Jump to content
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

Включил режим CGN, nat ftp заработал. Странно все это на мой взгляд.

Share this post


Link to post
Share on other sites

Коллеги, посоветуйте актуальный IOS для 1002го.

NAT не используем, нужен только ISG функционал+стандартные роутинг фичи.

пока остановился на adventerprisek9.03.10.01.S.153-3.S1.

Кстати почему железка прячет команду show sss session detailed?

Share this post


Link to post
Share on other sites

Вопрос

На свежих прошивках ipoe + nat на asr1k с RP2 работает?

Share this post


Link to post
Share on other sites

Вопрос

На свежих прошивках ipoe + nat на asr1k с RP2 работает?

 

да и уже давно

 

Коллеги, посоветуйте актуальный IOS для 1002го.

NAT не используем, нужен только ISG функционал+стандартные роутинг фичи.

пока остановился на adventerprisek9.03.10.01.S.153-3.S1.

Кстати почему железка прячет команду show sss session detailed?

 

Вот на этом иосе и остановитесь , вполне себе годный по нашему опыту.

Команду прячет потому что вместо sss теперь используется subscriber

типа новый формат

Share this post


Link to post
Share on other sites

да и уже давно

Ух ты.

Интересно, какая будет производительность у ASR 1k с ESP40

Вытянет ли она 50000 ipoe сессий +nat 20Гбит?

Edited by KonstantinC

Share this post


Link to post
Share on other sites

в одной коробке мне кажется не поместится, очень уж объём ната приличный, скорей всего упрётся в память

esp 100 думаю прожевал бы

Share this post


Link to post
Share on other sites

Коллеги, а вы вот этот софт не пробовали? Судя по описанию там много чего поправили.

asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin

Share this post


Link to post
Share on other sites

Коллеги, а вы вот этот софт не пробовали? Судя по описанию там много чего поправили.

asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin

System image file is "bootflash:asr1000rp2-adventerprisek9.03.12.00.S.154-2.S-std.bin"

уже почти 6 недель аптайма..

 

чистое исг без ната..

Edited by zhenya`

Share this post


Link to post
Share on other sites

скорей всего упрётся в память

Быстрее упрется в количество трансляций.

Для ESP40 заявлено 2M в режиме native и 4M в CGN, для ESP100 6M и 12M соответственно.

15K хомячков с ограничением в 512 трансляций на адрес в ЧНН выжирают до 1,3M трансляций, если ограничения убрать, выжрут и 2M.

Выходит, что для ESP40 в режиме CGN предел для NAT 40-45K пользователей.

Для 50K, действительно, надо уже ESP100.

Share this post


Link to post
Share on other sites

скорей всего упрётся в память

Быстрее упрется в количество трансляций.

Для ESP40 заявлено 2M в режиме native и 4M в CGN, для ESP100 6M и 12M соответственно.

15K хомячков с ограничением в 512 трансляций на адрес в ЧНН выжирают до 1,3M трансляций, если ограничения убрать, выжрут и 2M.

Выходит, что для ESP40 в режиме CGN предел для NAT 40-45K пользователей.

Для 50K, действительно, надо уже ESP100.

а трансляции не в памяти чтоли ? ) в релиз нотах написано, что память для трафик классов сессий исг используют туже память что и нат ( поэтому в случае исг + нат на одном боксе scalability ниже.

Share this post


Link to post
Share on other sites

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

Вчера пришлось обновится с 3.10.1 на 3.13.0 (ESP крашился по несколько раз в день)

Сломался nat ftp.

Share this post


Link to post
Share on other sites

что-то на 3.11.1 прошивке FTP не работает через NAT.

 

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 1000

ip nat translation timeout 300

ip nat translation tcp-timeout 180

ip nat translation udp-timeout 180

ip nat translation syn-timeout 180

ip nat translation dns-timeout 120

ip nat translation icmp-timeout 120

ip nat translation max-entries 2000000

ip nat translation max-entries all-host 500

ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30

ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30

ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30

 

ip nat inside source list 1300 pool 1300 overload

ip nat inside source list 1301 pool 1301 overload

ip nat inside source list 1302 pool 1302 overload

 

 

У кого-нибудь работает? В чем еще может быть ошибка в нстройках?

