Jump to content
Калькуляторы

Cisco ASR 1000 NAT Overload Снова Nat

а кто-нибудь использует команду ip nat translation max-entries list NATMAX 100000

я смотрю ip nat stat:

acl NATMAX: max allowed 100000, used 3290, missed 0

т.е. на все айпи адреса в сумме ограничение будет? просто если писать ip nat translation max-entries host 172.18.10.2 10000 и их штук 30 и больше прописывать, выглядит громоздко и не красиво.

Share this post


Link to post
Share on other sites
7 минут назад, TRIada сказал:

т.е. на все айпи адреса в сумме ограничение будет?

там вроде все доступно написано


#ip nat translation max-entries ?
  <1-2147483647>  Number of entries
  all-host        Specify maximum number of NAT entries for each host
  all-vrf         Specify maximum number of NAT entries for each vrf
  host            Specify per-host NAT entry limit
  list            Specify access list based NAT entry limit
  redundancy      Specify maximum number of NAT entries for RG
  vrf             Specify per-VRF NAT entry limit

 

можно сделать all-host с одним значением, типа для каждого по умолчанию, и отдельно накатывать исключения через list / host и т.д.

Share this post


Link to post
Share on other sites

ну я походу неправильно задаю вопрос, я имел ввиду, на все айпи адреса из ACL  в сумме применяется общее ограничение (100000) или на каждый айпи адрес (100000) из ACL? потому что если на каждый айпи адрес отдельно писать это выглядит громоздко, я это имел ввиду.

 

Share this post


Link to post
Share on other sites
В 08.02.2016 в 11:20, kvinogradov сказал:

Приветствую, коллеги!

 

Есть вопрос про PPTP через NAT. Если верить описанию ALG, то они не работают с CGN:

 

 

Поэтому сразу:

 

 


no ip nat service all-algs
 

 

 

Без этого все вообще грустно.

 

А абонентам нужно пользоваться PPTP (не смотри, что уже и сма Microsoft твердит, что протоколу давно пора на свалку истории). Естественно в режиме overload-NAT PPTP работает не очень, т.к. периодически управляющая TCP-сессия на порт 1723 транслируется в один "белый" адрес, а GRE-туннель в другой. Как решение, пробую выделить этот трафик (TCP/1723 и GRE) в отдельный NAT без overload. Выделяю "белых" адресов под это дело побольше (в моем случае 1024).

 

Пока не весь пул утилизирован - все хорошо. PPTP поднимается. Весь остальной трафик идет через oveload-NAT. Что бы сессии не висели вечно ставлю тайм-аут в 8 минут.

 

Вот тут и возникает проблема, которая, как я понял, в следующем "белые" адреса регулярно сканируются извне (раз в 1.5-2 минуты прилетает) различными искателями открытых уязвимостей. Получается что на любой адрес периодически прилетает пакет (порт не важен, так как трансляция не overloaded). Периодичность эта меньше, чем таймаут NAT-трансляции (стандартный keepalive interval для PPTP 60 секунд, таймаут 60*3=180 секунд).

 

Получается что трансляция сама не умирает, адрес не высвобождается. Через какой-то время пул исчерпывается и новые сессии PPTP у абонентов перестают работать. За этим NAT-ом находятся абоненты с динамическими серыми адресами с таймаутом PPPoE 24 часа. Т.е. трафик "снизу" для трансляции точно прекращается максимум через сутки. При этом на ASR есть трансляции по несколько дней.

 

Кто нибудь знает, как такое побороть можно?

 

Заранее спасибо!

Подскажите, как с аналогичной проблемой боритесь?

 

 

Трансляции могут и больше недели висеть для протоколов отличных от icmp/tcp/udp (со стороны клиента и сервера активности никакой нет по этому соединению (это GRE)):

 

---  *.*.*.*         *.*.*.*           ---                   ---

  create: 04/13/20 02:26:03, use: 04/21/20 09:44:10, timeout: 00:01:59
  Map-Id(In): 1
  Appl type: none
  Mac-Address: 0000.0000.0000    Input-IDB: Port-channel3.22
  entry-id: 0x0, use_count:159

 

 

Более того, трансляция создаётся по любому порту при получении любого пакета из WAN. Таким образом nonpat трансляция никогда не освободится и исчерпание пула не за горами.

Share this post


Link to post
Share on other sites
21 hours ago, alexdirty said:

---  *.*.*.*         *.*.*.*           ---                   ---

 

Это SIP ALG так чудит

 

no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060

Очистить трансляции:

 

clear ip nat translation inside REAL_IP PRIVATE_IP

 

Share this post


Link to post
Share on other sites

А просто

ip nat translation timeout 400

не спасает ситуацию?

