Jump to content
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

Нет ни у кого свежих прошивок?

Пока что нету. Есть старые, на которых работаем.

System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin"

Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску.

Share this post


Link to post
Share on other sites

Нет ни у кого свежих прошивок?

Пока что нету. Есть старые, на которых работаем.

System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin"

Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску.

 

А как нат настроен?

Share this post


Link to post
Share on other sites

Нет ни у кого свежих прошивок?

Пока что нету. Есть старые, на которых работаем.

System image file is "bootflash:/asr1002x-universalk9.03.13.01.S.154-3.S1-ext.SPA.bin"

Пока не жалуемся, правда раз в 2 месяца с 1100+ юзверями и 128 адресами в пуле наружу приходится в 5.30 все-таки перегружать циску.

asr1002x-universalk9.03.13.02.S.154-3.S2-ext.SPA.bin

аптайм был больше года, на днях выключали чтобы вторую 10Г плату всунуть. 1К абонентов, пул такой-же.

 

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat log translations flow-export v9 udp destination x.x.x.8 8889 source Loopback0
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat pool nat_pool x.x.x.65 x.x.x.191 netmask 255.255.255.0
ip nat inside source list nat pool nat_pool overload
ip access-list extended nat
deny   ip any host x.x.x.4
deny   ip host x.x.x.4 any
deny   ip any host x.x.x.13
deny   ip host x.x.x.13 any
deny   ip any host x.x.x.90
deny   ip host x.x.x.90 any
deny   ip any host x.x.x.18
deny   ip any host x.x.x.3
deny   ip any host x.x.x.1
deny   ip any 100.64.0.0 0.63.255.255
deny   ip any 10.0.0.0 0.255.255.255
deny   ip any 172.16.0.0 0.15.255.255
deny   ip any 192.168.0.0 0.0.255.255
deny   ip any 169.254.0.0 0.0.255.255
permit ip 100.64.0.0 0.63.255.255 any
permit tcp 100.64.0.0 0.63.255.255 any
permit udp 100.64.0.0 0.63.255.255 any
permit icmp 100.64.0.0 0.63.255.255 any

Share this post


Link to post
Share on other sites

А как можно через SNMP мониторить количество PAT трансляций? А то я нашел оид для этого, а он 0 возвращает. :(

Share this post


Link to post
Share on other sites

А как можно через SNMP мониторить количество PAT трансляций? А то я нашел оид для этого, а он 0 возвращает. :(

 

в 3.13 никак. возможно позднее допилили.

Share this post


Link to post
Share on other sites

может кому пригодится ASR1001-X Version 03.16.02

oid для мониторинга трансляций 1.3.6.1.2.1.123.1.7.0

Share this post


Link to post
Share on other sites

ребят, подскажите, у кого нормально работает cgn + pap с примерно таким конфигом:

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60
ip nat translation timeout 60
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 60
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 60
ip nat translation dns-timeout 5
ip nat translation icmp-timeout 5
ip nat translation max-entries 512000
ip nat translation max-entries all-host 500
ip nat pool NAT X.X.X.0 X.X.X.31 prefix-length 27
ip nat inside source list NAT pool NAT overload

 

asr1001-universalk9.03.13.01.S.154-3.S1-ext.bin.

sh ip nat limits all-host показывает не всех абонентов, видимо и лимитирует не всех - отсюда забивается пул внешних.

подскажите, есть ли рабочий иос, сегодня пробовал asr1001-universalk9.03.16.03.S.155-3.S3-ext.bin, 2 ребута и отвалы сервисов. пизда огорчение.

Share this post


Link to post
Share on other sites

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 30
ip nat log translations flow-export v9 udp destination a.a.a.8 8889 source Loopback0
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries all-host 2000
no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060
ip nat pool nat_pool a.a.a.65 a.a.a.191 netmask 255.255.255.0
ip nat inside source list nat pool nat_pool overload

 

Total number of limit entries: 466

 

Это при 1200 pppoe сеансах.

Ну не обязательно же все прямо сейчас че-то качают.

 

asr1002x-universalk9.03.13.02.S.154-3.S2-ext.SPA.bin

 

Для 1001 есть asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin

Edited by ShyLion

Share this post


Link to post
Share on other sites

ShyLion, да доступно много вариантов. только вот нет желания эксперементировать на продакшне. другой вопрос - может ли быть в роммоне дело? стоит 15.0(1r)S, на asr1000-rommon.163-2r.pkg обновиться не захотел, гад.

