Доброго дня!Столкнулся с проблемой - загрузка CPU на роутере 3825 подпрыгивает до 95%. В принципе и трафика через неё проходит ~ 50 Мбит (где-то 35 в одну и остаток в обратную).
Хотелось бы понять причину - некорректная настройка либо достигнут предел производительности. Конфиг привожу ниже. Может можно еще что-нить "подкрутить"?На ней VPN (порядка 180-190 сесский), PPoE (пока 40, но будет больше, на VPN больше не сажаем людишек) и NAT.
На кошке стоит AIM-VPN/SSL-3 модуль.
Output
Command base-URL was: /level/15/exec/-
Complete URL was: /level/15/exec/-/sh/run/CR
Command was: sh runBuilding configuration...
Current configuration : 6713 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
no service dhcp
!
hostname Christie
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 fdgvcbERfgvc.
enable password 7 fdgvcbERfgvc
!
aaa new-model
!
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default local group radius
aaa accounting delay-start
aaa accounting network default start-stop group radius
!
aaa attribute list mitya_ip
attribute type addr 176.165.130.8 service ppp protocol ip
!
aaa session-id common
!
resource policy
!
clock timezone Riga 2
clock summer-time Riga date Mar 30 2003 3:00 Oct 26 2003 4:00
no ip source-route
ip icmp rate-limit unreachable DF 1
ip wccp web-cache redirect-list fwrSquid
!
ip cef
!
ip domain name sky
ip rcmd rsh-enable
ip rcmd remote-host mitya 10.10.254.1 root enable
vpdn enable
!
vpdn-group test
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
ip mtu adjust
!
voice-card 0
no dspfarm
!
no spanning-tree vlan 193
no spanning-tree vlan 254
username mitya privilege 15 secret 5 fdgvcbERfgvc
username mitiya privilege 0 password 7 fdgvcbERfgvc
username mitiya aaa attribute list mitya_ip
!
!
crypto keyring VPN
pre-shared-key address 10.10.0.0 255.255.0.0 key skyinet
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
!
crypto ipsec transform-set test esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map dyn-test 10
set transform-set test
!
!
crypto map test 10 ipsec-isakmp dynamic dyn-test
!
bba-group pppoe global
virtual-template 2
sessions max limit 500
ac name nas1
sessions per-mac limit 1
sessions per-vlan limit 500
sessions auto cleanup
!
!
interface GigabitEthernet0/0
ip address 78.122.134.46 255.255.255.252
ip nat outside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
ip address 192.168.7.254 255.255.255.0 secondary
ip address 10.10.1.249 255.255.255.0 secondary
ip address 192.168.234.254 255.255.255.252 secondary
ip address 192.168.0.254 255.255.255.0 secondary
ip address 10.10.21.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
media-type rj45
pppoe enable group global
no keepalive
fair-queue 100 256 0
crypto map test
!
interface FastEthernet0/0/0
switchport access vlan 193
!
interface FastEthernet0/0/1
switchport access vlan 254
!
interface FastEthernet0/0/2
switchport access vlan 193
!
interface FastEthernet0/0/3
switchport access vlan 254
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/0
ip mtu 1420
ip flow ingress
ip flow egress
ip tcp adjust-mss 1380
no logging event link-status
peer default ip address pool vpnpool
ppp mtu adaptive
ppp authentication ms-chap-v2
!
interface Virtual-Template2
mtu 1492
ip unnumbered GigabitEthernet0/1
ip wccp web-cache redirect in
ip flow ingress
ip flow egress
ip tcp adjust-mss 1452
no logging event link-status
autodetect encapsulation ppp
peer default ip address pool vpnpool
ppp max-bad-auth 3
ppp authentication chap radius
ppp authorization radius
ppp timeout retry 3
ppp timeout authentication 45
ppp timeout idle 3600
!
interface Vlan1
no ip address
no ip redirects
!
interface Vlan193
ip address 176.165.130.1 255.255.255.0
!
interface Vlan254
ip address 10.10.254.254 255.255.255.0
!
