Всем добрый день! Есть 7206VXR+512 МБ ОЗУ +NPE400. Загрузка при 25 Мбит/с от нас + 25 Мбит/с к нам (50 общее число) загрузка не поднимается выше 18-19%. Является ли нормальным то, что при вписывании ip nat inside/outside на интерфейсы + настройки пула и правила трансляции (ну т. е. обычная настройка НАТ) нагрузка выросла до 31-32%, хотя трафика от подсетей, которые нужно НАТить на нем пока что физически нет?
>Всем добрый день! Есть 7206VXR+512 МБ ОЗУ +NPE400. Загрузка при 25 Мбит/с
>от нас + 25 Мбит/с к нам (50 общее число) загрузка
>не поднимается выше 18-19%. Является ли нормальным то, что при вписывании
>ip nat inside/outside на интерфейсы + настройки пула и правила трансляции
>(ну т. е. обычная настройка НАТ) нагрузка выросла до 31-32%, хотя
>трафика от подсетей, которые нужно НАТить на нем пока что физически
>нет?Многовато имхо..
sh ip cef summ покажите
>Многовато имхо..
>
>sh ip cef summ покажитеshow ip cef summ
IP CEF with switching (Table Version 43), flags=0x0
30 routes, 0 reresolve, 0 unresolved (0 old, 0 new), peak 7
33 leaves, 16 nodes, 21128 bytes, 45 inserts, 12 invalidations
0 load sharing elements, 0 bytes, 0 references
universal per-destination load sharing algorithm, id 17EAE3C8
2(0) CEF resets, 1 revisions of existing leaves
Resolution Timer: Exponential (currently 1s, peak 1s)
1 in-place/0 aborted modifications
refcounts: 4401 leaf, 4352 nodeTable epoch: 0 (33 entries at this epoch)
Adjacency Table has 9 adjacencies
>>Многовато имхо..
>>
>>sh ip cef summ покажите
>
>show ip cef summ
>IP CEF with switching (Table Version 43), flags=0x0
> 30 routes, 0 reresolve, 0 unresolved (0 old, 0 new),
>peak 7
> 33 leaves, 16 nodes, 21128 bytes, 45 inserts, 12 invalidations
>
> 0 load sharing elements, 0 bytes, 0 references
> universal per-destination load sharing algorithm, id 17EAE3C8
> 2(0) CEF resets, 1 revisions of existing leaves
> Resolution Timer: Exponential (currently 1s, peak 1s)
> 1 in-place/0 aborted modifications
> refcounts: 4401 leaf, 4352 node
>
> Table epoch: 0 (33 entries at this epoch)
>
>Adjacency Table has 9 adjacenciessh ver
sh int switching
>sh ver
>sh int switchingCisco Internetwork Operating System Software
IOS (tm) 7200 Software (C7200-IS-M), Version 12.3(6a), RELEASE SOFTWARE (fc4)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 02-Apr-04 15:53 by kellythw
Image text-base: 0x60008AF4, data-base: 0x61C56000ROM: System Bootstrap, Version 12.2(4r)B2, RELEASE SOFTWARE (fc2)
BOOTLDR: 7200 Software (C7200-KBOOT-M), Version 12.3(6), RELEASE SOFTWARE (fc3)Emserv-7206VXR uptime is 5 weeks, 49 minutes
System returned to ROM by power-on
System restarted at 15:18:16 GMT Tue Mar 14 2006
System image file is "disk0:/c7200-is-mz.123-6a.bin"cisco 7206VXR (NPE400) processor (revision B) with 491520K/32768K bytes of memory.
Processor board ID 26825272
R7000 CPU at 350MHz, Implementation 39, Rev 3.3, 256KB L2 Cache
6 slot VXR midplane, Version 2.6Last reset from power-on
Bridging software.
X.25 software, Version 3.0.0.PCI bus mb0_mb1 has 600 bandwidth points
PCI bus mb2 has 400 bandwidth points5 FastEthernet/IEEE 802.3 interface(s)
125K bytes of non-volatile configuration memory.125440K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).
