Jump to content
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО.

Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp

Share this post


Link to post
Share on other sites

эм. а где в конфиге ip nat settings mode cgn и no ip nat settings support mapping outside?

Share this post


Link to post
Share on other sites

эм. а где в конфиге ip nat settings mode cgn и no ip nat settings support mapping outside?

эм... а с ip nat settings mode cgn во flow-export не льются трансляции. или это глюк иоса? тестировали на 3.16-какой-то - пришлось отключить mode cgn из-за этого.

и, ещё, если ничё не путаю, то был косячок с неработой pptp с mode cgn, несмотря на no ip nat service all-algs (тоже актуально для 3.16.хх) . есть смысл всё это включать обратно и проверять?

 

Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО.

Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp

не, нифига. проблема в том, что если с интернета заломиться на белый адрес такой трансляции, то на сером адресе появляется трафик. получается тупо двухсторонний нат.

Share this post


Link to post
Share on other sites

Натится непонятный протокол, отличный от TCP/UDP/ICMP, поэтому добавляются такие трансляции ИМХО.

Я "лечил" такое тем, что в аксес листе писал не ip ..., а tcp/udp/icmp

не, нифига. проблема в том, что если с интернета заломиться на белый адрес такой трансляции, то на сером адресе появляется трафик. получается тупо двухсторонний нат.

 

Это понятно. Я объясняю, что такие трансляции появляются при нате чего-то отличного от TCP/UDP/ICMP. Избежать этого можно указывая конкретные протоколы в аксес-листе вместо тупо 'ip'.

Кроме TCP/UDP/ICMP по IP ходят еще несколько протоколов, например GRE, ESP, AH и т.д.

Проблема тут не в том что к абоненту летят "левые" пакеты, это его проблема, по большому счету, а в том, что занимается адрес из пула целиком на одного абонента.

Share this post


Link to post
Share on other sites

Вы похоже не ребутнули коробку после перехода на классический нат, иногда надо да. Проблемы с пптп я видел только с дропом на стороне nat outside трафика гре.. для белых адресов..

Share this post


Link to post
Share on other sites

итак... дорисовал

ip nat settings mode cgn

no ip nat settings support mapping outside

 

"двухсторонний" нат пропал, но, тут-же тикет прилетел, что eoip туннель у клиента поломался. у клиента белый айпишник. что нужно подправить?

Share this post


Link to post
Share on other sites

уберите у клиента ip nat inside, если у него сабинтерфейс и такая строка есть

Share this post


Link to post
Share on other sites

уберите у клиента ip nat inside, если у него сабинтерфейс и такая строка есть

мдя... а альтернативные варианты существуют?

ибо топология не позволяет - нижестоящая циска ipoe-шит и отдаёт на asr и серые и белые адреса в куче. соответственно, pbr на ней я сделать не могу, чтобы раздербанить серых и белых в разные сабы.

 

может, для решения моей задачи мне достаточно будет перевести нат обратно в дефолт и сделать no ip nat settings support mapping outside? или это команда только для cgn? или она вообще не для того, что я думаю? :)

Share this post


Link to post
Share on other sites

ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload

ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload

ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload

ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload

ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload

 

Покажи листы эти

Share this post


Link to post
Share on other sites

я тоже с таким сталкивался только на пптп. причем как показал эксперимент (я снимал нетфлоу).. дропается именно GRE трафик идущий от внешнего узла на стороне интерфейса с ip nat outside.

 

ip nat settings support mapping outside и cgn связаны.

 

в классик моде у вас должны быть все трансляции

udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368

tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443

такого вида..