router bgp 34990
no synchronization
bgp router-id 176.165.130.1
bgp log-neighbor-changes
network 176.165.130.0
neighbor 78.122.134.45 remote-as 21219
neighbor 78.122.134.45 description Datagroup
neighbor 78.122.134.45 prefix-list defonly in
no auto-summary
!
ip local pool vpnpool 176.165.130.20 176.165.130.254
ip route 10.10.0.0 255.255.0.0 10.10.1.252
ip route 192.168.0.0 255.255.255.0 10.10.1.254
ip route 192.168.1.0 255.255.255.0 10.10.1.252
ip route 176.165.130.0 255.255.255.0 Null0 200
!
ip flow-cache timeout active 1
ip flow-export version 5
ip flow-export destination 10.10.254.1 9996
!
no ip http server
ip http authentication local
ip http secure-server
ip nat pool NATOVERLOAD 78.122.134.46 78.122.134.46 prefix-length 30
ip nat inside source list 50 pool NATOVERLOAD overload
ip nat inside source static 10.10.21.190 176.165.130.9
!
ip access-list standard fwrSquid
permit 176.165.130.135
permit 10.10.21.190
!
ip prefix-list defonly seq 5 permit 0.0.0.0/0
logging 10.10.251.1
access-list 50 permit 192.168.234.253
access-list 50 permit 10.10.254.1
snmp-server community fddfsgvcbERfgvc RO 50
no cdp run
!
radius-server host 10.10.254.1 auth-port 1812 acct-port 1813 key 7 fxvcxgfdgxcvxcvv
!
control-plane
!
line con 0
line aux 0
line vty 0 4
transport input telnet ssh
escape-character 3
!
scheduler allocate 20000 1000
!
endsh proc cpu sort 5min
CPU utilization for five seconds: 71%/63%; one minute: 70%; five minutes: 70%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
100 27139760 32226493 842 4.34% 4.25% 3.58% 0 IP Input
266 17376144 1385398 12542 1.06% 0.93% 0.91% 0 IP NAT Ager
17 7520056 19326731 389 0.73% 0.74% 0.76% 0 ARP Input
281 4412144 28132254 156 0.32% 0.28% 0.25% 0 NAT MIB Helper
270 848660 12856338 66 0.24% 0.25% 0.24% 0 PPP Events
269 392408 12784281 30 0.16% 0.16% 0.16% 0 PPP manager
259 800288 5798493 138 0.16% 0.14% 0.16% 0 L2X Data Daemon
5 1359396 73158 18581 0.00% 0.13% 0.15% 0 Check heaps
37 957788 175272 5464 0.24% 0.13% 0.12% 0 Net Background
85 55104 4613 11945 0.00% 0.00% 0.10% 578 SSH Process
282 271004 12564683 21 0.16% 0.12% 0.10% 0 RADIUS
46 525092 82172 6390 0.08% 0.08% 0.08% 0 Compute load avg
127 436252 644521 676 0.08% 0.08% 0.08% 0 CEF process
41 328120 410625 799 0.08% 0.08% 0.08% 0 Per-Second Jobs
2 69996 82108 852 0.00% 0.06% 0.07% 0 Load Meter
224 126308 2052040 61 0.08% 0.05% 0.06% 0 Atheros LED Ctro
217 503100 582071 864 0.00% 0.06% 0.05% 0 Crypto IKMP
161 97896 4042722 24 0.08% 0.04% 0.02% 0 RBSCP Background
284 265360 17022 15589 0.00% 0.03% 0.00% 0 VTEMPLATE Backgr
283 84920 27368 3102 0.08% 0.00% 0.00% 0 BGP Scanner
148 41476 6842 6061 0.08% 0.00% 0.00% 0 IP Cache Ager
40 8108 410035 19 0.08% 0.00% 0.00% 0 TTY Background
78 5148 410541 12 0.08% 0.00% 0.00% 0 Crypto Device Up
>Доброго дня!
>
>Столкнулся с проблемой - загрузка CPU на роутере 3825 подпрыгивает до 95%.