8192K bytes of Flash internal SIMM (Sector size 256K).
Configuration register is 0x2102
--------------------------------------------------------------------------------------
FastEthernet0/0
Throttle count 0
Drops RP 14 SP 0
SPD Flushes Fast 756 SSE 0
SPD Aggress Fast 0
SPD Priority Inputs 798098 Drops 0Protocol IP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 10160161 1167664014 11308162 1147833782
Cache misses 0 - - -
Fast 2015530152 1045497337 2522590948 4157237262
Auton/SSE 0 0 0 0Protocol ARP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 596949 35816940 789364 47361840
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0Protocol Other
Switching path Pkts In Chars In Pkts Out Chars Out
Process 0 0 302689 18161340
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0NOTE: all counts are cumulative and reset only after a reload.
FastEthernet0/1
Throttle count 2
Drops RP 2 SP 0
SPD Flushes Fast 518 SSE 0
SPD Aggress Fast 0
SPD Priority Inputs 402328 Drops 0Protocol IP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 9959919 1074376067 10152842 1140399712
Cache misses 0 - - -
Fast 2475489923 631873865 1971094979 4134201565
Auton/SSE 0 0 0 0Protocol ARP
Switching path Pkts In Chars In Pkts Out Chars Out
Process 244 14640 213 12780
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0Protocol Other
Switching path Pkts In Chars In Pkts Out Chars Out
Process 0 0 302689 18161340
Cache misses 0 - - -
Fast 0 0 0 0
Auton/SSE 0 0 0 0NOTE: all counts are cumulative and reset only after a reload.
>>sh ver
>>sh int switching
>
>Cisco Internetwork Operating System Software
>IOS (tm) 7200 Software (C7200-IS-M), Version 12.3(6a), RELEASE SOFTWARE (fc4)
>Copyright (c) 1986-2004 by cisco Systems, Inc.
>Compiled Fri 02-Apr-04 15:53 by kellythw
>Image text-base: 0x60008AF4, data-base: 0x61C56000
>
>ROM: System Bootstrap, Version 12.2(4r)B2, RELEASE SOFTWARE (fc2)
>BOOTLDR: 7200 Software (C7200-KBOOT-M), Version 12.3(6), RELEASE SOFTWARE (fc3)
>
>Emserv-7206VXR uptime is 5 weeks, 49 minutes
>System returned to ROM by power-on
>System restarted at 15:18:16 GMT Tue Mar 14 2006
>System image file is "disk0:/c7200-is-mz.123-6a.bin"
>
>cisco 7206VXR (NPE400) processor (revision B) with 491520K/32768K bytes of memory.
>Processor board ID 26825272
>R7000 CPU at 350MHz, Implementation 39, Rev 3.3, 256KB L2 Cache
>6 slot VXR midplane, Version 2.6
>
>Last reset from power-on
>Bridging software.
>X.25 software, Version 3.0.0.
>
>PCI bus mb0_mb1 has 600 bandwidth points
>PCI bus mb2 has 400 bandwidth points
>
>5 FastEthernet/IEEE 802.3 interface(s)
>125K bytes of non-volatile configuration memory.
>
>125440K bytes of ATA PCMCIA card at slot 0 (Sector size 512
>bytes).
>8192K bytes of Flash internal SIMM (Sector size 256K).