Share this post


Link to post
Share on other sites

ShyLion, да доступно много вариантов. только вот нет желания эксперементировать на продакшне. другой вопрос - может ли быть в роммоне дело? стоит 15.0(1r)S, на asr1000-rommon.163-2r.pkg обновиться не захотел, гад.

 

asr-1001-620#show rom-monitor r0

System Bootstrap, Version 15.2(1r)S, RELEASE SOFTWARE
Copyright (c) 1994-2011 by cisco Systems, Inc.

 

asr-1001-620 uptime is 3 weeks, 3 days, 22 hours, 46 minutes
Uptime for this control processor is 3 weeks, 3 days, 22 hours, 47 minutes
System returned to ROM by reload at 15:13:13 TMN Tue Jan 31 2017
System restarted at 15:16:00 TMN Tue Jan 31 2017
System image file is "bootflash:asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin"

 

IOS вроде достаточо зрелый этот.

Share this post


Link to post
Share on other sites

Не про NAT, просто хочу оставить комментарий по используемым IOS'ам.

ASR1013 (L2TP тянет около 16K сессий) - методом проб и ошибок остановились на версии: asr1000rp2-advipservicesk9.03.07.06.S.152-4.S6.bin

А вот на ASR1002-x обновили IOS чтобы запилить ISG, IPv6 и другие новые плюшки.

Так вот на 1002-x последний раз пробовал:

asr1002x-universalk9.03.13.04.S.154-3.S4-ext.SPA.bin

Результат: на 6K сессий растет CPU и очень медленно снижается, есть подозрение что в пике просто ушел в себя и помогла перезагрузка и снятие нагрузки.

Сейчас залил asr1002x-universalk9.03.13.06a.S.154-3.S6a-ext.SPA.bin - Нагрузку давать уже опасаюсь, нужно выждать время чтобы опять подать нагрузку и проверить.

Может есть у кого опыт использования последнего указанного IOS?

Интересует подаваемая нагрузка, возможно подскажете стабильный IOS из последних.

Share this post


Link to post
Share on other sites

asr1002x-universalk9.03.13.06a.S.154-3.S6a-ext.SPA.bin - MD, теоретически менее бажный чем 16 ветка. тоже залил, буду пробовать на следующих выходных

Share this post


Link to post
Share on other sites

может кому пригодится ASR1001-X Version 03.16.02

oid для мониторинга трансляций 1.3.6.1.2.1.123.1.7.0

спасибо, на asr1001 тоже сработало.

 

далее, по иосам.

вообще, проблема с 03.13.01 в том, что нат вроде и работает, но команда

ip nat translation max-entries all-host <value>

применяется, но видимо не ко всем хостам (в выводе

show ip nat limits all-host

записей явно меньше, чем серых хостов)

так как pap влюкчен, качки забивают внешний пул, приходится чистить руками.

в этом плане о

asr1001-universalk9.03.13.06a.S.154-3.S6a-ext.bin

не могу сказать ничего хорошего или плохого, изменений не заметил.

нашёл последний MD -

asr1001-universalk9.03.16.04b.S.155-3.S4b-ext.bin

во-первых работает, arp не отваливается (это был вообще пиздец) как на

asr1001-universalk9.03.16.03.S.155-3.S3-ext.bin

(тут)

во-вторых, в таблице с лимитами стало явно больше хостов, но пока выходные, картина не до конца понятная, однако динамика радует.

если нужен 03.16.04b, могу поделиться.

Share this post


Link to post
Share on other sites

никогда этого не было и вот опять.

asr1001-universalk9.03.16.04b.S.155-3.S4b-ext.bin

ребутается, блядина, сам по себе.

Last reload reason: critical process fault, fman_fp_image, fp_0_0, rc=134

Share this post


Link to post
Share on other sites

нат так и не выпрямили, по сравнению с 3.13.01 cgn+pap так же натит не всем хостам обрезая соединения.

Share this post


Link to post
Share on other sites

у кого може завалялось:

asr1002x-universalk9.03.16.05.S.155-3.S5-ext.SPA.bin

asr1002x-universalk9.03.13.06a.S.154-3.S6a-ext.SPA.bin

?

Edited by alexapu

Share this post


Link to post
Share on other sites

и что, нат на ASR1001 до сих пор в жопошном состоянии?

Share this post


Link to post
Share on other sites

нат так и не выпрямили, по сравнению с 3.13.01 cgn+pap так же натит не всем хостам обрезая соединения.

А что значит обрезая соединения? В чем суть? Какие симптомы ожидать если включить?