Share this post


Link to post
Share on other sites

ip nat inside source list Nat-From-Cisco1 pool Pool-For-Cisco1 overload

ip nat inside source list Nat-From-Cisco2 pool Pool-For-Cisco2 overload

ip nat inside source list Nat-From-Cisco3 pool Pool-For-Cisco3 overload

ip nat inside source list Nat-From-Cisco4 pool Pool-For-Cisco4 overload

ip nat inside source list Nat-From-Cisco5 pool Pool-For-Cisco5 overload

 

Покажи листы эти

 

ip access-list extended Nat-From-Cisco1

permit ip 10.1.0.0 0.0.255.255 any

permit ip 10.6.0.0 0.0.255.255 any

permit ip 10.16.0.0 0.0.255.255 any

permit ip 10.21.0.0 0.0.255.255 any

permit ip 10.26.0.0 0.0.255.255 any

permit ip 10.36.0.0 0.0.255.255 any

permit ip 10.41.0.0 0.0.255.255 any

permit ip 10.46.0.0 0.0.255.255 any

ip access-list extended Nat-From-Cisco2

permit ip 10.2.0.0 0.0.255.255 any

permit ip 10.7.0.0 0.0.255.255 any

permit ip 10.12.0.0 0.0.255.255 any

permit ip 10.17.0.0 0.0.255.255 any

permit ip 10.22.0.0 0.0.255.255 any

permit ip 10.27.0.0 0.0.255.255 any

permit ip 10.32.0.0 0.0.255.255 any

permit ip 10.37.0.0 0.0.255.255 any

permit ip 10.42.0.0 0.0.255.255 any

permit ip 10.47.0.0 0.0.255.255 any

 

ну и т.д.

 

я тоже с таким сталкивался только на пптп. причем как показал эксперимент (я снимал нетфлоу).. дропается именно GRE трафик идущий от внешнего узла на стороне интерфейса с ip nat outside.

 

ip nat settings support mapping outside и cgn связаны.

 

в классик моде у вас должны быть все трансляции

udp xxx.xxx.xxx.164:1041 10.5.115.242:37776 178.155.4.60:2368 178.155.4.60:2368

tcp xxx.xxx.xxx.118:2667 10.7.109.237:41419 64.233.161.132:443 64.233.161.132:443

такого вида..

 

в классик моде всё так и есть, но, помимо этого есть трансляции с пустыми outside, что на практике выражается в пробросе всех портов "вовнутрь" сети. с этим и пытаюсь разобраться

Share this post


Link to post
Share on other sites

ip access-list extended Nat-From-Cisco1

permit ip 10.1.0.0 0.0.255.255 any

 

замени на

permit tcp 10.1.0.0 0.0.255.255 any

permit udp 10.1.0.0 0.0.255.255 any

permit icmp 10.1.0.0 0.0.255.255 any

Share this post


Link to post
Share on other sites

Может быть тут будет ответ:

show platform hardware qfp active feature alg statistics

show platform hardware qfp active feature alg ..

 

 

Вообще похоже на багу какую-то.. ибо у вас вроде все алг выключены..

Share this post


Link to post
Share on other sites

Может быть тут будет ответ:

show platform hardware qfp active feature alg statistics

show platform hardware qfp active feature alg ..

 

 

Вообще похоже на багу какую-то.. ибо у вас вроде все алг выключены..

ну, видимо баг общеизвестный :)

и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside

 

в общем, выключил cgn и поправил акцесс-листы (заменил ip на tcp/udp/icmp) - полёт пока нормальный: нетфлоу снимается, проц не грузится, проброса нет, тикеты не валятся :)

спасибо всем :)

Share this post


Link to post
Share on other sites

Добрый день. Была та же проблема pap использовал ~ 20 адресов, остальные 108 адреса (пул щас /25) шли 1-to-1, и ASR в логгах писал "Address allocation failed; pool 1 may be exhausted". В acl заменил ip на tcp/udp/icmp. Щас все отлично. show ip nat statistics показывает allocated столько, сколько использует pap. Выражаю огромную благодарность господину ShyLion.