>Configuration register is 0x2102
>--------------------------------------------------------------------------------------
>FastEthernet0/0
> Throttle count
> 0
>
> Drops
> RP
> 14
> SP
>0
>
> SPD Flushes Fast
> 756
> SSE
> 0
>
> SPD Aggress Fast
> 0
>
>SPD Priority Inputs
>798098 Drops
> 0
>
> Protocol IP
> Switching path
> Pkts In Chars In
>Pkts Out Chars Out
>
> Process 10160161 1167664014
> 11308162 1147833782
>
>Cache misses
>0 -
> -
> -
>
> Fast 2015530152 1045497337
>2522590948 4157237262
>
> Auton/SSE
> 0
> 0
>0 0
>
>
> Protocol ARP
> Switching path
> Pkts In Chars In
>Pkts Out Chars Out
>
> Process 596949
> 35816940 789364 47361840
>
>
>Cache misses
>0 -
> -
> -
>
> Fast
> 0
> 0
> 0
> 0
>
> Auton/SSE
> 0
> 0
>0 0
>
>
> Protocol Other
> Switching path
> Pkts In Chars In
>Pkts Out Chars Out
>
> Process
> 0
> 0 302689
>18161340
>
>Cache misses
>0 -
> -
> -
>
> Fast
> 0
> 0
> 0
> 0
>
> Auton/SSE
> 0
> 0
>0 0
>
>
> NOTE: all counts are cumulative and reset only
>after a reload.
>FastEthernet0/1
> Throttle count
> 2
>
> Drops
> RP
> 2
> SP
> 0
>
> SPD Flushes Fast
> 518
> SSE
> 0
>
> SPD Aggress Fast
> 0
>
>SPD Priority Inputs
>402328 Drops
> 0
>
> Protocol IP
> Switching path
> Pkts In Chars In
>Pkts Out Chars Out
>
> Process 9959919 1074376067
> 10152842 1140399712
>
>Cache misses
>0 -
> -
> -
>
> Fast 2475489923
>631873865 1971094979 4134201565
>
> Auton/SSE
> 0
> 0
>0 0
>
>
> Protocol ARP
> Switching path
> Pkts In Chars In
>Pkts Out Chars Out
>
> Process
> 244 14640
> 213
>12780
>
>Cache misses
>0 -
> -
> -
>
> Fast
> 0
> 0
> 0
> 0
>
> Auton/SSE
> 0
> 0
>0 0
>
>
> Protocol Other
> Switching path
> Pkts In Chars In
>Pkts Out Chars Out
>
> Process
> 0
> 0 302689
>18161340
>
>Cache misses
>0 -
> -
> -
>
> Fast
> 0
> 0
> 0
> 0
>
> Auton/SSE
> 0
> 0
>0 0
>
>
> NOTE: all counts are cumulative and reset only
>after a reload.
Так у вас все правильно..Нагрузка возросла скорее всего из-за дополнительной проверки пакетов на предмет попадания под правила ната.
>Так у вас все правильно..
>
>Нагрузка возросла скорее всего из-за дополнительной проверки пакетов на предмет попадания под
>правила ната.Да, я так и подумал. Но до ТАКИХ величин. Ужас. Сколько же трансляций он потянет, или можно предположить, что увеличение до такого уровня и останется на месте, раз проверки уже выполняются? На этом аппарате еще BGP крутится от 2-х пиров, но там только дефолты принимается. На что можно по НАТу рассчитывать?
>Да, я так и подумал. Но до ТАКИХ величин. Ужас. Сколько же
>трансляций он потянет, или можно предположить, что увеличение до такого уровня
>и останется на месте, раз проверки уже выполняются? На этом аппарате
>еще BGP крутится от 2-х пиров, но там только дефолты принимается.
>На что можно по НАТу рассчитывать?Не на много. Активность сетевая повысится - начнет память заканчиваться, и придется играть с ip nat translation timeout что бывает чревато...
>Не на много. Активность сетевая повысится - начнет память заканчиваться, и придется
>играть с ip nat translation timeout что бывает чревато...Сколько приблизительно клиентов на эту железку при НАТе около 100 Мбит/с возможно?
>Не на много. Активность сетевая повысится - начнет память заканчиваться, и придется
>играть с ip nat translation timeout что бывает чревато...Памяти там - куча, из 512 занято всего 120. Больше процессорная нагрузка волнует.
У меня сейчас есть большая проблема в том, что nat переполнятется. Пользователь под ip адресом не соединяется, а nat висит уже давно.