>В принципе и трафика через неё проходит ~ 50 Мбит (где-то
>35 в одну и остаток в обратную).
>Хотелось бы понять причину - некорректная настройка либо достигнут предел производительности. Конфиг
>привожу ниже. Может можно еще что-нить "подкрутить"?на предел не похоже
смотрите что у вас с CEF
ну и ваш софт на баги не смотрели?
>[оверквотинг удален]
>>
>>Столкнулся с проблемой - загрузка CPU на роутере 3825 подпрыгивает до 95%.
>>В принципе и трафика через неё проходит ~ 50 Мбит (где-то
>>35 в одну и остаток в обратную).
>>Хотелось бы понять причину - некорректная настройка либо достигнут предел производительности. Конфиг
>>привожу ниже. Может можно еще что-нить "подкрутить"?
>
>на предел не похоже
>смотрите что у вас с CEF
>ну и ваш софт на баги не смотрели?Вероятно из-за перелопачивания
ip address 192.168.7.254 255.255.255.0 secondary
ip address 10.10.1.249 255.255.255.0 secondary
ip address 192.168.234.254 255.255.255.252 secondary
ip address 192.168.0.254 255.255.255.0 secondary
ip address 10.10.21.254 255.255.255.0
>Вероятно из-за перелопачивания
> ip address 192.168.7.254 255.255.255.0 secondary
> ip address 10.10.1.249 255.255.255.0 secondary
> ip address 192.168.234.254 255.255.255.252 secondary
> ip address 192.168.0.254 255.255.255.0 secondary
> ip address 10.10.21.254 255.255.255.0Внутренний трафик не сильно влияет на загрузкку. Влияет именно интернетовский трафик.
>на предел не похоже
>смотрите что у вас с CEF
>ну и ваш софт на баги не смотрели?Суа работает вроде везед, кроме WCCP. Но щас не используется. Вот выборочный вывод sh cef int
Corresponding hwidb fast_if_number 2
Corresponding hwidb firstsw->if_number 2
Internet address is 77.222.144.46/30
ICMP redirects are always sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Inbound access list is not set
Outbound access list is not set
Hardware idb is GigabitEthernet0/0
Fast switching type 1, interface type 27
IP CEF switching enabled
IP CEF Feature Fast switching turbo vector
Input fast flags 0x400040, Input fast flags2 0x10, Output fast flags 0x10100, Output fast flags2 0x0
ifindex 2(2)
Slot 0 Slot unit 0 Unit 0 VC -1
Transmit limit accumulator 0x0 (0x0)
IP MTU 1500
GigabitEthernet0/1 is up (if_number 3)
Corresponding hwidb fast_if_number 3
Corresponding hwidb firstsw->if_number 3
Internet address is 10.10.21.254/24
Secondary address 192.168.7.254/24
Secondary address 10.10.1.249/24
Secondary address 192.168.234.254/30
Secondary address 192.168.0.254/24
ICMP redirects are never sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Inbound access list is not set
Outbound access list is not set
Hardware idb is GigabitEthernet0/1
Fast switching type 1, interface type 27
IP CEF switching enabled
IP CEF Feature Fast switching turbo vector
Input fast flags 0x4000C0, Input fast flags2 0x10, Output fast flags 0x10500, Output fast flags2 0x0
ifindex 3(3)
Slot 0 Slot unit 1 Unit 1 VC -1
Transmit limit accumulator 0x0 (0x0)
IP MTU 1500
WCCP:0 is up (if_number 23)
Corresponding hwidb fast_if_number 23
Corresponding hwidb firstsw->if_number 23
Internet Protocol processing disabled
Hardware idb is
Fast switching type 0, interface type 99
IP CEF switching disabled
IP CEF Feature Fast switching turbo vector
