Jump to content
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

Всем привет!

Продолжу тему ната.

А как там с количество nat трансляций на asr-1001x, сколько максимально возможно ?

И еще есть вопрос по работе ната , на ericson есть команда exclude well-known которая исключает из работы ната порты до 1024, ну то есть на белых адресах которые используются для ната исключаются из работы эти порты.

Как с этим на цисках, никто не знает?

Share this post


Link to post
Share on other sites

Отвечу сам себе, настроил Nat

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60 
ip nat translation timeout 300
ip nat translation tcp-timeout 1800
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 10
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation port-timeout tcp 80 360
ip nat translation port-timeout tcp 8080 360
ip nat translation port-timeout tcp 1600 180
ip nat translation port-timeout tcp 110 180
ip nat translation port-timeout tcp 25 180
ip nat translation max-entries all-host 2000
ip nat pool NAT_POOL_180.10.42 180.10.42.0 180.10.42.254 netmask 255.255.255.0
ip nat inside source list ACL_NAT_180.10.42 pool NAT_POOL_180.10.42 overload
ip forward-protocol nd

Циска умная, сама исключает порты до 1024:

Router#sh ip nat translations 
Pro  Inside global         Inside local          Outside local         Outside global
tcp  180.10.42.0:1050    10.90.0.33:61737      ---                   ---
tcp  180.10.42.0:1027    10.90.0.33:61712      ---                   ---
tcp  180.10.42.0:1029    10.90.0.33:62011      ---                   ---
tcp  180.10.42.0:1045    10.90.0.33:61770      ---                   ---
tcp  180.10.42.0:1036    10.90.0.33:62013      ---                   ---
tcp  180.10.42.0:1049    10.90.0.33:61846      ---                   ---
tcp  180.10.42.0:1033    10.90.0.33:61692      ---                   ---
tcp  180.10.42.0:1046    10.90.0.33:61772      ---                   ---
tcp  180.10.42.0:1039    10.90.0.33:61721      ---                   ---
tcp  180.10.42.0:1048    10.90.0.33:61960      ---                   ---
tcp  180.10.42.0:1032    10.90.0.33:61691      ---                   ---
tcp  180.10.42.0:1025    10.90.0.33:61680      ---                   ---
tcp  180.10.42.0:1041    10.90.0.33:62014      ---                   ---
tcp  180.10.42.0:1031    10.90.0.33:61671      ---                   ---
icmp 180.10.42.0:1       10.90.0.33:18         ---                   ---
tcp  180.10.42.0:1051    10.90.0.33:61777      ---                   ---
tcp  180.10.42.0:1035    10.90.0.33:61696      ---                   ---
tcp  180.10.42.0:1026    10.90.0.33:61668      ---                   ---
tcp  180.10.42.0:1042    10.90.0.33:61905      ---                   ---
tcp  180.10.42.0:1028    10.90.0.33:62010      ---                   ---
tcp  180.10.42.0:1037    10.90.0.33:61784      ---                   ---

Share this post


Link to post
Share on other sites

Вычитал в документации про нат , меня интересует про cg-nat - 200000 сессий, это тоже самое что и трансляции?

Security Up to: ● IPsec: 8,000 tunnels ● Firewall: 2,000,000 sessions ● NAT: 2,000,000 sessions ● Carrier-Grade NAT: 2,00,000 sessions ● Firewall and NAT: 2,000,000 sessions

Share this post


Link to post
Share on other sites

Там как минимум опечатка в порядке (2M вместо 200k) - даже на стартовых asr1001x до 2M (правда с пометкой, что требуется активация соответствующей лицензии, которая нынче RTU).

это тоже самое что и трансляции?

Стоит почитать технологические особенности CGN. Скажем так, его не зря иначе называют LSN (Large Scale NAT).

Share this post


Link to post
Share on other sites

забавно.. обычно в CGN они писали про х 2 в отличии от классического.

Share this post


Link to post
Share on other sites

обычно в CGN они писали про х 2 в отличии от классического.