Если выполнить команду
То видно записей с таймаутом по 3600000
И у пользователя не работает Интернет.tcp 62.140.253.8:6 172.16.130.26:6 24.1.126.230:80 24.1.126.230:80
create 00:25:22, use 00:25:13 timeout:3600000, left 00:34:46, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 21065002, lc_entries: 0
tcp 62.140.253.8:6 172.16.130.26:6 24.1.126.230:443 24.1.126.230:443
create 00:25:24, use 00:25:15 timeout:3600000, left 00:34:44, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 21064503, lc_entries: 0
tcp 62.140.253.8:6 172.16.130.26:6 24.1.126.230:3283 24.1.126.230:3283
create 00:33:28, use 00:08:05 timeout:3600000, left 00:51:54, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 20882487, lc_entries: 0В настройках у меня прописано таймауты на nat, но зависания ip продолжаются.
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 240
ip nat translation finrst-timeout 30
ip nat translation dns-timeout 45
на интерфейсах ip route-cache policy попробуй включить, если выключена.
Не помогает.
Всеравно появилась куча записей в NAT по пользователю больше 20000 записей.show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
extended, use_count: 0, entry-id: 74931494, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:55547 213.248.97.237:55547
create 00:00:58, use 00:00:23 timeout:60000, left 00:00:36, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74930404, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:55555 213.248.97.237:55555
create 00:00:05, use 00:00:05 timeout:60000, left 00:00:54, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74940584, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:55812 213.248.97.237:55812
create 00:00:57, use 00:00:31 timeout:60000, left 00:00:28, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74930538, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:56267 213.248.97.237:56267
create 00:01:21, use 00:00:25 timeout:60000, left 00:00:34, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74925788, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:56660 213.248.97.237:56660
Pro Inside global Inside local Outside local Outside global
create 00:00:58, use 00:00:58 timeout:60000, left 00:00:01, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74930374, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:56897 213.248.97.237:56897
create 00:00:25, use 00:00:25 timeout:60000, left 00:00:34, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74936554, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:57068 213.248.97.237:57068
create 00:00:02, use 00:00:02 timeout:60000, left 00:00:57, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74941177, lc_entries: 0
icmp 62.140.253.8:0 172.16.54.54:0 213.248.97.237:57371 213.248.97.237:57371
create 00:00:53, use 00:00:53 timeout:60000, left 00:00:06, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74931403, lc_entries: 0
udp 62.140.253.8:1168 172.16.54.54:1168 83.130.62.98:25794 83.130.62.98:25794
create 00:02:03, use 00:02:01 timeout:240000, left 00:01:58, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74923619, lc_entries: 0
udp 62.140.253.8:1168 172.16.54.54:1168 83.167.112.3:12194 83.167.112.3:12194
create 00:02:39, use 00:02:39 timeout:240000, left 00:01:20, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74915355, lc_entries: 0
udp 62.140.253.8:1168 172.16.54.54:1168 83.170.232.116:58407 83.170.232.116:58407
create 00:02:50, use 00:02:50 timeout:240000, left 00:01:09, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74913037, lc_entries: 0
udp 62.140.253.8:1168 172.16.54.54:1168 84.94.85.226:21189 84.94.85.226:21189
create 01:02:25, use 00:00:00 timeout:240000, left 00:03:59, Map-Id(In): 1,
Pro Inside global Inside local Outside local Outside global
flags:
extended, use_count: 0, entry-id: 74222231, lc_entries: 0
tcp 62.140.253.8:2052 172.16.54.54:2052 167.219.90.14:25 167.219.90.14:25
create 00:13:20, use 00:12:43 timeout:3600000, left 00:47:16, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74782490, lc_entries: 0
tcp 62.140.253.8:2058 172.16.54.54:2058 192.168.1.104:52002 192.168.1.104:52002
create 00:25:14, use 00:25:14 timeout:3600000, left 00:34:45, Map-Id(In): 1,
flags:
Pro Inside global Inside local Outside local Outside global
extended, use_count: 0, entry-id: 74633614, lc_entries: 0
tcp 62.140.253.8:2066 172.16.54.54:2066 192.168.0.2:43333 192.168.0.2:43333
create 00:47:48, use 00:47:48 timeout:3600000, left 00:12:11, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74375711, lc_entries: 0
tcp 62.140.253.8:2071 172.16.54.54:2071 172.17.94.15:17429 172.17.94.15:17429
create 00:07:34, use 00:07:31 timeout:3600000, left 00:52:28, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74857544, lc_entries: 0
tcp 62.140.253.8:2087 172.16.54.54:2087 81.19.80.29:80 81.19.80.29:80
create 00:06:18, use 00:04:00 timeout:3600000, left 00:55:59, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74873488, lc_entries: 0
icmp 62.140.253.8:2088 172.16.54.54:2088 68.209.226.113:554 68.209.226.113:554
create 00:00:09, use 00:00:09 timeout:60000, left 00:00:50, Map-Id(In): 1,
flags:
extended, use_count: 0, entry-id: 74950298, lc_entries: 0Если сделать clear ip nat translations то начинает работать.
