nat translation dns-timeout 120
ip nat translation icmp-timeout 120
no ip nat service ftp

 

IPoE l3 ISG работает без нареканий

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

апну тему.

есть asr1001, ios 03.13.01.S.154-3.S1

 

такой нат:

ip nat pool NAT1 1.1.1.0 1.1.1.3 prefix-length 30

ip nat inside source list NAT pool NAT1 overload

 

всё время занят только 1 адрес из пула, можно ли настроить так, чтобы для каждого соединения адрес выбирался рандомно из пула?

 

кстати, ip nat pool type rotary может помочь? потестил, но как-то не заметил разницы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у кого нибудь работает PAP без CGN?

 

Тестил на asr1001-universalk9.03.10.04.S.153-3.S4-ext.bin и такое ощущение что баг

bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out.

никуда не делся.

 

msk.m9#show platform hardware qfp active feature nat datapath pap laddrpergaddr
gaddr x.x.151.192 vrf 0 laddr-per-gaddr 250 mapid 1
gaddr x.x.151.193 vrf 0 laddr-per-gaddr 13 mapid 1
gaddr x.x.151.194 vrf 0 laddr-per-gaddr 19 mapid 1
gaddr x.x.151.196 vrf 0 laddr-per-gaddr 24 mapid 1
gaddr x.x.151.197 vrf 0 laddr-per-gaddr 84 mapid 1
gaddr x.x.151.198 vrf 0 laddr-per-gaddr 48 mapid 1

 

192 адрес самый последний используется в пуле, а дальше просто не создаются трансляции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

infery добрый день, с мая казусов не приключилось с данным иосом?

планируем обновиться до него, используем PPPoE,ISG, планируем CGN добавить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

infery добрый день, с мая казусов не приключилось с данным иосом?

планируем обновиться до него, используем PPPoE,ISG, планируем CGN добавить

Все работает, кушать не просит :) Был косяк, но непонятно чей - переключил на полном ходу в классический режим ната, а через минуту снова в CGN, в результате как я понял ребутнулся ESP, то ли какой то процесс. Но все нормализовалось в течение 5 минут без вмешательства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

infery

а у нас обрыдался на второй день ;(

 

Izhevsk51# show log | i TCAM000578: Aug 23 09:01:09: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-class:232799399.3.  Use SW TCAM instead.000579: Aug 23 09:01:10: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-class:1127855349.3.  Use SW TCAM instead.000597: Aug 23 10:40:09: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1717468369.  Use SW TCAM instead.000598: Aug 23 10:45:48: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:2176292814.  Use SW TCAM instead.000599: Aug 23 10:46:42: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:147832863.  Use SW TCAM instead.000600: Aug 23 10:46:54: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:525750945.  Use SW TCAM instead.000601: Aug 23 10:47:19: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1786196579.  Use SW TCAM instead.000602: Aug 23 10:47:33: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:2288501193.  Use SW TCAM instead.000605: Aug 23 10:50:07: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1717468369.  Use SW TCAM instead.000606: Aug 23 10:51:49: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1775569998.  Use SW TCAM instead.000607: Aug 23 10:52:59: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:120120571.  Use SW TCAM instead.000608: Aug 23 10:58:34: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:915788806.  Use SW TCAM instead.000609: Aug 23 10:58:44: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:425590285.  Use SW TCAM instead.000610: Aug 23 10:58:51: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1775569998.  Use SW TCAM instead.000611: Aug 23 10:58:52: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1020269051.  Use SW TCAM instead.

 

 

сперва кусками class-group перестали помещаться в TCAM, потом целиком уже пошло, и это всего 3500 сессий PPPoE (полисеров у нас конечно многовато)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот и дескрипшен к сообщению на одном из цисколайв слайдов, мож кому пригодится

 

TCAM Issue
• Problem Description:
In ASR 1000 IPsec/FW/NAT deployment, user may see following message (post XE3.10):
%CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ipsec-cg:135. Use SW TCAM
instead.
• Error Message Explanation:
1. ASR1000 uses SW TCAM when there is not enough free space in HW TCAM for
given policy.
2. SW TCAM is implemented in QFP DRAM.
3. There is some forwarding performance hit
• Typical Cause – deny entries in ACL, route-map
1. Classification engine in the TCAM can only represent permit.
2. System converts the DENY entries into PERMIT ones using cross product
3. This recursive nature cause the required number of entries to “explode
63 
BRKARC-2019 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
TCAM Issue – cont’d
• Is my policy run in HW TCAM or SW TCAM?
show platform hardware qfp active classification feature-manager class-group tcam <acl |
nat | ..> name <name of ACL/policy> brief
• Best Practices:
1. Modify the ACLs to use multiple specific permit statement, and try to reduce or
eliminate the explicit use of deny statement
2. Always there should be unused TCAM entries which are = or > the size of biggest ACL
on the router. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mikezzzz, может стоит IOS обновить хотя бы до asr1000rp1-adventerprise.03.13.01.S.154-3.S1-ext.bin?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.