В доке по ссылке двумя постами выше все так и есть, за исключением самой младшей модели ASR.

Share this post


Link to post
Share on other sites

Про cg-nat знаем, просто меня цифры удивили))

Share this post


Link to post
Share on other sites

Здравствуйте, прошу совета.

 

Есть в наличии два asr1002rp1, используются в качестве терминации PPPoE + CGNAT(overload), проблема заключается в том, что сейчас стоит asr1000rp1-advipservices.03.07.05.S.152-4.S5.bin, который имеет проблему с утечкой памяти в QFP при работе NAT. Приходится грузить через каждые 1-2 месяца.

Пытались перейти на более свежие версии (в том числе на последнюю рекомендованную asr1000rp1-advipservices.03.16.01a.S.155-3.S1a-ext.bin), но неизбежно натыкались на грабли - у пользователей, которые внутри PPPoE поднимают свои туннели, например PPTP, эти сервисы напрочь отказываются работать. При этом не важно за NAT'ом или нет сидят клиенты.

Из опробованных нами, только эта версия ИОСа корректно работает с этими сервисами.

Есть ли в природе версия IOS'а, отличная от нашей, на которой внутри PPPoE нормально работают такие сервисы как PPTP?

Share this post


Link to post
Share on other sites

Затрудняюсь сказать, т.к. на меня эту проблему свалили буквально вчера - товарищ, который админит эти железки в отпуске и с ним нет связи.Сейчас секция NAT выглядит примерно так:

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat translation timeout 120
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 60
ip nat translation max-entries 1000000
ip nat translation max-entries all-host 1000
ip nat inside source list 1 interface Loopback1 overload
ip nat inside source list 2 interface Loopback2 overload
ip nat inside source list 3 interface Loopback3 overload
ip nat inside source list 4 interface Loopback4 overload
ip nat inside source list 5 interface Loopback5 overload
ip nat inside source list 6 interface Loopback6 overload
ip nat inside source list 7 interface Loopback7 overload
ip nat inside source list 8 interface Loopback8 overload
ip forward-protocol nd
!

 

Железка начинает умирать так:

Dec 15 13:55:09.382: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha:  QFP 0 DRAM resource low - 97 percent depleted
Dec 15 14:43:58.447: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha:  QFP 0 DRAM resource low - 98 percent depleted
Dec 15 15:28:51.342: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha:  QFP 0 IRAM resource low - 97 percent depleted
Dec 15 15:30:45.372: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha:  QFP 0 DRAM resource low - 99 percent depleted
Dec 16 06:25:33.274: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha:  QFP 0 IRAM resource low - 98 percent depleted
Dec 16 10:12:55.769: %QFPOOR-4-LOWRSRC_PERCENT: F0: cpp_ha:  QFP 0 IRAM resource low - 99 percent depleted
Dec 16 11:10:34.459: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp:  cpp_cp encountered an error -Traceback= 1#a02fe41959962bc73fb1cfe3492d20f4   errmsg:CD55000+2250 cpp_common_os:D3C1000+BBC0 cpp_common_os:D3C1000+B9D0 cpp_common_os:D3C1000+18EBC cpp_alg_svr_lib:DA4E000+4BB0 cpp_alg_svr_lib:DA4E000+8BF4 cpp_dmap:E35B000+35394 cpp_dmap:E35B000+3CA54 cpp_common_os:D3C1000+10AA4 cpp_common_os:D3C1000+110DC evlib:D124000+E0EC evlib:D124000+104D4 cpp_common_os:D3C1000+127F8 :10000000+45A0 c:A919000+1E938 c:A919000+1EAE0
Dec 16 11:16:28.826: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:023 TS:00001682379000270646 %FTP_ALG-3-L7_DATA_CREATE_ERROR:  -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1
Dec 16 11:16:34.194: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:146 TS:00001682384368197840 %RCMD_ALG-3-L7_DATA_CREATE_ERROR:  -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 802fd4d4 801d8406 801d8caa 801d9662 801e44d1 801e50cc
Dec 16 11:16:35.837: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:014 TS:00001682386011097670 %FTP_ALG-3-L7_DATA_CREATE_ERROR:  -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1
Dec 16 11:16:43.564: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:110 TS:00001682393737754674 %FTP_ALG-3-L7_DATA_CREATE_ERROR:  -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1
Dec 16 11:16:53.638: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:067 TS:00001682403810977254 %FTP_ALG-3-L7_DATA_CREATE_ERROR:  -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8032849c 8032879d 801d8406 801d8caa 801d9662 801e44d1
Dec 16 11:48:54.645: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:059 TS:00001684324798681394 %SIP_ALG-3-L7_DATA_CREATE_ERROR:  -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 8030d120 8030eda8 801d8406 801d8f09 801d9698 801e44d1
Dec 16 12:08:43.786: %IOSXE-3-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:039 TS:00001685513928773636 %RCMD_ALG-3-L7_DATA_CREATE_ERROR:  -Traceback=1#bcb8526595b3ad2e1655307356fc94a6 804e63af 8053dda6 802fd4d4 801d8406 801d8caa 801d9662 801e44d1 801e5121