Input fast flags 0x0, Input fast flags2 0x0, Output fast flags 0x0, Output fast flags2 0x0
ifindex 15(15)
Slot -1 Slot unit -1 Unit 0 VC -1
Transmit limit accumulator 0x0 (0x0)
Virtual-Access4 is up (if_number 29)
Corresponding hwidb fast_if_number 29
Corresponding hwidb firstsw->if_number 29
Internet address is 0.0.0.0/0
Unnumbered interface. Using address of GigabitEthernet0/1 (10.10.21.254)
ICMP redirects are always sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Inbound access list is not set
Outbound access list is not set
Interface is marked as point to point interface
Hardware idb is Virtual-Access4
Fast switching type 7, interface type 21
IP CEF switching enabled
IP CEF Flow Fast switching turbo vector
Input fast flags 0x2200004, Input fast flags2 0x8, Output fast flags 0x200008, Output fast flags2 0x1
ifindex 19(19)
Slot -1 Slot unit 4 Unit 4 VC -1
Transmit limit accumulator 0x0 (0x0)
IP MTU 1492
Virtual-Access5 is up (if_number 30)
Corresponding hwidb fast_if_number 30
Corresponding hwidb firstsw->if_number 30
Internet address is 0.0.0.0/0
Unnumbered interface. Using address of GigabitEthernet0/0 (77.222.144.46)
ICMP redirects are always sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Inbound access list is not set
Outbound access list is not set
Interface is marked as point to point interface
Hardware idb is Virtual-Access5
Fast switching type 7, interface type 21
IP CEF switching enabled
IP CEF Flow Fast switching turbo vector
Input fast flags 0x2000004, Input fast flags2 0x8, Output fast flags 0x200008, Output fast flags2 0x1
ifindex 20(20)
Slot -1 Slot unit 5 Unit 5 VC -1
Transmit limit accumulator 0x0 (0x0)
IP MTU 1400Command was: sh ver
Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(9)T6, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Thu 18-Oct-07 21:45 by prod_rel_teamROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)
А вот на баги не смотрел.
> ifindex 20(20)
> Slot -1 Slot unit 5 Unit 5 VC -1
> Transmit limit accumulator 0x0 (0x0)
> IP MTU 1400Не понятно, почему MTU 1400, когда в конфиге указано 1420.
>А вот на баги не смотрел.А где баги поглядеть?
>>А вот на баги не смотрел.
>
>А где баги поглядеть?http://www.cisco.com/cgi-bin/Support/Bugtool/launch_bugtool.pl
12.4.9T6 в состоянии DF. Рекомендован апгрейд до 12.4.9T7
>[оверквотинг удален]
> ifindex 20(20)
> Slot -1 Slot unit 5 Unit 5 VC -1
> Transmit limit accumulator 0x0 (0x0)
> IP MTU 1400
>
>Command was: sh ver
>Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(9)T6, RELEASE SOFTWARE (fc2)
>Technical Support: http://www.cisco.com/techsupport
>Copyright (c) 1986-2007 by Cisco Systems, Inc.
>Compiled Thu 18-Oct-07 21:45 by prod_rel_teamc3825#sh adjacency summary
Dobav Linux mashiny i peretashi NAT na Linux, zagruzka TOCHNO upadet na 50% i bolshe
>Dobav Linux mashiny i peretashi NAT na Linux, zagruzka TOCHNO upadet na
>50% i bolsheХорошенький совет. А на кой шут тогда циска нужна?
>[оверквотинг удален]
>> Transmit limit accumulator 0x0 (0x0)
>> IP MTU 1400
>>
>>Command was: sh ver
>>Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(9)T6, RELEASE SOFTWARE (fc2)
>>Technical Support: http://www.cisco.com/techsupport
>>Copyright (c) 1986-2007 by Cisco Systems, Inc.