Share this post


Link to post
Share on other sites

заявлен функционал ограничения максимального количества трансляций для определенного хоста через ip nat translations max entries all-host <value>. по факту на 13 ветке ведет себя неадекватно - хостов может быть 500, а ограничиваются трансляции только 200 из них. на 16 работает ровно, но неадекватит уже сам роутер - перестает работать arp, самопроизвольно ребутается. причем на релизе MD.

 

если не включить - клиенты могут наглухо забить внешний пул торрентами/вируснёй. что будет если включить догадайтесь сами.

Share this post


Link to post
Share on other sites

а у меня очередной "хелп плиз" :)

 

boot system flash bootflash:/asr1000rp1-adventerprisek9.03.13.06.S.154-3.S6-ext.bin

 

ip nat settings pap

ip nat translation timeout 300

ip nat translation tcp-timeout 1800

ip nat translation pptp-timeout 1800

ip nat translation udp-timeout 60

ip nat translation finrst-timeout 10

ip nat translation syn-timeout 10

ip nat translation dns-timeout 10

ip nat translation icmp-timeout 10

ip nat translation port-timeout tcp 80 360

ip nat translation port-timeout tcp 8080 360

ip nat translation port-timeout tcp 1600 180

ip nat translation port-timeout tcp 110 180

ip nat translation port-timeout tcp 25 180

ip nat translation max-entries all-host 2000

no ip nat service all-algs

ip nat pool Pool-For-Cisco1 xxx.xxx.xxx.96 xxx.xxx.xxx.111 netmask 255.255.255.0

ip nat pool Pool-For-Cisco2 xxx.xxx.xxx.112 xxx.xxx.xxx.127 netmask 255.255.255.0

ip nat pool Pool-For-Cisco3 xxx.xxx.xxx.128 xxx.xxx.xxx.143 netmask 255.255.255.0

ip nat pool Pool-For-Cisco4 xxx.xxx.xxx.144 xxx.xxx.xxx.159 netmask 255.255.255.0

ip nat pool Pool-For-Cisco5 xxx.xxx.xxx.160 xxx.xxx.xxx.175 netmask 255.255.255.0

ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload

ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload

ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload

ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload

ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload

 

 

в show ip nat tra почему-то появляются "PAT"-трансляции - юзер внутри сети фиксирует незапрашиваемый трафик из интернета.

из пары тысяч серых айпишников это наблюдается на 5-20 серых адресах. в большинстве случаев, серые адреса как-то одни и те-же. что это может быть, и как это полечить? если такие трансляции прибить, они появляются опять.

выглядит это так.. у таких трансляций отсутствует протокол, и outside-адреса.

 

Pro Inside global Inside local Outside local Outside global

--- xxx.xxx.xxx.122 10.27.192.145 --- ---

--- xxx.xxx.xxx.162 10.5.104.51 --- ---

--- xxx.xxx.xxx.124 10.32.142.35 --- ---

--- xxx.xxx.xxx.170 10.35.127.161 --- ---

--- xxx.xxx.xxx.163 10.5.119.153 --- ---

--- xxx.xxx.xxx.123 10.22.110.111 --- ---

--- xxx.xxx.xxx.114 10.7.101.77 --- ---

--- xxx.xxx.xxx.137 10.13.112.179 --- ---

--- xxx.xxx.xxx.121 10.7.105.72 --- ---

--- xxx.xxx.xxx.167 10.5.102.231 --- ---

udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368

udp xxx.xxx.xxx.147:12960 10.14.102.72:49001 129.208.85.152:22433 129.208.85.152:22433

udp xxx.xxx.xxx.118:46328 10.22.112.58:6881 188.162.84.46:1 188.162.84.46:1

udp xxx.xxx.xxx.80:1045 192.168.168.232:33336 46.0.144.26:16881 46.0.144.26:16881

tcp xxx.xxx.xxx.117:45184 10.7.104.84:43825 173.194.122.244:443 173.194.122.244:443

tcp xxx.xxx.xxx.130:37736 10.13.119.194:47993 64.233.163.132:443 64.233.163.132:443

tcp xxx.xxx.xxx.96:1864 10.16.104.201:57949 209.85.233.95:443 209.85.233.95:443

tcp xxx.xxx.xxx.113:31170 10.7.103.17:53253 217.20.156.132:443 217.20.156.132:443

udp xxx.xxx.xxx.117:5158 10.22.109.31:34304 194.28.91.29:48167 194.28.91.29:48167

tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443

..ну и ещё тыщ сто неинтересных записей :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this