Share this post


Link to post
Share on other sites

ASR 1006

asr1000rp2-adventerprisek9.03.16.08.S.155-3.S8-ext.b

 

Только NAT BGP

 

Вылетает ESP:

 

5AE cpp_sbs:7F947FA06000+11104 cpp_sbs:7F947FA06000+B4C5 cpp_sbs:7F947FA06000+B8D6 cpp_sbs:7F947FA06000+B7EE cpp_gic_ea_lib:7F948A99F000+17080 cpp_gic_smc_lib:7F948ABE0000+4768 cpp_common_os:7F9473C79000+11C20 cpp_common_os:7F9473C79000+12306 evlib:7F94729EB000+B937 evlib:7F94729EB000+E200
Apr 26 05:20:35.942: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image:  fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0   errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+1050B cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F evlib:7F6409BE2000+E200 :400000+55E29B c:7F63F4E29000+1E514 :400000+1AE
Apr 26 05:20:40.945: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image:  fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0   errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+10A4A cpp_plutlu_common:7F6407F35000+FD67 cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F evlib:7F6409BE2000+E200 :400000+55E
Apr 26 05:20:43.347: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp:  cpp_cp encountered an error -Traceback= 1#a6e96745f34c063378b2307acc47321f   errmsg:7F94707F2000+121D cpp_common_os:7F9473C79000+DA3C cpp_common_os:7F9473C79000+1B5AE cpp_sbs:7F947FA06000+11104 cpp_sbs:7F947FA06000+B4C5 cpp_sbs:7F947FA06000+B8D6 cpp_sbs:7F947FA06000+B7EE cpp_gic_ea_lib:7F948A99F000+17080 cpp_gic_smc_lib:7F948ABE0000+4768 cpp_common_os:7F9473C79000+11C20 cpp_common_os:7F9473C79000+12306 evlib:7F94729EB000+B937 evlib:7F94729EB000+E200
Apr 26 05:20:45.947: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image:  fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0   errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+BB76 cpp_plutlu_common:7F6407F35000+107DC cpp_plutlu_common:7F6407F35000+FD67 cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F
Apr 26 05:20:50.947: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image:  fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0   errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+10A4A cpp_plutlu_common:7F6407F35000+FD67 cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F evlib:7F6409BE2000+E200 :400000+55E
Apr 26 05:20:51.070: %IOSXE-6-PLATFORM: F0: cpp_cdm: Shutting down CPP MDM while client(s) still connected 
Apr 26 05:20:51.070: %CPPHA-3-CDMDONE: F0: cpp_ha:  CPP 0 microcode crashdump creation completed.
Apr 26 05:20:51.072: %IOSXE-6-PLATFORM: F0: cpp_ha: Shutting down CPP MDM while client(s) still connected 
Apr 26 05:20:51.072: %IOSXE-6-PLATFORM: F0: cpp_ha: Shutting down CPP CDM while client(s) still connected 
Apr 26 05:20:51.148: %PMAN-3-PROCHOLDDOWN: F0: pman.sh:  The process cpp_ha_top_level_server has been helddown (rc 69)
Apr 26 05:20:51.201: %PMAN-3-PROCHOLDDOWN: F0: pman.sh:  The process cpp_cdm_svr has been helddown (rc 69)
Apr 26 05:20:55.177: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp:  cpp_cp encountered an error -Traceback= 1#a6e96745f34c063378b2307acc47321f   errmsg:7F94707F2000+121D cpp_common_os:7F9473C79000+DA3C cpp_common_os:7F9473C79000+1B5AE cpp_sbs:7F947FA06000+11104 cpp_sbs:7F947FA06000+B4C5 cpp_sbs:7F947FA06000+B8D6 cpp_sbs:7F947FA06000+B7EE cpp_gic_ea_lib:7F948A99F000+17080 cpp_gic_smc_lib:7F948ABE0000+4768 cpp_common_os:7F9473C79000+11C20 cpp_common_os:7F9473C79000+12306 evlib:7F94729EB000+B937 evlib:7F94729EB000+E200
Apr 26 05:20:55.569: %IOSXE_OIR-6-OFFLINECARD: Card (fp) offline in slot F0
 

Share this post


Link to post
Share on other sites

Пардон за оффтоп, это  ESP одна сдохла.

Share this post


Link to post
Share on other sites
В 22.04.2020 в 07:56, ShyLion сказал:

 

Это SIP ALG так чудит

  


no ip nat service sip tcp port 5060
no ip nat service sip udp port 5060

Очистить трансляции:

 


clear ip nat translation inside REAL_IP PRIVATE_IP

 

У меня это не SIP так чудит. У меня это GRE так чудит. Проверил, произвёл попытку поднять GRE туннель, освободил серый IP (т.е. на сером IP нет никакого хоста), и вот уже как месяц эта трансляция активна.
 

 

В 22.04.2020 в 09:49, Andrei сказал:

А просто

ip nat translation timeout 400

не спасает ситуацию?

По таймауту трансляции сбрасываются, все, кроме проблемных с сессией GRE.

Share this post


Link to post
Share on other sites
В 14.09.2019 в 06:29, zhenya` сказал:

Это не езерченел падает, а QFP.

Да, верно, QFP.   Кстати, как то раз после очередного Clear, QFP снова упал, и причём снова после того как clear был сделан для второго серого IP, а с первым всё было ОК.  На Cisco Bug`e позже увидел несколько багов, которые описывают crash после Clear трансляций. Один из них https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvn49911, т.е. временное решение это не делать show ip nat tra в течении первых 20 секунд после clear... Весело.