 

boot system flash bootflash:asr1000rp2-advipservicesk9.03.16.05.S.155-3.S5-ext.bin

ip access-list extended list-CGNAT
permit tcp 100.64.0.0 0.63.255.255 any
permit udp 100.64.0.0 0.63.255.255 any
permit icmp 100.64.0.0 0.63.255.255 any

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60 
ip nat log translations flow-export v9 udp destination xx5.5x.6x.42 9001
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries 2000000
ip nat translation max-entries all-host 2048
ip nat pool CGNAT xx5.5x.6x.0 xx5.5x.6x.127 netmask 255.255.255.128
ip nat inside source list list-CGNAT pool CGNAT overload



ASR1006#show platform hardware qfp active feature nat datapath pap laddrpergaddr
gaddr xx5.5x.6x.12 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.13 vrf 0 laddr-per-gaddr 36 mapid 1
gaddr xx5.5x.6x.18 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.20 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.29 vrf 0 laddr-per-gaddr 47 mapid 1
gaddr xx5.5x.6x.34 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.35 vrf 0 laddr-per-gaddr 47 mapid 1
gaddr xx5.5x.6x.36 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.42 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.47 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.52 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.57 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.58 vrf 0 laddr-per-gaddr 60 mapid 1
gaddr xx5.5x.6x.60 vrf 0 laddr-per-gaddr 59 mapid 1
gaddr xx5.5x.6x.70 vrf 0 laddr-per-gaddr 59 mapid 1
gaddr xx5.5x.6x.71 vrf 0 laddr-per-gaddr 59 mapid 1


ASR1006#show ip nat statistics
Total active translations: 55514 (0 static, 55514 dynamic; 55493 extended)
Outside interfaces:
 TenGigabitEthernet0/0/0.2, TenGigabitEthernet0/0/0.7, GigabitEthernet0/1/0
 TenGigabitEthernet1/0/0.1000
Inside interfaces: 
 TenGigabitEthernet2/0/0.911, TenGigabitEthernet2/0/0.2000
Hits: 208316026  Misses: 835937
Expired translations: 770794
Dynamic mappings:
-- Inside Source
[id: 1] access-list list-CGNAT pool CGNAT refcount 55513
pool CGNAT: id 1, netmask 255.255.255.128
start xx5.5x.6x.0 end xx5.5x.6x.127
type generic, total addresses 128, allocated 16 (12%), misses 0
nat-limit statistics:
max entry: max allowed 2000000, used 55513, missed 0
All Host Max allowed: 2048
In-to-out drops: 5678  Out-to-in drops: 57
Pool stats drop: 0  Mapping stats drop: 0
Port block alloc fail: 0
IP alias add fail: 0
Limit entry add fail: 0

Share this post


Link to post
Share on other sites

ну, видимо баг общеизвестный :)

и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside

 

Правильно я понимаю, что это эта бага CSCuz93698 ?

 

Коллеги, поделитесь если есть asr1000rp2-advipservicesk9.03.16.04b.S.155-3.S4b-ext.bin, как я понимаю в нем эта бага пофикшена.

Share this post


Link to post
Share on other sites

У нас проблема с pptp и `nat inside`-интерфейсами сохраняется даже с отключенными alg полностью. На апстрим ноде перед asr сделали pbr, который трафик для паблик адресов уводит на nh, для которого нет ip nat inside на asr.

Share this post


Link to post
Share on other sites

ну, видимо баг общеизвестный :)

и, алг-ы не причём - туннели падают на белых айпишниках, которые пролетают через интерфейс с включённым ip nat inside

 

Правильно я понимаю, что это эта бага CSCuz93698 ?

 

Коллеги, поделитесь если есть asr1000rp2-advipservicesk9.03.16.04b.S.155-3.S4b-ext.bin, как я понимаю в нем эта бага пофикшена.

найдете - поделитесь плз.

Share this post


Link to post
Share on other sites

Накатил asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin

Проблем с туннелями и mode cgn не выявлено, абоны которые жаловались до этого подтвердили, что все ок.

