zhenya` Опубликовано 14 сентября, 2019 · Жалоба Это не езерченел падает, а QFP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 17 сентября, 2019 · Жалоба а кто-нибудь использует команду ip nat translation max-entries list NATMAX 100000 я смотрю ip nat stat: acl NATMAX: max allowed 100000, used 3290, missed 0 т.е. на все айпи адреса в сумме ограничение будет? просто если писать ip nat translation max-entries host 172.18.10.2 10000 и их штук 30 и больше прописывать, выглядит громоздко и не красиво. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 сентября, 2019 · Жалоба 7 минут назад, TRIada сказал: т.е. на все айпи адреса в сумме ограничение будет? там вроде все доступно написано #ip nat translation max-entries ? <1-2147483647> Number of entries all-host Specify maximum number of NAT entries for each host all-vrf Specify maximum number of NAT entries for each vrf host Specify per-host NAT entry limit list Specify access list based NAT entry limit redundancy Specify maximum number of NAT entries for RG vrf Specify per-VRF NAT entry limit можно сделать all-host с одним значением, типа для каждого по умолчанию, и отдельно накатывать исключения через list / host и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TRIada Опубликовано 17 сентября, 2019 · Жалоба ну я походу неправильно задаю вопрос, я имел ввиду, на все айпи адреса из ACL в сумме применяется общее ограничение (100000) или на каждый айпи адрес (100000) из ACL? потому что если на каждый айпи адрес отдельно писать это выглядит громоздко, я это имел ввиду. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 17 сентября, 2019 · Жалоба лимит на весь acl. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 21 апреля, 2020 · Жалоба В 08.02.2016 в 11:20, kvinogradov сказал: Приветствую, коллеги! Есть вопрос про PPTP через NAT. Если верить описанию ALG, то они не работают с CGN: Поэтому сразу: no ip nat service all-algs Без этого все вообще грустно. А абонентам нужно пользоваться PPTP (не смотри, что уже и сма Microsoft твердит, что протоколу давно пора на свалку истории). Естественно в режиме overload-NAT PPTP работает не очень, т.к. периодически управляющая TCP-сессия на порт 1723 транслируется в один "белый" адрес, а GRE-туннель в другой. Как решение, пробую выделить этот трафик (TCP/1723 и GRE) в отдельный NAT без overload. Выделяю "белых" адресов под это дело побольше (в моем случае 1024). Пока не весь пул утилизирован - все хорошо. PPTP поднимается. Весь остальной трафик идет через oveload-NAT. Что бы сессии не висели вечно ставлю тайм-аут в 8 минут. Вот тут и возникает проблема, которая, как я понял, в следующем "белые" адреса регулярно сканируются извне (раз в 1.5-2 минуты прилетает) различными искателями открытых уязвимостей. Получается что на любой адрес периодически прилетает пакет (порт не важен, так как трансляция не overloaded). Периодичность эта меньше, чем таймаут NAT-трансляции (стандартный keepalive interval для PPTP 60 секунд, таймаут 60*3=180 секунд). Получается что трансляция сама не умирает, адрес не высвобождается. Через какой-то время пул исчерпывается и новые сессии PPTP у абонентов перестают работать. За этим NAT-ом находятся абоненты с динамическими серыми адресами с таймаутом PPPoE 24 часа. Т.е. трафик "снизу" для трансляции точно прекращается максимум через сутки. При этом на ASR есть трансляции по несколько дней. Кто нибудь знает, как такое побороть можно? Заранее спасибо! Подскажите, как с аналогичной проблемой боритесь? Трансляции могут и больше недели висеть для протоколов отличных от icmp/tcp/udp (со стороны клиента и сервера активности никакой нет по этому соединению (это GRE)): --- *.*.*.* *.*.*.* --- --- create: 04/13/20 02:26:03, use: 04/21/20 09:44:10, timeout: 00:01:59 Map-Id(In): 1 Appl type: none Mac-Address: 0000.0000.0000 Input-IDB: Port-channel3.22 entry-id: 0x0, use_count:159 Более того, трансляция создаётся по любому порту при получении любого пакета из WAN. Таким образом nonpat трансляция никогда не освободится и исчерпание пула не за горами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 22 апреля, 2020 · Жалоба 21 hours ago, alexdirty said: --- *.