Используем для доступа абонентов NAT+ip-pool
...
interface Virtual-Template1
ip unnumbered Loopback0
ip accounting output-packets
ip nat inside
ip flow ingress
ip route-cache policy
ip route-cache flow
ip tcp header-compression
ip mroute-cache
no peer default ip address
ppp authentication ms-chap-v2 chap
!
ip nat translation timeout 1800
ip nat translation tcp-timeout 900
ip nat translation udp-timeout 120
ip nat pool main-pool 88.147.xx.1 88.147.xy.254 prefix-length 22
ip nat inside source list 1 pool main-poolПробема в том, что даже когда timeout равен 1800, то очень медленно удаляются записи из nat-table.
Почему-то, даже когда интерфейса уже не существует, запись все еще есть, и не удаляется через пол часа. Возможно это из-за того, что кто-то из интернета долбится на этот ip, и по-этому запись не удаляется, а соответсвенно таблица очень быстро переполняется.Соответственно вопрос, можно сделать так, что чтобы при удалении интерфейса удалялась запись в нат-таблице?
Или есть какое-нибудь другое решение.
>[оверквотинг удален]
>Пробема в том, что даже когда timeout равен 1800, то очень медленно
>удаляются записи из nat-table.
>Почему-то, даже когда интерфейса уже не существует, запись все еще есть, и
>не удаляется через пол часа. Возможно это из-за того, что кто-то
>из интернета долбится на этот ip, и по-этому запись не удаляется,
>а соответсвенно таблица очень быстро переполняется.
>
>Соответственно вопрос, можно сделать так, что чтобы при удалении интерфейса удалялась запись
>в нат-таблице?
>Или есть какое-нибудь другое решение.timeout 1800 - 30 минут снизь до 600. мне хватало и TCP-300 UDP-30 DNS-5 должно хватить.
а из таблици он не удаляет потомучто она проверяется раньше чем место выхода пакета.
>timeout 1800 - 30 минут снизь до 600. мне хватало и TCP-300
>UDP-30 DNS-5 должно хватить.
>а из таблици он не удаляет потомучто она проверяется раньше чем место
>выхода пакета.После смены параметров таймаутов надо "передернуть" нат командой
clear ip nat tr *
или не обязательно?