URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9627
[ Назад ]

Исходное сообщение
"Cisco 3745: валится NAT"
Отправлено HackerCB , 19-Янв-06 12:51

Помогите советом:
Cisco3745:
interface Loopback1 # чтобы netflow нормально экспортил
description FOR NAT netflow
ip address 192.168.88.1 255.255.255.0
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0 - Внешний, поднятно BGP
ip address x.x.x.x y.y.y.y
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache policy
ip route-cache flow
no ip mroute-cache
ip policy route-map NATMAP
interface FastEthernet0/1.2 #внутренний
encapsulation dot1Q 591
ip address 10.60.0.1 255.255.255.0
ip nat inside
route-map NATMAP permit 10
match ip address 108
set interface Loopback1
!
ip nat pool natpool a.b.c.32 a.b.c.47 netmask 255.255.255.192 type rotary
ip nat inside source list 1 pool natpool
access-list 1 permit 10.60.0.0 0.0.255.255
access-list 108 permit ip any 10.60.0.0 0.0.255.255

Когда 5-10 машин коннектиться - все без проблем.
Когда около 100 машин все начинает жутко тормозить ping yandex.ru 60%потерь.
Канал в инет нормальный, 10 Мбит, загружено около 30%.

Содержание

Cisco 3745: валится NAT,sh_, 14:12 , 19-Янв-06
- Cisco 3745: валится NAT,HackerCB, 14:20 , 19-Янв-06
  - Cisco 3745: валится NAT,Nailer, 14:54 , 19-Янв-06
    - Cisco 3745: валится NAT,HackerCB, 15:26 , 19-Янв-06
      - Cisco 3745: валится NAT,Nailer, 15:52 , 19-Янв-06
        
        Cisco 3745: валится NAT,HackerCB, 17:44 , 19-Янв-06

Сообщения в этом обсуждении

"Cisco 3745: валится NAT"
Отправлено sh_ , 19-Янв-06 14:12

Так и должно быть. Можно так сделать
interface FastEthernet0/0
no ip policy route-map NATMAP
но тогда считаться не будет...
На всякий случай sh proc cpu so 5s во время тормозов...

"Cisco 3745: валится NAT"
Отправлено HackerCB , 19-Янв-06 14:20

>Так и должно быть. Можно так сделать
>interface FastEthernet0/0
>no ip policy route-map NATMAP
>но тогда считаться не будет...
>На всякий случай sh proc cpu so 5s во время тормозов...
а overload не нужно ставить ?

"Cisco 3745: валится NAT"
Отправлено Nailer , 19-Янв-06 14:54

>>Так и должно быть. Можно так сделать
>>interface FastEthernet0/0
>>no ip policy route-map NATMAP
>>но тогда считаться не будет...
>>На всякий случай sh proc cpu so 5s во время тормозов...
>а overload не нужно ставить ?
Смотря чего вы хотите добится.
Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что из-за PBR циска впадает в process-switching.
Посмотрите в сторону netflow egress, по-идее, он работает в CEF.

"Cisco 3745: валится NAT"
Отправлено HackerCB , 19-Янв-06 15:26

>>>Так и должно быть. Можно так сделать
>>>interface FastEthernet0/0
>>>no ip policy route-map NATMAP
>>>но тогда считаться не будет...
>>>На всякий случай sh proc cpu so 5s во время тормозов...
>>а overload не нужно ставить ?
>
>Смотря чего вы хотите добится.
>
>Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что
>из-за PBR циска впадает в process-switching.
>
>Посмотрите в сторону netflow egress, по-идее, он работает в CEF.
Во-первых у меня IOS 12.3(9), а он этого не умеет
во-вторых, если я на одном интерефейсе буду сливать также исходящий траф, а на других только входящий - то некоторый входящий будет считаться два раза...(который не проходит через NAT)

"Cisco 3745: валится NAT"
Отправлено Nailer , 19-Янв-06 15:52

>>>>Так и должно быть. Можно так сделать
>>>>interface FastEthernet0/0
>>>>no ip policy route-map NATMAP
>>>>но тогда считаться не будет...
>>>>На всякий случай sh proc cpu so 5s во время тормозов...
>>>а overload не нужно ставить ?
>>
>>Смотря чего вы хотите добится.
>>
>>Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что
>>из-за PBR циска впадает в process-switching.
>>
>>Посмотрите в сторону netflow egress, по-идее, он работает в CEF.
>Во-первых у меня IOS 12.3(9), а он этого не умеет
>во-вторых, если я на одном интерефейсе буду сливать также исходящий траф, а
>на других только входящий - то некоторый входящий будет считаться два
>раза...(который не проходит через NAT)
Ну так включите только на внутреннем интерфейсе. Или у вас и DMZ до кучи на ней висит?

"Cisco 3745: валится NAT"
Отправлено HackerCB , 19-Янв-06 17:44

>>>>>Так и должно быть. Можно так сделать
>>>>>interface FastEthernet0/0
>>>>>no ip policy route-map NATMAP
>>>>>но тогда считаться не будет...
>>>>>На всякий случай sh proc cpu so 5s во время тормозов...
>>>>а overload не нужно ставить ?
>>>
>>>Смотря чего вы хотите добится.
>>>
>>>Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что
>>>из-за PBR циска впадает в process-switching.
>>>
>>>Посмотрите в сторону netflow egress, по-идее, он работает в CEF.
>>Во-первых у меня IOS 12.3(9), а он этого не умеет
>>во-вторых, если я на одном интерефейсе буду сливать также исходящий траф, а
>>на других только входящий - то некоторый входящий будет считаться два
>>раза...(который не проходит через NAT)
>
>Ну так включите только на внутреннем интерфейсе. Или у вас и DMZ
>до кучи на ней висит?
У нее 4 интерфейса:
1 - внешка (BGP)
2 - локалка+внешники №1
3 - локалка+внешники №2
4 - локалка+внешники №4
между локалками нужно считать внутристевой трафик.