 

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries all-host 2000
no ip nat service all-algs

 

У нас ASR1004-RP2-ESP20 7000 pppoe/1000 l2tp сессий, 6 гигабит полосы в чнн,

проблем за 2 дня нет, но натим пока только отключенных абонов с доступом к платежным системам,

их мало, около 200 pppoe сессий и до 5k трансляций.

Как будет работать с большим количеством ната незнаю, буду переводить постепенно.

 

 

найдете - поделитесь плз.

 

брал тут http://sfree.ws/files/asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin имейте ввиду, что там не много поменялся синтаксис команд radius server host.

https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/200403-AAA-Server-Priority-explained-with-new-R.html

Share this post


Link to post
Share on other sites

Накатил asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin

Проблем с туннелями и mode cgn не выявлено, абоны которые жаловались до этого подтвердили, что все ок.

 

ip nat settings mode cgn

no ip nat settings support mapping outside

ip nat settings pap limit 60

ip nat translation timeout 3600

ip nat translation tcp-timeout 3600

ip nat translation pptp-timeout 3600

ip nat translation udp-timeout 60

ip nat translation icmp-timeout 30

ip nat translation max-entries all-host 2000

no ip nat service all-algs

 

У нас ASR1004-RP2-ESP20 7000 pppoe/1000 l2tp сессий, 6 гигабит полосы в чнн,

проблем за 2 дня нет, но натим пока только отключенных абонов с доступом к платежным системам,

их мало, около 200 pppoe сессий и до 5k трансляций.

Как будет работать с большим количеством ната незнаю, буду переводить постепенно.

 

 

найдете - поделитесь плз.

 

брал тут http://sfree.ws/files/asr1000rp2-adventerprisek9.03.16.05.S.155-3.S5-ext.bin имейте ввиду, что там не много поменялся синтаксис команд radius server host.

https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/200403-AAA-Server-Priority-explained-with-new-R.html

спасибо, качнул себе чтоб был

Share this post


Link to post
Share on other sites

апну тему

коллеги, такой вопрос

имеем asr1001-x 

asr1001x-universalk9.03.16.02.S.155-3.S2-ext.SPA.bin

около 6000 рррое сессий без isg, только шейп скорости через  avpair

около 400k трансляций в ЧНН

два пула по /24

юзеры натятся в оба пула примерно поровну

заметил вчера, что юзеры из пул2 имеют проблемы с доступом в инет, это выражается в постепенном увеличением пинга, величина пинга росла по мере увеличения транляций

при этом юзеры из пула1 такой проблемы не испытавали, проверил переключением тестовой машины из пула в пул

без pppoe через тот же маршрутизатор тоже все ОК

по процу 14% в пике

вопрос, что это? как будто упираемся в какой-то лимит на ASR?

к сожалению повторить проблему не получится, пришлось переносить часть абонов на другую asr

 

добавлю, что кроме pppoe на железке около 100 ip unnambered интерфейсов и BGP ))

трафику 6,5 Гбит/с in+out
вообще получился хороший повод проверить как 1001-x может все сразу и много, до определенного времени все работало норм

Edited by kartashevav
добавил инфу

Share this post


Link to post
Share on other sites

коллеги, дело было не в бобине

проблема в аплинке, через который аонсились юзеры из пул2

Share this post


Link to post
Share on other sites

Коллеги, прошу подсказать, какой софт показал себя более стабильным и без багов для ASR1004 (RP2) на данный момент?

 

На древнем софте 15.4(3)S1 после нескольких лет стабильности столкнулись с:

- не работающим  ip nat translation max-entries all-host;

- %NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed;
- дропы GRE;

- crash с падением Etherchannel после clear транслиций %CPPDRV-3-LOCKDOWN: F0: cpp_cp:  QFP0.0 CPP Driver LOCKDOWN encountered due to previous fatal error (HW: QFP interrupt).