 

Share this post


Link to post
Share on other sites

Коллеги,добрый день.

 

NAT на ASR 1006 наблюдаем такую штуку каждый день - в одно и тоже время падает трафик процентов на 30 кратковременно,потом снова восстанавливается. При этом потерь и задержек в это время нет, но в целом есть жалобы на услугу, появились именно с вводом в эксплуатацию 1006.

 

Версия текущая asr1000rp2-adventerprisek9.03.16.08.S.155-3.S8-ext.b

 

Только NAT BGP на ней. Настройки нат:

 

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60 
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries 4000000
no ip nat service all-algs
 

В acl для nat отдельно протоколы - tcp udp и т.д. В пики количество сессий около 1 млн. В логах пусто.

 

Может прошивку поменять? Поделитесь стабильной,если имеется. Спасибо заранее

Share this post


Link to post
Share on other sites

Дык может дело где-то в другом месте? Терминируете абонентов где?

Share this post


Link to post
Share on other sites

Не,точно циска косячит, прям 100%.  Терминация на пачке серверов, там и рррое и ипое, уже много лет,все работает без проблем. Как циску поставили - проблемы полезли

Share this post


Link to post
Share on other sites

Сколько у вас трансляций на один хост?

Share this post


Link to post
Share on other sites

Вообще 2000, но сейчас сняли совсем - разницы нет,картина не меняется.

Share this post


Link to post
Share on other sites

Попробуйте переключить вместо cgnat обычный нат.

Share this post


Link to post
Share on other sites
В 16.05.2020 в 18:51, ingvarrwvw сказал:

Коллеги,добрый день.

 

NAT на ASR 1006 наблюдаем такую штуку каждый день - в одно и тоже время падает трафик процентов на 30 кратковременно,потом снова восстанавливается. При этом потерь и задержек в это время нет, но в целом есть жалобы на услугу, появились именно с вводом в эксплуатацию 1006.

 

Версия текущая asr1000rp2-adventerprisek9.03.16.08.S.155-3.S8-ext.b

 

Только NAT BGP на ней. Настройки нат:

 

ip nat settings mode cgn
no ip nat settings support mapping outside
ip nat settings pap limit 60 
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation pptp-timeout 3600
ip nat translation udp-timeout 60
ip nat translation icmp-timeout 30
ip nat translation max-entries 4000000
no ip nat service all-algs
 

В acl для nat отдельно протоколы - tcp udp и т.д. В пики количество сессий около 1 млн. В логах пусто.

 

Может прошивку поменять? Поделитесь стабильной,если имеется. Спасибо заранее

Вопросы из опыта эксплуатации 1004 (не знаю на сколько сильно отличается от 1006):

1. В одно и тоже время, это в ЧНН?

2. Общий rate на вход и выход перед "падением" и после "восстановления" насколько отличается?

3. Нет ли ошибок/дропов на интерфейсах ASR и на железе до/после?

4. Жалобы от клиентов какого рода?

5. Начните "рисовать" график утилизации QFP. У меня на 1004 в CLI доступен по

show platform hardware qfp active datapath utilization qfp 0

а по SNMP iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9027.1 на одной и iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9037.1 на другой.

6. Соответственно и графики трафика, cpu, количества трансляций в эти моменты может что-то подскажут.

Edited by alexdirty

Share this post


Link to post
Share on other sites

Добрый день! Прошу помощи.
Имеется ASR1002 asr1000rp1-adventerprisek9.03.16.09.S.155-3.S9-ext
При попытке создать НАТ получается только статический. При добавлении overload появляется ошибка FAILURE: Address allocation failed; pool 1 may be exhausted
Задача стоит такая: на порт приходят мультикаст потоки групп от разных источников ( находящихся в одной подсети), нужно все ip источников подменить на какой-либо один адрес.
входящий интерфейс

interface GigabitEthernet0/0/2.910
 description NATInside
 encapsulation dot1Q 910
 ip address a.a.a.a 255.255.255.0
 ip nat inside
 ip pim dense-mode
 ip igmp static-group х.х.х.х source y.y.y.y
 ip igmp version 3

исходящий интерфейс
interface GigabitEthernet0/0/3.911
 description NATOutside
 encapsulation dot1Q 911
 ip address b.b.b.b 255.255.255.0
 ip nat outside
 ip pim dense-mode

пул 
ip nat pool MyNAT 7.7.7.7 7.7.7.7 netmask 255.255.255.0

списки
access-list 100 permit udp y.y.y.y 0.0.0.255 any

трансляцие  (нерабочие)
ip nat inside source list 100 pool MyNAT overload
ip nat inside source list 100 interface ..... overload

трансляции (работающие)
ip nat inside source list 100 pool MyNAT 
или ip nat inside source static .......

Вроде все самое простое. но не работает. в чем мои ошибки?
 

Share this post


Link to post
Share on other sites
34 minutes ago, zhenya` said:

По описанию прямо то, что доктор прописал. Спасибо. Буду тестировать

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now