Share this post


Link to post
Share on other sites

JohnnyL

На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому:

no ip nat service ftp и настанет счастье

Share this post


Link to post
Share on other sites

JohnnyL

На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому:

no ip nat service ftp и настанет счастье

Т.е., насколько я понял, в природе нет IOS'а с нормально работающим ALG в режиме nat overload?

Share this post


Link to post
Share on other sites

JohnnyL

На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому:

no ip nat service ftp и настанет счастье

Т.е., насколько я понял, в природе нет IOS'а с нормально работающим ALG в режиме nat overload?

 

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat inside source list nat pool nat_pool overload

 

Cisco IOS XE Software, Version 03.13.02.S - Extended Support Release

 

600 абонентов, никто не жаловался на нат.

Share this post


Link to post
Share on other sites

А возможно ли использование одновременно и серых адресов за НАТом и белых для части абонов без НАТа на одном устройстве и каким образом это достигается?

Абоненты цепляются по PPPoE

Edited by Sacrament

Share this post


Link to post
Share on other sites

А возможно ли использование одновременно и серых адресов за НАТом и белых для части абонов без НАТа на одном устройстве и каким образом это достигается?

Абоненты цепляются по PPPoE

 

для ната указывается аксес лист, в котором и перечисляется, какие соединения натить, а какие нет. мало кто (я думаю) пишет там "any any".

то, что на интерфейсе стоит ip nat inside еще не означает, что натится будет все подряд

Edited by ShyLion

Share this post


Link to post
Share on other sites

 

 

Cisco IOS XE Software, Version 03.13.02.S - Extended Support Release

 

600 абонентов, никто не жаловался на нат.

 

даже на pptp && ppoe?

 

JohnnyL

На cisco asr1k постоянно какой-то гемор с ALG-ами, индусы не осиливают l7, поэтому:

no ip nat service ftp и настанет счастье

Т.е., насколько я понял, в природе нет IOS'а с нормально работающим ALG в режиме nat overload?

 

я видел только на ASA

Share this post


Link to post
Share on other sites

даже на pptp && ppoe?

 

99% абонентов PPPoE.

PPTP не используем.

Share this post


Link to post
Share on other sites

а туннели в мир у клиентов нормально натятся? юрики не жалуются?

Share this post


Link to post
Share on other sites

а туннели в мир у клиентов нормально натятся? юрики не жалуются?

 

Вот это самый интересный вопрос.

Share this post


Link to post
Share on other sites

Никто не жалуется. Я лично проверял, все работает как надо.

600 абонентов, конечно, не 6000, может еще все траблы впереди. покачто полет нормальный.

Share this post


Link to post
Share on other sites

ShyLion. Спасибо, попробуем. Отпишусь, но скорее всего после праздников.

Share this post


Link to post
Share on other sites

Приветствую, коллеги!

