Sergey R. Posted September 18, 2014 Posted September 18, 2014 Коллеги, добрый день! Возникла следующая проблема: имеется ASR1002-X с NAT: ip nat pool main_nat_pool xxx.xxx.xxx.2 xxx.xxx.xxx.254 netmask 255.255.254.0 ip nat inside source list NAT_RULES pool main_nat_pool при работе игнорируется NAT_RULES. Т.е. ASR натит не только наружу, но и на другую внутреннюю подсеть, игнорируя запить 10 в acl причём та же конфигурация прекрасно работает если использовать nat overload. убираю overload и NAT_RULES игнорируются... ещё заметил что NAT_RULES работает, до первой сессии в интернет. т.е. первоначально обращения к внутренней подсети не натяться. делаю хотя бы одно обращение в инет - и всё. пошёл игнор NAT_RULES если сделать clear ip nat transl * - всё пойдёт по кругу... что я делаю не так? прошивка asr1002x-universalk9.03.10.03.S.153-3.S3-ext.SPA.bin ASR1002-X#sh access-lists NAT_RULES Extended IP access list NAT_RULES 10 deny ip 10.0.0.0 0.255.255.255 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx (подсеть, на которую натить не нужно) 60 permit ip 10.0.0.0 0.255.255.255 any (до всего остального натим) Вставить ник Quote
Sergey R. Posted September 19, 2014 Author Posted September 19, 2014 + ещё вопрос: у кого-нибудь есть удачный опыт использования nat overload? тестируем на прошивке 03.10.03.S железка перестаёт работать при трафике примерно ~1Г/c. спасает либо ребут либо очистка таблицы ната... Вставить ник Quote
alkanaft Posted September 19, 2014 Posted September 19, 2014 да кривой нат в ios-xe на этих asr`ках, у самого похожие косяки были, плюс нат сам по себе падал и не поднимался без перезагрузки если менять его настройки в рантайме, плюс pptp ftp и прочие радости жини на нём в упор не работают, если повезёт и найдёте боле мене свижий ios-xe под свою железку может он там и будет работать, с аксес листами оно у меня чащще глючило примерно как у вас чем работало, в одну строчку с overload оно хоть как то работало, но абоны выли... на пул адресов натить оно так нормально и не захотело кончилось тем что выпросили ипешников белых в райпе... Вставить ник Quote
Sergey R. Posted September 19, 2014 Author Posted September 19, 2014 пробовали: overload - как я уже писал выше - постоянно проблемы возникают rotary - проблема с acl + при трафике 1Г/c нагрузка на cpu доходит до 10-20%. есть подозрение что трафик 30Г/c не осилит... обычный динамический nat 1к1 - проблема с acl. нагрузки на cpu нет. но с натом 1к1 может не получиться особой экономии белых ip... вариант отказа от ната рассматриваем, но лишь в крайнем случае. Вставить ник Quote
zhenya` Posted September 19, 2014 Posted September 19, 2014 а чо нагрузка. контрол плейн в асрах только чистит трансляции и добавляет.. Вставить ник Quote
Merridius Posted September 19, 2014 Posted September 19, 2014 Carrier grade nat попробуйте. Вставить ник Quote
skinner Posted September 22, 2014 Posted September 22, 2014 на одном из узлов стоит 1004rp2 с софтом 03.10.01.S пользуем carier grade nat с оверлоадом + isg на ipoe, полёт нормальный, трафика гдето 2 гигабита Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.