 

Вчера пришлось обновится с 3.10.1 на 3.13.0 (ESP крашился по несколько раз в день)

Сломался nat ftp.

 

после отключения alg nat ftp (no ip nat service ftp) пассивный ftp режим ожил, активный естественно нет.

Share this post


Link to post
Share on other sites

Добра всем.

А у кого-нибудь работает ISG+NAT+PAP на 03.10.02.S.153-3.S2?

На данный момент настроено так:

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat translation timeout 14400
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 7200
ip nat translation udp-timeout 3600
ip nat translation max-entries all-host 1000
ip nat pool White_pool_for_NAT xx.xx.xx.xx xx.xx.xx.xx netmask xx.xx.xx.xx
ip nat inside source list 100 pool White_pool_for_NAT overload

 

После включения PAP (ip nat settings pap limit 60), активные трансляции упали в 0 и не поднялись. (If you change the Network Address Translation (NAT) configuration mode to paired-address-pooling configuration mode and vice versa, all existing NAT sessions are removed.) Может конечно шёл процесс перераспределения ресурсов, но я не рискнул ждать дальше, вырубил.

 

P.S. ASR1k6 RP2

Edited by h2kb

Share this post


Link to post
Share on other sites

апну тему.

есть asr1001, ios 03.13.01.S.154-3.S1

 

такой нат:

ip nat pool NAT1 1.1.1.0 1.1.1.3 prefix-length 30

ip nat inside source list NAT pool NAT1 overload

 

всё время занят только 1 адрес из пула, можно ли настроить так, чтобы для каждого соединения адрес выбирался рандомно из пула?

Share this post


Link to post
Share on other sites

Просьба к владельцам ASR1k, стоит на этой железяке запускать CGNAT-PAP+IPOE(l2/l3)+ISG. Какие проблемы ожидают? Креши? Не работающий NAT?

Share this post


Link to post
Share on other sites

asr1000rp1-advipservicesk9.03.12.01.S.154-2.S1-std.bin
ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 30 
ip nat translation timeout 300
ip nat translation tcp-timeout 180
ip nat translation udp-timeout 180
ip nat translation syn-timeout 180
ip nat translation dns-timeout 120
ip nat translation icmp-timeout 120
no ip nat service ftp

 

IPoE l3 ISG работает без нареканий

Share this post


Link to post
Share on other sites

апну тему.

есть asr1001, ios 03.13.01.S.154-3.S1

 

такой нат:

ip nat pool NAT1 1.1.1.0 1.1.1.3 prefix-length 30

ip nat inside source list NAT pool NAT1 overload

 

всё время занят только 1 адрес из пула, можно ли настроить так, чтобы для каждого соединения адрес выбирался рандомно из пула?

 

кстати, ip nat pool type rotary может помочь? потестил, но как-то не заметил разницы

Share this post


Link to post
Share on other sites

А у кого нибудь работает PAP без CGN?

 

Тестил на asr1001-universalk9.03.10.04.S.153-3.S4-ext.bin и такое ощущение что баг

bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out.

никуда не делся.

 

msk.m9#show platform hardware qfp active feature nat datapath pap laddrpergaddr
gaddr x.x.151.192 vrf 0 laddr-per-gaddr 250 mapid 1
gaddr x.x.151.193 vrf 0 laddr-per-gaddr 13 mapid 1
gaddr x.x.151.194 vrf 0 laddr-per-gaddr 19 mapid 1
gaddr x.x.151.196 vrf 0 laddr-per-gaddr 24 mapid 1
gaddr x.x.151.197 vrf 0 laddr-per-gaddr 84 mapid 1
gaddr x.x.151.198 vrf 0 laddr-per-gaddr 48 mapid 1

 

192 адрес самый последний используется в пуле, а дальше просто не создаются трансляции.

