Merridius Опубликовано 1 октября, 2013 · Жалоба Добрый вечер всем. Подскажите кто в курсе, как там сейчас дела с Nat overload на ASR, на новых прошивках? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 2 октября, 2013 · Жалоба В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling). bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out. Symptom: When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped. Conditions: ASR running NAT PAP Workaround: none Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно. Если пофиксят, то можно будет сказать, что работает нормально. Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 2 октября, 2013 · Жалоба емнип CGN-NAT на ASR работает только для ppoe, никто не в курсе планов циски насчет реализации для ipoe? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 2 октября, 2013 · Жалоба Не совсем понимаю - а что все так пристали к CGNAT? В нём глюки всегда были, есть, и, похоже, ещё долго будут. Если не считать увеличения ёмкости по трансляциям при использовании CGNAT вдвое - "обычный" NAT вполне нормально работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 2 октября, 2013 · Жалоба "обычный" NAT вполне нормально работает Без overload - да, работает. С overload только делает вид, что работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 2 октября, 2013 · Жалоба Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 2 октября, 2013 · Жалоба Ну а если без этого PAP, нормально работает обычный nat overload? Или только если один адрес в пуле? А как без paired address может нормально работать пул на несколько адресов. На каждый новый коннект рандомный адрес из пула? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 13 октября, 2013 · Жалоба В текущей IOS XE (3.10.0) существует проблема с PAP (Paired Address Pooling). bug#CSCui91537 PAP not recycling GA when previous LA to GA mappings have timed out. Symptom: When new flows are established through an ASR configured with PAP; PAP does not allocate the new flows to GA that may have existing flows mapped it but their LA to GA mapping have not reached the limit as configured via the ip nat setting pap limit command, this causes an exhaustion of the pool and flows that require a translation are eventually dropped. Conditions: ASR running NAT PAP Workaround: none Обещают пофиксить в 3.10.1, когда будет релиз - неизвестно. Если пофиксят, то можно будет сказать, что работает нормально. Если не нужен CGN-NAT с PAP и в NAT-пуле только один адрес, то так уже работает. Данный баг имеет статус Fixed. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 14 октября, 2013 · Жалоба Данный баг имеет статус Fixed Ну да, fixed - дата 4 октября. Официальный ответ Cisco TAC: "The bug will be fixed in 3.10.1 release. The release date for the IOS is 31st Oct". Пока доступен только 3.10.0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 14 октября, 2013 (изменено) · Жалоба Ну да ведь релизы выпускают раз в 3 месяца. Изменено 14 октября, 2013 пользователем shaytan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 30 октября, 2013 · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 30 октября, 2013 (изменено) · Жалоба Не понимаю, вот честно. Даже у нас, обычной конторы (пусть и самой крупной в своем роде в россии) хватило денег купить /20... Зачем НАТ то? Изменено 30 октября, 2013 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 30 октября, 2013 · Жалоба Потому что не всех устраивает L2 до браса, и не всем нравится голый зад абонента, то бишь его белый айпи наружу. Мы в числе тех кого не устраивает, да и нет у нас /20. Холиварить на эту тему можно до усеру абсолютно без результата. По сабжу интересует кто юзал с ISG, 1 в 1 работает, но overload видимо будет нужен, т.к. темпы роста ipv6 очень унылые Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 31 октября, 2013 (изменено) · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? http://www.cisco.com/en/US/docs/routers/asr1000/release/notes/asr1k_rn_rel_notes.pdf Рекомендуемый rom-mon к IOS XE 3.10.x для: ASR1000-RP2: 15.2(1r)S ASR1000-ESP20: 15.3(3r)S ASR1000-SIP10: 15.3(3r)S1 Изменено 31 октября, 2013 пользователем shaytan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 15 ноября, 2013 · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 15 ноября, 2013 · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlevik Опубликовано 15 ноября, 2013 · Жалоба Работает ли в связке с ISG на одной коробке? Не знаю, у нас BRAS на MX80, ASR только для NAT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
psa79 Опубликовано 9 января, 2014 · Жалоба поделитесь 3.10.1 для rp1 и rp2 пожалуйста Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 9 января, 2014 · Жалоба Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
denis_vid Опубликовано 9 января, 2014 · Жалоба Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом. Я не в РФ, не в курсе нюансов, а СОРМ netflow с интерфейса в локальную сеть недостаточно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dazgluk Опубликовано 9 января, 2014 · Жалоба Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? А что тогда в СОРМ сливать? Они требуют трафик между брасом и натом. Думаю просто будем сливать до BRAS, чтож делать то :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 12 января, 2014 · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evg_b Опубликовано 25 марта, 2014 · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
evg_b Опубликовано 26 марта, 2014 · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? откатился на 10.1 Все заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 17 апреля, 2014 · Жалоба Вышел 3.10.1. Кто уже опробовал NAT с PAP? Протестили - работает нормально, баг с PAP исправлен. Теперь можно юзать ASR1K для NAT overload (в режиме CGN+PAP). Работает ли в связке с ISG на одной коробке? У нас на ASR1K запущен ISG + Netflow версия софта - 03.07.01 проблем нет НАТ делаем на x86, может уже можно переносить на ASR? У нас работает ISG + NAT(pap) + netflow. что-то на 3.11.1 прошивке FTP не работает через NAT. ip nat settings mode cgn no ip nat settings support mapping outside ip nat settings pap limit 1000 ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation max-entries 2000000 ip nat translation max-entries all-host 500 ip nat pool 1300 X.X.X.1 X.X.X.2 prefix-length 30 ip nat pool 1301 X.X.X.5 X.X.X.6 prefix-length 30 ip nat pool 1302 X.X.X.9 X.X.X.10 prefix-length 30 ip nat inside source list 1300 pool 1300 overload ip nat inside source list 1301 pool 1301 overload ip nat inside source list 1302 pool 1302 overload У кого-нибудь работает? В чем еще может быть ошибка в нстройках? откатился на 10.1 Все заработало. А мы на 3.10.0 (классический nat) имеем проблему с работой nat passive ftp, но при этом nat active ftp работает корректно. Настройка nat: ip nat settings pap ip nat translation timeout 300 ip nat translation tcp-timeout 180 ip nat translation pptp-timeout 1800 ip nat translation udp-timeout 180 ip nat translation syn-timeout 180 ip nat translation dns-timeout 120 ip nat translation icmp-timeout 120 ip nat translation port-timeout tcp 1600 10 ip nat translation port-timeout tcp 8080 10 ip nat translation port-timeout tcp 110 60 ip nat translation port-timeout tcp 25 60 ip nat translation port-timeout tcp 80 15 ip nat pool Pool-1 176.x.x.0 176.x.x.255 prefix-length 24 ip nat inside source list NAT-USERS pool Pool-1 overload Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...