 

Есть вопрос про PPTP через NAT. Если верить описанию ALG, то они не работают с CGN:

 

Restrictions for PPTP Port Address Translation

 

The Point-to-Point Tunneling Protocol (PPTP) application

layer gateway (ALG) does not support virtual TCP (vTCP)

and TCP segments.

 

The PPTP ALG will not work in Carrier Grade Network Address

Translation (NAT) mode, when the NAT client and server use

the same call ID.

 

Поэтому сразу:

 

no ip nat service all-algs

 

Без этого все вообще грустно.

 

А абонентам нужно пользоваться PPTP (не смотри, что уже и сма Microsoft твердит, что протоколу давно пора на свалку истории). Естественно в режиме overload-NAT PPTP работает не очень, т.к. периодически управляющая TCP-сессия на порт 1723 транслируется в один "белый" адрес, а GRE-туннель в другой. Как решение, пробую выделить этот трафик (TCP/1723 и GRE) в отдельный NAT без overload. Выделяю "белых" адресов под это дело побольше (в моем случае 1024).

 

Пока не весь пул утилизирован - все хорошо. PPTP поднимается. Весь остальной трафик идет через oveload-NAT. Что бы сессии не висели вечно ставлю тайм-аут в 8 минут.

 

Вот тут и возникает проблема, которая, как я понял, в следующем "белые" адреса регулярно сканируются извне (раз в 1.5-2 минуты прилетает) различными искателями открытых уязвимостей. Получается что на любой адрес периодически прилетает пакет (порт не важен, так как трансляция не overloaded). Периодичность эта меньше, чем таймаут NAT-трансляции (стандартный keepalive interval для PPTP 60 секунд, таймаут 60*3=180 секунд).

 

Получается что трансляция сама не умирает, адрес не высвобождается. Через какой-то время пул исчерпывается и новые сессии PPTP у абонентов перестают работать. За этим NAT-ом находятся абоненты с динамическими серыми адресами с таймаутом PPPoE 24 часа. Т.е. трафик "снизу" для трансляции точно прекращается максимум через сутки. При этом на ASR есть трансляции по несколько дней.

 

Кто нибудь знает, как такое побороть можно?

 

Заранее спасибо!

Share this post


Link to post
Share on other sites

На 3.13.4 с такой конфигой PPTP не заводилось у абонентов, включение и отклюение pptp alg не помогло. Откатились на 3.10.5 и все заработало.

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap
ip nat log translations flow-export v9 udp destination x.x.x.x xxxx source Loopback249
ip nat translation timeout 300
ip nat translation tcp-timeout 1800
ip nat translation pptp-timeout 1800
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 10
ip nat translation syn-timeout 10
ip nat translation dns-timeout 10
ip nat translation icmp-timeout 10
ip nat translation max-entries 250000
ip nat translation max-entries all-host 500
ip nat pool NAT1 x.x.x.x x.x.x.x netmask x.x.x.x
ip nat pool NAT2 x.x.x.x x.x.x.x netmask x.x.x.x
ip nat pool NAT3 x.x.x.x x.x.x.x netmask x.x.x.x
ip nat pool NAT4 x.x.x.x x.x.x.x netmask x.x.x.x
ip nat pool NAT5 x.x.x.x x.x.x.x netmask x.x.x.x
ip nat pool NAT6 x.x.x.x x.x.x.x netmask x.x.x.x
ip nat inside source list NAT1 pool NAT1 overload
ip nat inside source list NAT2 pool NAT2 overload
ip nat inside source list NAT3 pool NAT3 overload
ip nat inside source list NAT4 pool NAT4 overload
ip nat inside source list NAT5 pool NAT5 overload

 

Кстати, поделитесь пожалуйста у кого есть следующим:

asr1001-universalk9.03.16.02.S.155-3.S2-ext.bin

asr1001-universalk9.03.13.05.S.154-3.S5-ext.bin

Share this post


Link to post
Share on other sites

Нет ни у кого свежих прошивок?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this