Share this post


Link to post
Share on other sites

infery добрый день, с мая казусов не приключилось с данным иосом?

планируем обновиться до него, используем PPPoE,ISG, планируем CGN добавить

Share this post


Link to post
Share on other sites

infery добрый день, с мая казусов не приключилось с данным иосом?

планируем обновиться до него, используем PPPoE,ISG, планируем CGN добавить

Все работает, кушать не просит :) Был косяк, но непонятно чей - переключил на полном ходу в классический режим ната, а через минуту снова в CGN, в результате как я понял ребутнулся ESP, то ли какой то процесс. Но все нормализовалось в течение 5 минут без вмешательства.

Share this post


Link to post
Share on other sites

infery

а у нас обрыдался на второй день ;(

 

Izhevsk51# show log | i TCAM000578: Aug 23 09:01:09: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-class:232799399.3.  Use SW TCAM instead.000579: Aug 23 09:01:10: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-class:1127855349.3.  Use SW TCAM instead.000597: Aug 23 10:40:09: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1717468369.  Use SW TCAM instead.000598: Aug 23 10:45:48: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:2176292814.  Use SW TCAM instead.000599: Aug 23 10:46:42: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:147832863.  Use SW TCAM instead.000600: Aug 23 10:46:54: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:525750945.  Use SW TCAM instead.000601: Aug 23 10:47:19: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1786196579.  Use SW TCAM instead.000602: Aug 23 10:47:33: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:2288501193.  Use SW TCAM instead.000605: Aug 23 10:50:07: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1717468369.  Use SW TCAM instead.000606: Aug 23 10:51:49: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1775569998.  Use SW TCAM instead.000607: Aug 23 10:52:59: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:120120571.  Use SW TCAM instead.000608: Aug 23 10:58:34: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:915788806.  Use SW TCAM instead.000609: Aug 23 10:58:44: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:425590285.  Use SW TCAM instead.000610: Aug 23 10:58:51: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1775569998.  Use SW TCAM instead.000611: Aug 23 10:58:52: %CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp:  TCAM limit exceeded: HW TCAM cannot hold Class group ess-tc-cg:1020269051.  Use SW TCAM instead.

 

 

сперва кусками class-group перестали помещаться в TCAM, потом целиком уже пошло, и это всего 3500 сессий PPPoE (полисеров у нас конечно многовато)

Share this post


Link to post
Share on other sites

а вот и дескрипшен к сообщению на одном из цисколайв слайдов, мож кому пригодится

 

TCAM Issue
• Problem Description:
In ASR 1000 IPsec/FW/NAT deployment, user may see following message (post XE3.10):
%CPP_FM-3-CPP_FM_TCAM_WARNING: F0: cpp_sp: TCAM limit exceeded: HW TCAM cannot hold Class group ipsec-cg:135. Use SW TCAM
instead.
• Error Message Explanation:
1. ASR1000 uses SW TCAM when there is not enough free space in HW TCAM for
given policy.
2. SW TCAM is implemented in QFP DRAM.
3. There is some forwarding performance hit
• Typical Cause – deny entries in ACL, route-map
1. Classification engine in the TCAM can only represent permit.
2. System converts the DENY entries into PERMIT ones using cross product
3. This recursive nature cause the required number of entries to “explode
63 
BRKARC-2019 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
TCAM Issue – cont’d
• Is my policy run in HW TCAM or SW TCAM?
show platform hardware qfp active classification feature-manager class-group tcam <acl |
nat | ..> name <name of ACL/policy> brief
• Best Practices:
1. Modify the ACLs to use multiple specific permit statement, and try to reduce or
eliminate the explicit use of deny statement
2. Always there should be unused TCAM entries which are = or > the size of biggest ACL
on the router. 

Share this post


Link to post
Share on other sites

mikezzzz, может стоит IOS обновить хотя бы до asr1000rp1-adventerprise.03.13.01.S.154-3.S1-ext.bin?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this