>>Compiled Thu 18-Oct-07 21:45 by prod_rel_team
>
>c3825#sh adjacency summaryCommand base-URL was: /level/15/exec/-
Complete URL was: /level/15/exec/-/sh/adjacency/summary/CR
Command was: sh adjacency summaryAdjacency Table has 394 adjacencies
1 IPv4 incomplete adjacency
Table epoch: 0 (394 entries at this epoch)Interface Adjacency Count
GigabitEthernet0/0 1
GigabitEthernet0/1 208
Vlan193 4
Vlan254 11
Virtual-Access3 1
Virtual-Access4 1
Virtual-Access5 1
Virtual-Access7 1
Virtual-Access8 1
Virtual-Access9 1
Virtual-Access10 1
Virtual-Access11 1
Virtual-Access13 1
Virtual-Access14 1
Virtual-Access15 1
Virtual-Access16 1
Virtual-Access17 1
Virtual-Access18 1
Virtual-Access19 1
Virtual-Access20 1
Virtual-Access22 1
Virtual-Access23 1
Virtual-Access24 1
Virtual-Access25 1
Virtual-Access26 1
Virtual-Access27 1
Virtual-Access28 1
Virtual-Access29 1
Virtual-Access30 1
Virtual-Access31 1
Virtual-Access32 1
Virtual-Access33 1
Virtual-Access34 1
Virtual-Access35 1
Virtual-Access36 1
Virtual-Access37 1
Virtual-Access38 1
Virtual-Access39 1
Virtual-Access40 1
Virtual-Access41 1
Virtual-Access42 1
Virtual-Access43 1
Virtual-Access44 1
Virtual-Access45 1
Virtual-Access46 1
Virtual-Access47 1
Virtual-Access50 1
Virtual-Access51 1
Virtual-Access52 1
Virtual-Access53 1
Virtual-Access55 1
Virtual-Access56 1
Virtual-Access57 1
Virtual-Access58 1
Virtual-Access59 1
Virtual-Access60 1
Virtual-Access61 1
Virtual-Access62 1
Virtual-Access63 1
Virtual-Access64 1
Virtual-Access66 1
Virtual-Access67 1
Virtual-Access68 1
Virtual-Access69 1
Virtual-Access70 1
Virtual-Access71 1
Virtual-Access72 1
Virtual-Access74 1
Virtual-Access75 1
Virtual-Access76 1
Virtual-Access77 1
Virtual-Access78 1
Virtual-Access79 1
Virtual-Access81 1
Virtual-Access82 1
Virtual-Access83 1
Virtual-Access84 1
Virtual-Access85 1
Virtual-Access86 1
Virtual-Access87 1
Virtual-Access88 1
Virtual-Access89 1
Virtual-Access90 1
Virtual-Access92 1
Virtual-Access93 1
Virtual-Access94 1
Virtual-Access96 1
Virtual-Access97 1
Virtual-Access98 1
Virtual-Access100 1
Virtual-Access101 1
Virtual-Access102 1
Virtual-Access103 1
Virtual-Access104 1
Virtual-Access105 1
Virtual-Access106 1
Virtual-Access107 1
Virtual-Access108 1
Virtual-Access109 1
Virtual-Access110 1
Virtual-Access112 1
Virtual-Access113 1
Virtual-Access114 1
Virtual-Access115 1
Virtual-Access116 1
Virtual-Access117 1
Virtual-Access118 1
Virtual-Access120 1
Virtual-Access121 1
Virtual-Access122 1
Virtual-Access124 1
Virtual-Access125 1
Virtual-Access127 1
Virtual-Access128 1
Virtual-Access129 1
Virtual-Access130 1
Virtual-Access131 1
Virtual-Access132 1
Virtual-Access133 1
Virtual-Access135 1
Virtual-Access136 1
Virtual-Access137 1
Virtual-Access138 1
Virtual-Access139 1
Virtual-Access140 1
Virtual-Access141 1
Virtual-Access143 1
Virtual-Access144 1
Virtual-Access145 1
Virtual-Access147 1
Virtual-Access148 1
Virtual-Access150 1
Virtual-Access151 1
Virtual-Access152 1
Virtual-Access153 1
Virtual-Access154 1
Virtual-Access156 1
Virtual-Access157 1
Virtual-Access158 1
Virtual-Access159 1
Virtual-Access160 1
Virtual-Access161 1
Virtual-Access162 1
Virtual-Access163 1
Virtual-Access164 1
Virtual-Access165 1
Virtual-Access166 1
Virtual-Access167 1
Virtual-Access168 1
Virtual-Access169 1
Virtual-Access170 1
Virtual-Access171 1
Virtual-Access172 1
Virtual-Access173 1
Virtual-Access174 1
Virtual-Access175 1
Virtual-Access176 1
Virtual-Access178 1
Virtual-Access179 1
Virtual-Access180 1
Virtual-Access181 1
Virtual-Access182 1
Virtual-Access183 1
Virtual-Access184 1
Virtual-Access185 1
Virtual-Access187 1
Virtual-Access189 1
Virtual-Access190 1
Virtual-Access191 1
Virtual-Access192 1
Virtual-Access193 1
Virtual-Access194 1
Virtual-Access195 1
Virtual-Access196 1
>[оверквотинг удален]
>>
>>c3825#sh adjacency summary
>
>Command base-URL was: /level/15/exec/-
>Complete URL was: /level/15/exec/-/sh/adjacency/summary/CR
>Command was: sh adjacency summary
>
>Adjacency Table has 394 adjacencies
> 1 IPv4 incomplete adjacency
> Table epoch: 0 (394 entries at this epoch)Ну вот одна из очень возможных причин: incomplete adjacency
Трафик обрабатывается процессором.