Edited by alexdirty

Share this post


Link to post
Share on other sites

Обновился на asr1000rp2-adventerprisek9.03.16.07b.S.155-3.S7b-ext.bin

 

1. ip nat translation max-entries all-host - заработал

 

2. crash с падением Etherchannel после clear трансляций - остался

 

По второму пункту дополню:

Clear трансляций на конкретном Inside не работает если в этот момент у клиента ходит трафик. Shutdown`ишь порт клиенту, что бы трафика не было, и тогда Clear работает.

Clear трансляций на конкретном Inside c указанием протокола и портов - работает.
После Clear трансляций у двух абонентов, как раз и произошёл снова crash с падением Etherchannel, через 7 минут линки поднялись.

 

 

Sep 13 12:47:40: %CPPHA-3-FAULT: F0: cpp_ha:  CPP:0.0 desc:DPE4_CPE_CPE_DPE_INT_SET_0_LEAF_INT_INT_S4_WPT_ERROR det:DRVR(interrupt) class:OTHER sev:FATAL id:1602 cppstate:RUNNING res:UNKNOWN flags:0x7 cdmflags:0x0
Sep 13 12:47:40: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_ha:  cpp_ha encountered an error -Traceback= 1#a987b1e8e3da18d823a6a09623b64c75   errmsg:7F3D12288000+121D cpp_common_os:7F3D15D98000+DA3C cpp_common_os:7F3D15D98000+1B5AE cpp_drv_cmn:7F3D155C3000+285B7 :400000+244A9 :400000+23F6C :400000+23993 :400000+1374D :400000+1272C cpp_common_os:7F3D15D98000+11C20 cpp_common_os:7F3D15D98000+12306 evlib:7F3D11202000+B937 evlib:7F3D11202000+E200 cpp_common_os:7F3D15D98000+13E42 :400000+DA85 c:7F3D09A74000+1E514 :4000
Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha:  CPP 0.0 unresolved fault detected, initiating crash dump.
Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha:  CPP 0.0 unresolved fault detected, initiating crash dump.
Sep 13 12:47:40: %CPPHA-3-FAULT: F0: cpp_ha:  CPP:0.0 desc:INFP_INF_SWASSIST_LEAF_INT_INT_EVENT0 det:DRVR(interrupt) class:OTHER sev:FATAL id:2121 cppstate:RUNNING res:UNKNOWN flags:0x7 cdmflags:0x8
Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha:  CPP 0.0 unresolved fault detected, initiating crash dump.
Sep 13 12:47:40: %CPPHA-3-FAULTCRASH: F0: cpp_ha:  CPP 0.0 unresolved fault detected, initiating crash dump.
Sep 13 12:47:40: %CPPDRV-6-INTR: F0: cpp_driver-0:  CPP10(0) Interrupt : Last 16 Interrupts Since Boot 
Sep 13 12:47:40: %CPPDRV-6-INTR: F0: cpp_driver-0:  CPP10(0) Interrupt : 19-Sep-13 12:47:40.093120 UTC+0300:DPE4_CPE_CPE_DPE_INT_SET_0_LEAF_INT_INT_S4_WPT_ERROR 
Sep 13 12:47:40: %CPPDRV-6-INTR: F0: cpp_driver-0:  CPP10(0) Interrupt : 19-Sep-13 12:47:40.093120 UTC+0300:INFP_INF_SWASSIST_LEAF_INT_INT_EVENT0 
Sep 13 12:47:40: %CPPDRV-3-LOCKDOWN: F0: cpp_cp:  QFP0.0 CPP Driver LOCKDOWN encountered due to previous fatal error (HW: QFP interrupt).
Sep 13 12:47:40: %IOSXE_OIR-6-OFFLINECARD: Card (fp) offline in slot F0
Sep 13 12:47:40: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp:  cpp_cp encountered an error -Traceback= 1#3379fd703db39406a2190384a97f7318   errmsg:7FF0960E8000+121D cpp_common_os:7FF09956F000+DA3C cpp_common_os:7FF09956F000+1B5AE cpp_nat_svr_lib:7FF0A2DC3000+2E86D cpp_nat_svr_lib:7FF0A2DC3000+1C770 cpp_nat_svr_lib:7FF0A2DC3000+1CAFE cpp_nat_svr_smc_lib:7FF0A306A000+1B61 cpp_common_os:7FF09956F000+11C20 cpp_common_os:7FF09956F000+12306 evlib:7FF0982E1000+B937 evlib:7FF0982E1000+E200 cpp_common_os:7FF09956F000+13
Sep 13 12:47:41: %CPPDRV-3-LOCKDOWN: F0: fman_fp_image:  QFP0.0 CPP Driver LOCKDOWN encountered due to previous fatal error (HW: QFP interrupt).
