Jump to content
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО.

Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp

Share this post


Link to post
Share on other sites

эм. а где в конфиге ip nat settings mode cgn и no ip nat settings support mapping outside?

Share this post


Link to post
Share on other sites

эм. а где в конфиге ip nat settings mode cgn и no ip nat settings support mapping outside?

эм... а с ip nat settings mode cgn во flow-export не льются трансляции. или это глюк иоса? тестировали на 3.16-какой-то - пришлось отключить mode cgn из-за этого.

и, ещё, если ничё не путаю, то был косячок с неработой pptp с mode cgn, несмотря на no ip nat service all-algs (тоже актуально для 3.16.хх) . есть смысл всё это включать обратно и проверять?

 

Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО.

Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp

не, нифига. проблема в том, что если с интернета заломиться на белый адрес такой трансляции, то на сером адресе появляется трафик. получается тупо двухсторонний нат.

Share this post


Link to post
Share on other sites

Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО.

Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp

не, нифига. проблема в том, что если с интернета заломиться на белый адрес такой трансляции, то на сером адресе появляется трафик. получается тупо двухсторонний нат.

 

Это понятно. Я объясняю, что такие трансляции появляются при нате чего-то отличного от TCP/UDP/ICMP. Избежать этого можно указывая конкретные протоколы в аксес-листе вместо тупо 'ip'.

Кроме TCP/UDP/ICMP по IP ходят еще несколько протоколов, например GRE, ESP, AH и т.д.

Проблема тут не в том что к абоненту летят "левые" пакеты, это его проблема, по большому счету, а в том, что занимается адрес из пула целиком на одного абонента.

Share this post


Link to post
Share on other sites

Вы похоже не ребутнули коробку после перехода на классический нат, иногда надо да. Проблемы с пптп я видел только с дропом на стороне nat outside трафика гре.. для белых адресов..

Share this post


Link to post
Share on other sites

итак... дорисовал

ip nat settings mode cgn

no ip nat settings support mapping outside

 

"двухсторонний" нат пропал, но, тут-же тикет прилетел, что eoip туннель у клиента поломался. у клиента белый айпишник. что нужно подправить?

Share this post


Link to post
Share on other sites

уберите у клиента ip nat inside, если у него сабинтерфейс и такая строка есть

Share this post


Link to post
Share on other sites

уберите у клиента ip nat inside, если у него сабинтерфейс и такая строка есть

мдя... а альтернативные варианты существуют?

ибо топология не позволяет - нижестоящая циска ipoe-шит и отдаёт на asr и серые и белые адреса в куче. соответственно, pbr на ней я сделать не могу, чтобы раздербанить серых и белых в разные сабы.

 

может, для решения моей задачи мне достаточно будет перевести нат обратно в дефолт и сделать no ip nat settings support mapping outside? или это команда только для cgn? или она вообще не для того, что я думаю? :)

Share this post


Link to post
Share on other sites

ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload

ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload

ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload

ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload

ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload

 

Покажи листы эти

Share this post


Link to post
Share on other sites

я тоже с таким сталкивался только на пптп. причем как показал эксперимент (я снимал нетфлоу).. дропается именно GRE трафик идущий от внешнего узла на стороне интерфейса с ip nat outside.

 

ip nat settings support mapping outside и cgn связаны.

 

в классик моде у вас должны быть все трансляции

udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368

tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443

такого вида..

Share this post


Link to post
Share on other sites

ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload

ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload

ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload

ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload

ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload

 

Покажи листы эти

 

ip access-list extended Nat-From-Cisco1

permit ip 10.1.0.0 0.0.255.255 any

permit ip 10.6.0.0 0.0.255.255 any

permit ip 10.16.0.0 0.0.255.255 any

permit ip 10.21.0.0 0.0.255.255 any

permit ip 10.26.0.0 0.0.255.255 any

permit ip 10.36.0.0 0.0.255.255 any

permit ip 10.41.0.0 0.0.255.255 any

permit ip 10.46.0.0 0.0.255.255 any

ip access-list extended Nat-From-Cisco2

permit ip 10.2.0.0 0.0.255.255 any

permit ip 10.7.0.0 0.0.255.255 any

permit ip 10.12.0.0 0.0.255.255 any

permit ip 10.17.0.0 0.0.255.255 any

permit ip 10.22.0.0 0.0.255.255 any

permit ip 10.27.0.0 0.0.255.255 any

permit ip 10.32.0.0 0.0.255.255 any

permit ip 10.37.0.0 0.0.255.255 any

permit ip 10.42.0.0 0.0.255.255 any

permit ip 10.47.0.0 0.0.255.255 any

 

ну и т.д.