Смотрите где именно у вас проблема.
Вот тут расписывается что может быть причиной и как полечить:
http://www.cisco.com/en/US/tech/tk827/tk831/technologies_tec...
одназначно отказываться от цисковского ната,
на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
и 40000 сессий загрузка около 80%).
Линухами можно легко 250 мегабит пронатить.>[оверквотинг удален]
>>
>>Adjacency Table has 394 adjacencies
>> 1 IPv4 incomplete adjacency
>> Table epoch: 0 (394 entries at this epoch)
>
>Ну вот одна из очень возможных причин: incomplete adjacency
>Трафик обрабатывается процессором.
>Смотрите где именно у вас проблема.
>Вот тут расписывается что может быть причиной и как полечить:
>http://www.cisco.com/en/US/tech/tk827/tk831/technologies_tec...
>одназначно отказываться от цисковского ната,
>на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
>и 40000 сессий загрузка около 80%).
>Линухами можно легко 250 мегабит пронатить.Дело в том, что ната там идет максимально возможно - это 15 Мбит. А в реале, я думаю 5-10. И по предыдущем постам, я приводил команду sh proc cpu sort 5m - в процесах NAT, если займет 10% хоршо будет.
А проблема не в потоке,
а в кол-ве пакетов и стейтов.
Если народ юзает торенты и подобное,
то генерится много пакетов и нат сильно грузит CPU прерываниями.
Для большой производительность проще нат сделать на линухах,
либо смотреть в сторону ACE (что есть дорого).>>одназначно отказываться от цисковского ната,
>>на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
>>и 40000 сессий загрузка около 80%).
>>Линухами можно легко 250 мегабит пронатить.
>
>Дело в том, что ната там идет максимально возможно - это 15
>Мбит. А в реале, я думаю 5-10. И по предыдущем постам,
>я приводил команду sh proc cpu sort 5m - в процесах
>NAT, если займет 10% хоршо будет.
>А проблема не в потоке,
>а в кол-ве пакетов и стейтов.
>Если народ юзает торенты и подобное,
>то генерится много пакетов и нат сильно грузит CPU прерываниями.
>Для большой производительность проще нат сделать на линухах,
>либо смотреть в сторону ACE (что есть дорого).
>статистику по нату разве уже показывали?
все это голословно если не видеть статистику
sh ip nat stat
>статистику по нату разве уже показывали?
>все это голословно если не видеть статистику
>sh ip nat statCommand was: sh ip nat stat
Total active translations: 37146 (1 static, 37145 dynamic; 37145 extended)
Outside interfaces:
GigabitEthernet0/0
Inside interfaces:
GigabitEthernet0/1
Hits: 868482095 Misses: 91656266
CEF Translated packets: 926724511, CEF Punted packets: 65056985
Expired translations: 95837535
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 50 pool NATOVERLOAD refcount 37136
pool NATOVERLOAD: netmask 255.255.255.252
start 77.222.144.46 end 77.222.144.46
type generic, total addresses 1, allocated 1 (100%), misses 0
Queued Packets: 0
Прыдущий пост я ответил, только имя почему-то другое высветилось.