Кто может подсказать в чем может быть сложность?Может это быть связано с торентами с пир то пир сетями.?
Мож конфиг посмотрим?
ip nat translation max-entries посмотри.
даfvpn#sh run
Building configuration...Current configuration : 7464 bytes
!
upgrade fpd auto
version 12.4
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname fvpn
!
boot-start-marker
boot system flash disk2:c7200p-adventerprisek9-mz.124-4.XD7.bin
boot-end-marker
!
enable password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login console enable
aaa authentication login vty local
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
!
aaa session-id common
!
resource policy
!
clock timezone Moscow 4
ip subnet-zero
ip cef
!
!
!
!
ip domain name fryazino.net
ip name-server 62.140.253.2
no ip rcmd domain-lookup
ip rcmd rcp-enable
ip rcmd rsh-enable
ip rcmd remote-host xxxxxxxx 192.168.0.2 root enable
ip rcmd source-interface GigabitEthernet0/3
vpdn enable
vpdn source-ip 192.168.2.1
vpdn aaa attribute nas-ip-address vpdn-nas
vpdn tunnel authorization virtual-template 1
vpdn tunnel authorization network default
vpdn session accounting network default
vpdn session-limit 20050
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
local name vpnauth
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-35519589
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-35519589
revocation-check none
rsakeypair TP-self-signed-35519589
!
!
crypto pki certificate chain TP-self-signed-35519589
certificate self-signed 01
xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx
xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx
xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx
quit
username xxxxxxxx privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
archive
log config
hidekeys
!
!
!
!
!
!
!
interface Loopback0
ip address 172.16.0.1 255.240.0.0
ip nat inside
ip virtual-reassembly
ip route-cache policy
!
interface GigabitEthernet0/1
ip address 62.140.253.8 255.255.255.240
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip ospf authentication
ip ospf authentication-key 7 12001105171C1D
ip ospf network broadcast
ip ospf cost 1
ip ospf priority 0
duplex auto
speed auto
media-type rj45
negotiation auto
!
interface FastEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 192.168.2.1 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
media-type rj45
negotiation auto
!
interface GigabitEthernet0/3
ip address 192.168.0.1 255.255.255.0
no ip proxy-arp
ip route-cache policy
duplex auto
speed auto
media-type rj45
negotiation auto
!
interface Virtual-Template1
ip unnumbered Loopback0
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache policy
no peer default ip address
ppp authentication chap
!
router ospf 1
router-id 62.140.253.5
log-adjacency-changes
area 0.0.0.2 authentication
redistribute connected subnets
network 62.140.252.0 0.0.0.127 area 0.0.0.2
network 62.140.253.0 0.0.0.15 area 0.0.0.2
network 88.84.198.0 0.0.0.15 area 0.0.0.2
distribute-list 2 out connected
!