 

я тоже с таким сталкивался только на пптп. причем как показал эксперимент (я снимал нетфлоу).. дропается именно GRE трафик идущий от внешнего узла на стороне интерфейса с ip nat outside.

 

ip nat settings support mapping outside и cgn связаны.

 

в классик моде у вас должны быть все трансляции

udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368

tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443

такого вида..

 

в классик моде всё так и есть, но, помимо этого есть трансляции с пустыми outside, что на практике выражается в пробросе всех портов "вовнутрь" сети. с этим и пытаюсь разобраться

Share this post


Link to post
Share on other sites

ip access-list extended Nat-From-Cisco1

permit ip 10.1.0.0 0.0.255.255 any

 

замени на

permit tcp 10.1.0.0 0.0.255.255 any

permit udp 10.1.0.0 0.0.255.255 any

permit icmp 10.1.0.0 0.0.255.255 any

Share this post


Link to post
Share on other sites

Может быть тут будет ответ:

show platform hardware qfp active feature alg statistics

show platform hardware qfp active feature alg ..

 

 

Вообще похоже на багу какую-то.. ибо у вас вроде все алг выключены..

Share this post


Link to post
Share on other sites

Может быть тут будет ответ:

show platform hardware qfp active feature alg statistics

show platform hardware qfp active feature alg ..

 

 

Вообще похоже на багу какую-то.. ибо у вас вроде все алг выключены..

ну, видимо баг общеизвестный :)

и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside

 

в общем, выключил cgn и поправил акцесс-листы (заменил ip на tcp/udp/icmp) - полёт пока нормальный: нетфлоу снимается, проц не грузится, проброса нет, тикеты не валятся :)

спасибо всем :)

Share this post


Link to post
Share on other sites

Добрый день. Была та же проблема pap использовал ~ 20 адресов, остальные 108 адреса (пул щас /25) шли 1-to-1, и ASR в логгах писал "Address allocation failed; pool 1 may be exhausted". В acl заменил ip на tcp/udp/icmp. Щас все отлично. show ip nat statistics показывает allocated столько, сколько использует pap. Выражаю огромную благодарность господину ShyLion.

 

boot system flash bootflash:asr1000rp2-advipservicesk9.03.16.05.S.155-3.S5-ext.bin

ip access-list extended list-CGNAT
permit tcp 100.64.0.0 0.63.255.255 any
permit udp 100.64.0.0 0.63.255.255 any
permit icmp 100.64.0.0 0.63.255.255 any

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60 
ip nat log translations flow-export v9 udp destination xx5.5x.6x.42 9001
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries 2000000
ip nat translation max-entries all-host 2048
ip nat pool CGNAT xx5.5x.6x.0 xx5.5x.6x.127 netmask 255.255.255.128
ip nat inside source list list-CGNAT pool CGNAT overload



ASR1006#show platform hardware qfp active feature nat datapath pap laddrpergaddr
gaddr xx5.5x.6x.12 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.13 vrf 0 laddr-per-gaddr 36 mapid 1
gaddr xx5.5x.6x.18 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.20 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.29 vrf 0 laddr-per-gaddr 47 mapid 1
gaddr xx5.5x.6x.34 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.35 vrf 0 laddr-per-gaddr 47 mapid 1
gaddr xx5.5x.6x.36 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.42 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.47 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.52 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.57 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.58 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.60 vrf 0 laddr-per-gaddr 59 mapid 1
gaddr xx5.5x.6x.70 vrf 0 laddr-per-gaddr 59 mapid 1
gaddr xx5.5x.6x.71 vrf 0 laddr-per-gaddr 59 mapid 1


ASR1006#show ip nat statistics
Total active translations: 55514 (0 static, 55514 dynamic; 55493 extended)
Outside interfaces:
 TenGigabitEthernet0/0/0.2, TenGigabitEthernet0/0/0.7, GigabitEthernet0/1/0
 TenGigabitEthernet1/0/0.1000
Inside interfaces: 
 TenGigabitEthernet2/0/0.911, TenGigabitEthernet2/0/0.2000
Hits: 208316026  Misses: 835937
Expired translations: 770794
Dynamic mappings:
-- Inside Source
[id: 1] access-list list-CGNAT pool CGNAT refcount 55513
pool CGNAT: id 1, netmask 255.255.255.128
start xx5.5x.6x.0 end xx5.5x.6x.127
type generic, total addresses 128, allocated 16 (12%), misses 0
nat-limit statistics:
max entry: max allowed 2000000, used 55513, missed 0
All Host Max allowed: 2048
In-to-out drops: 5678  Out-to-in drops: 57
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

Share this post


Link to post
Share on other sites

ну, видимо баг общеизвестный :)

и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside

 

Правильно я понимаю, что это эта бага CSCuz93698 ?