*.*.* *.*.*.* --- --- Это SIP ALG так чудит no ip nat service sip tcp port 5060 no ip nat service sip udp port 5060 Очистить трансляции: clear ip nat translation inside REAL_IP PRIVATE_IP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 апреля, 2020 · Жалоба А просто ip nat translation timeout 400 не спасает ситуацию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 26 апреля, 2020 · Жалоба ASR 1006 asr1000rp2-adventerprisek9.03.16.08.S.155-3.S8-ext.b Только NAT BGP Вылетает ESP: 5AE cpp_sbs:7F947FA06000+11104 cpp_sbs:7F947FA06000+B4C5 cpp_sbs:7F947FA06000+B8D6 cpp_sbs:7F947FA06000+B7EE cpp_gic_ea_lib:7F948A99F000+17080 cpp_gic_smc_lib:7F948ABE0000+4768 cpp_common_os:7F9473C79000+11C20 cpp_common_os:7F9473C79000+12306 evlib:7F94729EB000+B937 evlib:7F94729EB000+E200 Apr 26 05:20:35.942: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image: fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0 errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+1050B cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F evlib:7F6409BE2000+E200 :400000+55E29B c:7F63F4E29000+1E514 :400000+1AE Apr 26 05:20:40.945: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image: fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0 errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+10A4A cpp_plutlu_common:7F6407F35000+FD67 cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F evlib:7F6409BE2000+E200 :400000+55E Apr 26 05:20:43.347: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp: cpp_cp encountered an error -Traceback= 1#a6e96745f34c063378b2307acc47321f errmsg:7F94707F2000+121D cpp_common_os:7F9473C79000+DA3C cpp_common_os:7F9473C79000+1B5AE cpp_sbs:7F947FA06000+11104 cpp_sbs:7F947FA06000+B4C5 cpp_sbs:7F947FA06000+B8D6 cpp_sbs:7F947FA06000+B7EE cpp_gic_ea_lib:7F948A99F000+17080 cpp_gic_smc_lib:7F948ABE0000+4768 cpp_common_os:7F9473C79000+11C20 cpp_common_os:7F9473C79000+12306 evlib:7F94729EB000+B937 evlib:7F94729EB000+E200 Apr 26 05:20:45.947: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image: fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0 errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+BB76 cpp_plutlu_common:7F6407F35000+107DC cpp_plutlu_common:7F6407F35000+FD67 cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F Apr 26 05:20:50.947: %CPPOSLIB-3-ERROR_NOTIFY: F0: fman_fp_image: fman-fp encountered an error -Traceback= 1#bed20821c50ab9f3ad4d5b358f8cb5e0 errmsg:7F642B7FE000+121D cpp_common_os:7F64053BE000+DA3C cpp_common_os:7F64053BE000+1B5AE cpp_plutlu_common:7F6407F35000+10A4A cpp_plutlu_common:7F6407F35000+FD67 cpp_plutlu_common:7F6407F35000+E28B cpp_cef_mpls_common:7F640707C000+2601F :400000+7B856C :400000+39F420 aobjman:7F64348CC000+D82C :400000+55E57A evlib:7F6409BE2000+BB8F evlib:7F6409BE2000+E200 :400000+55E Apr 26 05:20:51.070: %IOSXE-6-PLATFORM: F0: cpp_cdm: Shutting down CPP MDM while client(s) still connected Apr 26 05:20:51.070: %CPPHA-3-CDMDONE: F0: cpp_ha: CPP 0 microcode crashdump creation completed. Apr 26 05:20:51.072: %IOSXE-6-PLATFORM: F0: cpp_ha: Shutting down CPP MDM while client(s) still connected Apr 26 05:20:51.072: %IOSXE-6-PLATFORM: F0: cpp_ha: Shutting down CPP CDM while client(s) still connected Apr 26 05:20:51.148: %PMAN-3-PROCHOLDDOWN: F0: pman.sh: The process cpp_ha_top_level_server has been helddown (rc 69) Apr 26 05:20:51.201: %PMAN-3-PROCHOLDDOWN: F0: pman.sh: The process cpp_cdm_svr has been helddown (rc 69) Apr 26 05:20:55.177: %CPPOSLIB-3-ERROR_NOTIFY: F0: cpp_cp: cpp_cp encountered an error -Traceback= 1#a6e96745f34c063378b2307acc47321f errmsg:7F94707F2000+121D cpp_common_os:7F9473C79000+DA3C cpp_common_os:7F9473C79000+1B5AE cpp_sbs:7F947FA06000+11104 cpp_sbs:7F947FA06000+B4C5 cpp_sbs:7F947FA06000+B8D6 cpp_sbs:7F947FA06000+B7EE cpp_gic_ea_lib:7F948A99F000+17080 cpp_gic_smc_lib:7F948ABE0000+4768 cpp_common_os:7F9473C79000+11C20 cpp_common_os:7F9473C79000+12306 evlib:7F94729EB000+B937 evlib:7F94729EB000+E200 Apr 26 05:20:55.569: %IOSXE_OIR-6-OFFLINECARD: Card (fp) offline in slot F0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 28 апреля, 2020 · Жалоба Пардон за оффтоп, это ESP одна сдохла. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 5 мая, 2020 · Жалоба В 22.04.2020 в 07:56, ShyLion сказал: Это SIP ALG так чудит no ip nat service sip tcp port 5060 no ip nat service sip udp port 5060 Очистить трансляции: clear ip nat translation inside REAL_IP PRIVATE_IP У меня это не SIP так чудит. У меня это GRE так чудит. Проверил, произвёл попытку поднять GRE туннель, освободил серый IP (т.е. на сером IP нет никакого хоста), и вот уже как месяц эта трансляция активна. В 22.04.2020 в 09:49, Andrei сказал: А просто ip nat translation timeout 400 не спасает ситуацию? По таймауту трансляции сбрасываются, все, кроме проблемных с сессией GRE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 7 мая, 2020 · Жалоба В 14.09.2019 в 06:29, zhenya` сказал: Это не езерченел падает, а QFP. Да, верно, QFP. Кстати, как то раз после очередного Clear, QFP снова упал, и причём снова после того как clear был сделан для второго серого IP, а с первым всё было ОК. На Cisco Bug`e позже увидел несколько багов, которые описывают crash после Clear трансляций. Один из них https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvn49911, т.е. временное решение это не делать show ip nat tra в течении первых 20 секунд после clear... Весело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 16 мая, 2020 · Жалоба Коллеги,добрый день. NAT на ASR 1006 наблюдаем такую штуку каждый день - в одно и тоже время падает трафик процентов на 30 кратковременно,потом снова восстанавливается. При этом потерь и задержек в это время нет, но в целом есть жалобы на услугу, появились именно с вводом в эксплуатацию 1006. Версия текущая asr1000rp2-adventerprisek9.03.16.08.S.155-3.S8-ext.b Только NAT BGP на ней. Настройки нат: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 60 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries 4000000 no ip nat service all-algs В acl для nat отдельно протоколы - tcp udp и т.д. В пики количество сессий около 1 млн. В логах пусто. Может прошивку поменять? Поделитесь стабильной,если имеется. Спасибо заранее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 17 мая, 2020 · Жалоба Дык может дело где-то в другом месте? Терминируете абонентов где? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 17 мая, 2020 · Жалоба Не,точно циска косячит, прям 100%. Терминация на пачке серверов, там и рррое и ипое, уже много лет,все работает без проблем. Как циску поставили - проблемы полезли Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 мая, 2020 · Жалоба Сколько у вас трансляций на один хост? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 18 мая, 2020 · Жалоба Вообще 2000, но сейчас сняли совсем - разницы нет,картина не меняется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 18 мая, 2020 · Жалоба Попробуйте переключить вместо cgnat обычный нат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexdirty Опубликовано 29 мая, 2020 (изменено) · Жалоба В 16.05.2020 в 18:51, ingvarrwvw сказал: Коллеги,добрый день. NAT на ASR 1006 наблюдаем такую штуку каждый день - в одно и тоже время падает трафик процентов на 30 кратковременно,потом снова восстанавливается. При этом потерь и задержек в это время нет, но в целом есть жалобы на услугу, появились именно с вводом в эксплуатацию 1006. Версия текущая asr1000rp2-adventerprisek9.03.16.08.S.155-3.S8-ext.b Только NAT BGP на ней. Настройки нат: ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 60 ip nat translation timeout 3600 ip nat translation tcp-timeout 3600 ip nat translation pptp-timeout 3600 ip nat translation udp-timeout 60 ip nat translation icmp-timeout 30 ip nat translation max-entries 4000000 no ip nat service all-algs В acl для nat отдельно протоколы - tcp udp и т.д. В пики количество сессий около 1 млн. В логах пусто. Может прошивку поменять? Поделитесь стабильной,если имеется. Спасибо заранее Вопросы из опыта эксплуатации 1004 (не знаю на сколько сильно отличается от 1006): 1. В одно и тоже время, это в ЧНН? 2. Общий rate на вход и выход перед "падением" и после "восстановления" насколько отличается? 