Sep 13 12:47:47: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Standby -> Active
Sep 13 12:48:13: %CPPCDM-3-ERROR_NOTIFY: F0: cpp_cdm:  QFP 0 thread 9 encountered an error -Traceback= 1#6df0c3e14153553c3f59b148c44ae86f 8035F39B 80347CB4 8035F3BC 8033B2B0 8033B35C 8033B4A6 8043B8B1 8043CBF2 
Sep 13 12:48:13: %IOSXE-3-PLATFORM: F0: cpp_cdm: CPP crashed, core file /tmp/corelink/ASR1004-NEW_ESP_0_cpp-mcplo-ucode_091319124813.core.gz
Sep 13 12:48:51: TenGigabitEthernet1/2/0 taken out of port-channel1
Sep 13 12:48:52: TenGigabitEthernet1/1/0 taken out of port-channel2
Sep 13 12:48:55: %EC-5-MINLINKS_NOTMET: Port-channel Port-channel2 is down bundled ports (0) doesn't meet min-links
Sep 13 12:48:55: TenGigabitEthernet1/3/0 taken out of port-channel2
Sep 13 12:48:55: %EC-5-MINLINKS_NOTMET: Port-channel Port-channel1 is down bundled ports (0) doesn't meet min-links
Sep 13 12:48:55: TenGigabitEthernet1/0/0 taken out of port-channel1
Sep 13 12:48:57: %LINK-3-UPDOWN: Interface Port-channel2, changed state to down
Sep 13 12:48:57: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Active -> Init
Sep 13 12:48:57: %LINK-3-UPDOWN: Interface Port-channel1, changed state to down
Sep 13 12:48:57: %HSRP-5-STATECHANGE: Port-channel1.22 Grp 1 state Active -> Init
Sep 13 12:48:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel2, changed state to down
Sep 13 12:48:58: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to down
Sep 13 12:49:38: %CPPHA-3-FAULT: F0: cpp_ha:  CPP:0.0 desc:CPP Client process failed: FMAN-FP det:HA class:CLIENT_SW sev:FATAL id:1 cppstate:RUNNING res:UNKNOWN flags:0x0 cdmflags:0x0
Sep 13 12:49:38: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_ha:  cpp_ha encountered an error -Traceback= 1#a987b1e8e3da18d823a6a09623b64c75   errmsg:7F3D12288000+121D cpp_common_os:7F3D15D98000+DA3C cpp_common_os:7F3D15D98000+1B5AE cpp_drv_cmn:7F3D155C3000+285B7 :400000+24438 :400000+23C1A :400000+14617 :400000+C0DE :400000+129AD :400000+F9E6 :400000+13B62 cpp_common_os:7F3D15D98000+1257F evlib:7F3D11202000+B937 evlib:7F3D11202000+E200 cpp_common_os:7F3D15D98000+13E42 :400000+DA85 c:7F3D09A74000+1E514 :400000+83E9
Sep 13 12:49:38: %PMAN-3-PROCHOLDDOWN: F0: pman.sh:  The process fman_fp_image has been helddown (rc 134)
Sep 13 12:49:38: %PMAN-0-PROCFAILCRIT: F0: pvp.sh:  A critical process fman_fp_image has failed (rc 134)
Sep 13 12:53:38: %IOSXE_OIR-6-ONLINECARD: Card (fp) online in slot F0
Sep 13 12:53:56: TenGigabitEthernet1/1/0 added as member-1 to port-channel2
Sep 13 12:53:57: TenGigabitEthernet1/2/0 added as member-1 to port-channel1
Sep 13 12:53:58: TenGigabitEthernet1/0/0 added as member-2 to port-channel1
 Sep 13 12:53:58: %LINK-3-UPDOWN: Interface Port-channel2, changed state to up
Sep 13 12:53:59: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up
Sep 13 12:53:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel2, changed state to up
Sep 13 12:54:00: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to up
Sep 13 12:54:05: TenGigabitEthernet1/3/0 added as member-2 to port-channel2
Sep 13 12:54:21: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Standby -> Active
Sep 13 12:54:22: %HSRP-5-STATECHANGE: Port-channel1.22 Grp 1 state Standby -> Active
Sep 13 12:54:27: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Active -> Speak
Sep 13 12:54:37: %HSRP-5-STATECHANGE: Port-channel2.23 Grp 1 state Speak -> Standby