ip default-gateway 62.140.253.1
ip classless
ip route 0.0.0.0 0.0.0.0 62.140.253.1
ip route 192.168.0.0 255.255.0.0 192.168.2.250
no ip http server
no ip http secure-server
!
ip flow-export source GigabitEthernet0/3
ip flow-export version 5
ip flow-export destination 192.168.0.2 9996
!
ip nat translation timeout 3600
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 240
ip nat translation finrst-timeout 30
ip nat translation dns-timeout 45
ip nat inside source list 1 interface GigabitEthernet0/1 overload
ip nat inside source static tcp xxx.xxx.xxx.xxx 443 62.140.253.8 443 extendable
!
logging alarm informational
access-list 1 permit 192.168.2.10
access-list 1 permit 192.168.2.2
access-list 1 permit 172.16.0.0 0.15.255.255
access-list 2 permit 62.140.252.0 0.0.0.127
access-list 2 permit 88.84.198.0 0.0.0.15
access-list 150 permit ip 172.16.0.0 0.15.255.255 host 172.16.0.1
access-list 150 deny ip 62.140.252.0 0.0.0.127 192.168.0.0 0.0.255.255
access-list 150 deny ip 88.84.198.0 0.0.0.15 192.168.0.0 0.0.255.255
access-list 150 deny ip 172.16.0.0 0.15.255.255 172.16.0.0 0.15.255.255
access-list 150 deny ip 172.16.0.0 0.15.255.255 192.168.0.0 0.0.255.255
access-list 150 deny tcp any any range 135 139
access-list 150 deny tcp any any eq 445
access-list 150 deny udp any any eq 80
access-list 150 deny udp any any range 135 netbios-ss
access-list 150 permit ip any any
access-list 151 deny tcp any host 62.140.253.5 eq 22
access-list 151 deny tcp any host 80.252.132.117 eq 22
access-list 151 permit ip any any
access-list 151 permit tcp any any
access-list 151 permit udp any any
access-list 151 permit icmp any any
snmp-server community xxxxxxxx RO
snmp-server host xxx.xxx.xxx.xxx version 2c trapmanager aaa_server config cpu syslog
!
!
!
radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
no radius-server attribute 77 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 30 original-called-number
radius-server host xxx.xxx.xxx.xxx auth-port 1812 acct-port 1813
radius-server retry method reorder
radius-server transaction max-tries 6
radius-server retransmit 0
radius-server key 7 xxxxxxxx
radius-server vsa send accounting
radius-server vsa send authentication
!
control-plane
!
!
!
!
!
gateway
timer receive-rtp 1200
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 30 0
privilege level 15
password 7 xxxxxxxx
transport input ssh
line vty 5 15
exec-timeout 30 0
privilege level 15
transport input telnet ssh
!
ntp clock-period 17180887
ntp peer 192.168.2.20
!
endЕсть вопрос по timeout
fvpn#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
fvpn(config)#ip nat translation timeout ?
<0-536870> Timeout in seconds
never Never timeout
fvpn(config)#ip nat translation timeoutЧто значит "Never timeout"
Никогда не умирать?
Это означает, что всегда будут висеть записи или что их убивать сразу без timeout?
Имхо очень смущает вот это дело.interface Loopback0
ip address 172.16.0.1 255.240.0.0
ip nat inside
ip virtual-reassembly
ip route-cache policyДля чего?
У меня больше 1000 пользователей подключается к этой cisco.interface Loopback0
Был создан в начале найтройки. Без него подключалось 300 пользователей и все.
>У меня больше 1000 пользователей подключается к этой cisco.
>
>interface Loopback0
>Был создан в начале найтройки. Без него подключалось 300 пользователей и все.
>Не он для других целей. Чтоб сервис у тебя постоянно находился в апе и на этом ипе. Просто такое делается для pppoe обычно. Лупбэк это вечно живой интерфейс.
Пока не вижу ничего что может тебе мешать.