3. Нет ли ошибок/дропов на интерфейсах ASR и на железе до/после? 4. Жалобы от клиентов какого рода? 5. Начните "рисовать" график утилизации QFP. У меня на 1004 в CLI доступен по show platform hardware qfp active datapath utilization qfp 0 а по SNMP iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9027.1 на одной и iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9037.1 на другой. 6. Соответственно и графики трафика, cpu, количества трансляций в эти моменты может что-то подскажут. Изменено 29 мая, 2020 пользователем alexdirty Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Masha1 Опубликовано 1 июня, 2020 · Жалоба Добрый день! Прошу помощи. Имеется ASR1002 asr1000rp1-adventerprisek9.03.16.09.S.155-3.S9-ext При попытке создать НАТ получается только статический. При добавлении overload появляется ошибка FAILURE: Address allocation failed; pool 1 may be exhausted Задача стоит такая: на порт приходят мультикаст потоки групп от разных источников ( находящихся в одной подсети), нужно все ip источников подменить на какой-либо один адрес. входящий интерфейс interface GigabitEthernet0/0/2.910 description NATInside encapsulation dot1Q 910 ip address a.a.a.a 255.255.255.0 ip nat inside ip pim dense-mode ip igmp static-group х.х.х.х source y.y.y.y ip igmp version 3 исходящий интерфейс interface GigabitEthernet0/0/3.911 description NATOutside encapsulation dot1Q 911 ip address b.b.b.b 255.255.255.0 ip nat outside ip pim dense-mode пул ip nat pool MyNAT 7.7.7.7 7.7.7.7 netmask 255.255.255.0 списки access-list 100 permit udp y.y.y.y 0.0.0.255 any трансляцие (нерабочие) ip nat inside source list 100 pool MyNAT overload ip nat inside source list 100 interface ..... overload трансляции (работающие) ip nat inside source list 100 pool MyNAT или ip nat inside source static ....... Вроде все самое простое. но не работает. в чем мои ошибки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 1 июня, 2020 · Жалоба https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipmulti_serv/configuration/xe-16/imc-serv-xe-16-book/imc-service-reflect.html надо использовать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Masha1 Опубликовано 1 июня, 2020 · Жалоба 34 minutes ago, zhenya` said: https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipmulti_serv/configuration/xe-16/imc-serv-xe-16-book/imc-service-reflect.html надо использовать. По описанию прямо то, что доктор прописал. Спасибо. Буду тестировать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 30 июля, 2020 · Жалоба On 5/29/2020 at 1:58 PM, alexdirty said: Вопросы из опыта эксплуатации 1004 (не знаю на сколько сильно отличается от 1006): 1. В одно и тоже время, это в ЧНН? 2. Общий rate на вход и выход перед "падением" и после "восстановления" насколько отличается? 3. Нет ли ошибок/дропов на интерфейсах ASR и на железе до/после? 4. Жалобы от клиентов какого рода? 5. Начните "рисовать" график утилизации QFP. У меня на 1004 в CLI доступен по show platform hardware qfp active datapath utilization qfp 0 а по SNMP iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9027.1 на одной и iso.3.6.1.4.1.9.9.715.1.1.6.1.14.9037.1 на другой. 6. Соответственно и графики трафика, cpu, количества трансляций в эти моменты может что-то подскажут. Проблема решилась заменой ESP платы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingvarrwvw Опубликовано 30 июля, 2020 · Жалоба При ~20гб трафика и 1 млн трансляций и включенном Netflow9 - задержки через ASR 1006 (ESP40 RP2) начинают расти,вплоть до 80мс и выше. Выключаем Netflow - все нормализуется тут же. Настройка NF самая дефолтная без агрегаций и прочих изысков. Есть у кого-нибудь схожие нагрузки и нормально функционирующий сбор netflow ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 30 июля, 2020 · Жалоба попробуйте сделать так чтобы половина трафика попадала в priority queue Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...