Sergey R. Опубликовано 18 сентября, 2014 · Жалоба Коллеги, добрый день! Возникла следующая проблема: имеется ASR1002-X с NAT: ip nat pool main_nat_pool xxx.xxx.xxx.2 xxx.xxx.xxx.254 netmask 255.255.254.0 ip nat inside source list NAT_RULES pool main_nat_pool при работе игнорируется NAT_RULES. Т.е. ASR натит не только наружу, но и на другую внутреннюю подсеть, игнорируя запить 10 в acl причём та же конфигурация прекрасно работает если использовать nat overload. убираю overload и NAT_RULES игнорируются... ещё заметил что NAT_RULES работает, до первой сессии в интернет. т.е. первоначально обращения к внутренней подсети не натяться. делаю хотя бы одно обращение в инет - и всё. пошёл игнор NAT_RULES если сделать clear ip nat transl * - всё пойдёт по кругу... что я делаю не так? прошивка asr1002x-universalk9.03.10.03.S.153-3.S3-ext.SPA.bin ASR1002-X#sh access-lists NAT_RULES Extended IP access list NAT_RULES 10 deny ip 10.0.0.0 0.255.255.255 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx (подсеть, на которую натить не нужно) 60 permit ip 10.0.0.0 0.255.255.255 any (до всего остального натим) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 19 сентября, 2014 · Жалоба + ещё вопрос: у кого-нибудь есть удачный опыт использования nat overload? тестируем на прошивке 03.10.03.S железка перестаёт работать при трафике примерно ~1Г/c. спасает либо ребут либо очистка таблицы ната... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 19 сентября, 2014 · Жалоба А CGN пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alkanaft Опубликовано 19 сентября, 2014 · Жалоба да кривой нат в ios-xe на этих asr`ках, у самого похожие косяки были, плюс нат сам по себе падал и не поднимался без перезагрузки если менять его настройки в рантайме, плюс pptp ftp и прочие радости жини на нём в упор не работают, если повезёт и найдёте боле мене свижий ios-xe под свою железку может он там и будет работать, с аксес листами оно у меня чащще глючило примерно как у вас чем работало, в одну строчку с overload оно хоть как то работало, но абоны выли... на пул адресов натить оно так нормально и не захотело кончилось тем что выпросили ипешников белых в райпе... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 19 сентября, 2014 · Жалоба пробовали: overload - как я уже писал выше - постоянно проблемы возникают rotary - проблема с acl + при трафике 1Г/c нагрузка на cpu доходит до 10-20%. есть подозрение что трафик 30Г/c не осилит... обычный динамический nat 1к1 - проблема с acl. нагрузки на cpu нет. но с натом 1к1 может не получиться особой экономии белых ip... вариант отказа от ната рассматриваем, но лишь в крайнем случае. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 19 сентября, 2014 · Жалоба а чо нагрузка. контрол плейн в асрах только чистит трансляции и добавляет.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Merridius Опубликовано 19 сентября, 2014 · Жалоба Carrier grade nat попробуйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 22 сентября, 2014 · Жалоба на одном из узлов стоит 1004rp2 с софтом 03.10.01.S пользуем carier grade nat с оверлоадом + isg на ipoe, полёт нормальный, трафика гдето 2 гигабита Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