 

Коллеги, поделитесь если есть asr1000rp2-advipservicesk9.03.16.04b.S.155-3.S4b-ext.bin, как я понимаю в нем эта бага пофикшена.

Share this post


Link to post
Share on other sites

У нас проблема с pptp и `nat inside`-интерфейсами сохраняется даже с отключенными alg полностью. На апстрим ноде перед asr сделали pbr, который трафик для паблик адресов уводит на nh, для которого нет ip nat inside на asr.

Share this post


Link to post
Share on other sites

ну, видимо баг общеизвестный :)

и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside

 

Правильно я понимаю, что это эта бага CSCuz93698 ?

 

Коллеги, поделитесь если есть asr1000rp2-advipservicesk9.03.16.04b.S.155-3.S4b-ext.bin, как я понимаю в нем эта бага пофикшена.

найдете - поделитесь плз.

Share this post


Link to post
Share on other sites

Накатил asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin

Проблем с туннелями и mode cgn не выявлено, абоны которые жаловались до этого подтвердили, что все ок.

 

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries all-host 2000
no ip nat service all-algs

 

У нас ASR1004-RP2-ESP20 7000 pppoe/1000 l2tp сессий, 6 гигабит полосы в чнн,

проблем за 2 дня нет, но натим пока только отключенных абонов с доступом к платежным системам,

их мало, около 200 pppoe сессий и до 5k трансляций.

Как будет работать с большим количеством ната незнаю, буду переводить постепенно.

 

 

найдете - поделитесь плз.

 

брал тут http://sfree.ws/files/asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin имейте ввиду, что там не много поменялся синтаксис команд radius server host.

https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/200403-AAA-Server-Priority-explained-with-new-R.html

Share this post


Link to post
Share on other sites

Накатил asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin

Проблем с туннелями и mode cgn не выявлено, абоны которые жаловались до этого подтвердили, что все ок.

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 60

ip nat translation timeout 3600

ip nat translation tcp-timeout 3600

ip nat translation pptp-timeout 3600

ip nat translation udp-timeout 60

ip nat translation icmp-timeout 30

ip nat translation max-entries all-host 2000

no ip nat service all-algs

 

У нас ASR1004-RP2-ESP20 7000 pppoe/1000 l2tp сессий, 6 гигабит полосы в чнн,

проблем за 2 дня нет, но натим пока только отключенных абонов с доступом к платежным системам,

их мало, около 200 pppoe сессий и до 5k трансляций.

Как будет работать с большим количеством ната незнаю, буду переводить постепенно.

 

 

найдете - поделитесь плз.

 

брал тут http://sfree.ws/files/asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin имейте ввиду, что там не много поменялся синтаксис команд radius server host.

https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/200403-AAA-Server-Priority-explained-with-new-R.html

спасибо, качнул себе чтоб был

Share this post


Link to post
Share on other sites

апну тему

коллеги, такой вопрос

имеем asr1001-x 

asr1001x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin

около 6000 рррое сессий без isg, только шейп скорости через  avpair

около 400k трансляций в ЧНН

два пула по /24

юзеры натятся в оба пула примерно поровну

заметил вчера, что юзеры из пул2 имеют проблемы с доступом в инет, это выражается в постепенном увеличением пинга, величина пинга росла по мере увеличения транляций

при этом юзеры из пула1 такой проблемы не испытавали, проверил переключением тестовой машины из пула в пул

без pppoe через тот же маршрутизатор тоже все ОК

по процу 14% в пике

вопрос, что это? как будто упираемся в какой-то лимит на ASR?

к сожалению повторить проблему не получится, пришлось переносить часть абонов на другую asr

 

добавлю, что кроме pppoe на железке около 100 ip unnambered интерфейсов и BGP ))

трафику 6,5 Гбит/с in+out
вообще получился хороший повод проверить как 1001-x может все сразу и много, до определенного времени все работало норм

Edited by kartashevav
добавил инфу

Share this post


Link to post
Share on other sites

коллеги, дело было не в бобине

проблема в аплинке, через который аонсились юзеры из пул2

Share this post


Link to post
Share on other sites

Коллеги, прошу подсказать, какой софт показал себя более стабильным и без багов для ASR1004 (RP2) на данный момент?

 

На древнем софте 15.4(3)S1 после нескольких лет стабильности столкнулись с:

- не работающим  ip nat translation max-entries all-host;

- %NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed;
- дропы GRE;

- crash с падением Etherchannel после clear транслиций %CPPDRV-3-LOCKDOWN: F0: cpp_cp:  QFP0.0 CPP Driver LOCKDOWN encountered due to previous fatal error (HW: QFP interrupt).

Edited by alexdirty

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this