 

 

А теперь собственно, сама причина, зачем сбрасывал трансляции.

sh ip nat statistics 
Total active translations: 365689 (0 static, 365689 dynamic; 365372 extended)
....
[Id: 1] access-list NAT-USERS pool Pool-1 refcount 194255
 pool Pool-1: id 1, netmask 255.255.255.0
    start *.*.*.* end *.*.*.*
    type generic, total addresses 256, allocated 256 (100%), misses 10
[Id: 2] access-list NAT-USERS2 pool Pool-2 refcount 171434
 pool Pool-2: id 2, netmask 255.255.255.0
    start *.*.*.* end *.*.*.*
    type generic, total addresses 256, allocated 169 (66%), misses 0
.....

 

 

Из-за того что один из pool адресов на 100% был утилизирован из-за трансляций 1-to-1 по протоколам отличных от TCP/UDP/ICMP, и полетели тикеты на нерабочий GRE с вытекающей ошибкой 

Sep 13 09:57:40: %IOSXE-6-PLATFORM: F0: cpp_cp: QFP:0.0 Thread:128 TS:00013985005758018400 %NAT-6-ADDR_ALLOC_FAILURE: Address allocation failed; pool 1 may be exhausted

Количество таких трансляций было = 330 (sh ip nat translations | exclude tcp|udp|icmp)

 

 

 

Количество используемых адресов в PAP было всего 107.

show platform hardware qfp active feature nat datapath pap laddrpergaddr | count gaddr

Number of lines which match regexp = 107

 

Количество трансляций 1-to-1, отсутствующих по количеству используемых адресов в PAP, достигло 318 (256+169-107).

 

 

Access листы для pool`ов были 

permit ip ..... any

Теперь сделал

permit tcp ..... any
permit udp ..... any
permit icmp ..... any
permit gre ..... any

 

Ну собственно после чистки трансляций и crash`a стало:

 

Total active translations: 362963 (0 static, 362963 dynamic; 362960 extended)
 

[Id: 1] access-list NAT-USERS pool Pool-1 refcount 187744
 pool Pool-1: id 1, netmask 255.255.255.0
    start *.*.*.* end *.*.*.*
    type generic, total addresses 256, allocated 42 (16%), misses 0
[Id: 2] access-list NAT-USERS2 pool Pool-2 refcount 175220
 pool Pool-2: id 2, netmask 255.255.255.0
    start *.*.*.* end *.*.*.*
    type generic, total addresses 256, allocated 36 (14%), misses 0

 

Посмотрим как много будет трансляций вне PAP с применёнными access листами permit tcp/udp/icmp/gre... Пока, всего 15.

Edited by alexdirty

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this