 Cisco 3745: валится NAT,  HackerCB, 19-Янв-06, 12:51 [смотреть все]Помогите советом:Cisco3745: interface Loopback1 # чтобы netflow нормально экспортил
description FOR NAT netflow
ip address 192.168.88.1 255.255.255.0
ip route-cache policy
ip route-cache flow
! interface FastEthernet0/0 - Внешний, поднятно BGP
ip address x.x.x.x y.y.y.y
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache policy
ip route-cache flow
no ip mroute-cache
ip policy route-map NATMAP interface FastEthernet0/1.2 #внутренний
encapsulation dot1Q 591
ip address 10.60.0.1 255.255.255.0
ip nat inside
route-map NATMAP permit 10
match ip address 108
set interface Loopback1
!
ip nat pool natpool a.b.c.32 a.b.c.47 netmask 255.255.255.192 type rotary
ip nat inside source list 1 pool natpool access-list 1 permit 10.60.0.0 0.0.255.255
access-list 108 permit ip any 10.60.0.0 0.0.255.255
Когда 5-10 машин коннектиться - все без проблем.
Когда около 100 машин все начинает жутко тормозить ping yandex.ru 60%потерь.
Канал в инет нормальный, 10 Мбит, загружено около 30%.
|
- Cisco 3745: валится NAT, sh_, 14:12 , 19-Янв-06 (1)
Так и должно быть. Можно так сделать
interface FastEthernet0/0
no ip policy route-map NATMAP
но тогда считаться не будет...
На всякий случай sh proc cpu so 5s во время тормозов...
- Cisco 3745: валится NAT, HackerCB, 14:20 , 19-Янв-06 (2)
>Так и должно быть. Можно так сделать
>interface FastEthernet0/0
>no ip policy route-map NATMAP
>но тогда считаться не будет...
>На всякий случай sh proc cpu so 5s во время тормозов...
а overload не нужно ставить ?
- Cisco 3745: валится NAT, Nailer, 14:54 , 19-Янв-06 (3)
>>Так и должно быть. Можно так сделать
>>interface FastEthernet0/0
>>no ip policy route-map NATMAP
>>но тогда считаться не будет...
>>На всякий случай sh proc cpu so 5s во время тормозов...
>а overload не нужно ставить ? Смотря чего вы хотите добится. Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что из-за PBR циска впадает в process-switching. Посмотрите в сторону netflow egress, по-идее, он работает в CEF.
- Cisco 3745: валится NAT, HackerCB, 15:26 , 19-Янв-06 (4)
>>>Так и должно быть. Можно так сделать
>>>interface FastEthernet0/0
>>>no ip policy route-map NATMAP
>>>но тогда считаться не будет...
>>>На всякий случай sh proc cpu so 5s во время тормозов...
>>а overload не нужно ставить ?
>
>Смотря чего вы хотите добится.
>
>Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что
>из-за PBR циска впадает в process-switching.
>
>Посмотрите в сторону netflow egress, по-идее, он работает в CEF.
Во-первых у меня IOS 12.3(9), а он этого не умеет
во-вторых, если я на одном интерефейсе буду сливать также исходящий траф, а на других только входящий - то некоторый входящий будет считаться два раза...(который не проходит через NAT)
- Cisco 3745: валится NAT, Nailer, 15:52 , 19-Янв-06 (5)
>>>>Так и должно быть. Можно так сделать
>>>>interface FastEthernet0/0
>>>>no ip policy route-map NATMAP
>>>>но тогда считаться не будет...
>>>>На всякий случай sh proc cpu so 5s во время тормозов...
>>>а overload не нужно ставить ?
>>
>>Смотря чего вы хотите добится.
>>
>>Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что
>>из-за PBR циска впадает в process-switching.
>>
>>Посмотрите в сторону netflow egress, по-идее, он работает в CEF.
>Во-первых у меня IOS 12.3(9), а он этого не умеет
>во-вторых, если я на одном интерефейсе буду сливать также исходящий траф, а
>на других только входящий - то некоторый входящий будет считаться два
>раза...(который не проходит через NAT) Ну так включите только на внутреннем интерфейсе. Или у вас и DMZ до кучи на ней висит?
- Cisco 3745: валится NAT, HackerCB, 17:44 , 19-Янв-06 (6)
>>>>>Так и должно быть. Можно так сделать
>>>>>interface FastEthernet0/0
>>>>>no ip policy route-map NATMAP
>>>>>но тогда считаться не будет...
>>>>>На всякий случай sh proc cpu so 5s во время тормозов...
>>>>а overload не нужно ставить ?
>>>
>>>Смотря чего вы хотите добится.
>>>
>>>Проблема скорее всего в 100% загрузке проца, которая происходит из-за того, что
>>>из-за PBR циска впадает в process-switching.
>>>
>>>Посмотрите в сторону netflow egress, по-идее, он работает в CEF.
>>Во-первых у меня IOS 12.3(9), а он этого не умеет
>>во-вторых, если я на одном интерефейсе буду сливать также исходящий траф, а
>>на других только входящий - то некоторый входящий будет считаться два
>>раза...(который не проходит через NAT)
>
>Ну так включите только на внутреннем интерфейсе. Или у вас и DMZ
>до кучи на ней висит?
У нее 4 интерфейса:
1 - внешка (BGP)
2 - локалка+внешники №1
3 - локалка+внешники №2
4 - локалка+внешники №4между локалками нужно считать внутристевой трафик.
|
Версия для распечатки