>>одназначно отказываться от цисковского ната,
>>на SUP-720 натом тоже сильно грузится проц (при потоке 70 мегабит
>>и 40000 сессий загрузка около 80%).
>>Линухами можно легко 250 мегабит пронатить.
>
>Дело в том, что ната там идет максимально возможно - это 15
>Мбит. А в реале, я думаю 5-10. И по предыдущем постам,
>я приводил команду sh proc cpu sort 5m - в процесах
>NAT, если займет 10% хоршо будет.Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты клеила именно от ната.
Изначально боролся с помощью "ip nat translation max-entries *" и "ip nat translation max-entries all-host *" соответственно максимальное количество записей всего на роутере и максимальное от каждого хоста. В итоге народ влезающий в лимиты по хосту начал выть, перенес нат на обычный сервер, все довольны.
>Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты
>клеила именно от ната.
>Изначально боролся с помощью "ip nat translation max-entries *" и "ip
>nat translation max-entries all-host *" соответственно максимальное количество записей всего наА если нат статический прописать? Это поможет изменить ситуацию?
>>Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты
>>клеила именно от ната.
>>Изначально боролся с помощью "ip nat translation max-entries *" и "ip
>>nat translation max-entries all-host *" соответственно максимальное количество записей всего на
>
>А если нат статический прописать? Это поможет изменить ситуацию?Ребята.. у меня та же проблема. Долго я с ней боролся и не мог найти правильной реализации!
Высокая загрузка ЦПУ(олоко 95%), при том, что через нее (as5350)проходило 15Мбит... Около 200 человек сидит под НАТом... соответственно на каждую айпишку этого человека прописан ацес-лист, к которому привязан траффик-шейп-групп на внутренний фаст-езернет.
Это все дело и душило Циску...
старый иос был c5350-is-mz.123-10b.binКогда залил ИОС c5350-jk9s-mz.124-21.bin , появилась возможность ограничивать количество сессий на айпишку.. но при этом увеличилось значение IP NAT Ager (от 13.97% до 20%) в #sh procc cpu sorted, хотя на старом иосе было меньше 1%.
Думаю выход с этой ситуации залить базовый иос c5350-is-mz.124-18.bin.
Так как мне надо именно фичу ip nat translation max-entries all-host, которая не доступна в 12,3 версиях ИОСа, а уже есть в 12,4 версиях._______________________________________________
Но , все таки, из всех ваших соображений и опыта, лучьше снять НАТ с кошки?
В таком случае не будет загррузка ЦПУ убивать ее? :)
>Я тоже посоветовал бы убрать нат с девайса, у меня 3845 ласты
>клеила именно от ната.
>Изначально боролся с помощью "ip nat translation max-entries *" и "ip
>nat translation max-entries all-host *" соответственно максимальное количество записей всего на
>роутере и максимальное от каждого хоста. В итоге народ влезающий в
>лимиты по хосту начал выть, перенес нат на обычный сервер, все
>довольны.Хаха. ASA чуток получше в плане НАТа. Но это + еще одна железка.
Так что линукс/bsd сервер как файрволл, как это ни смешно, актуален.
Всем спасибо!
>Всем спасибо!и каково же решение?
>>Всем спасибо!
>
>и каково же решение?Думаю, поставить статистический NAT. Спасибо большое за советы, много полезного познал. Народ у нас весь сидит на торентах...
Ребята.. у меня та же проблема. Долго я с ней боролся и не мог найти правильной реализации!
Высокая загрузка ЦПУ(олоко 95%), при том, что через нее (as5350)проходило 15Мбит... Около 200 человек сидит под НАТом... соответственно на каждую айпишку этого человека прописан ацес-лист, к которому привязан траффик-шейп-групп на внутренний фаст-езернет.
Это все дело и душило Циску...
старый иос был c5350-is-mz.123-10b.binКогда залил ИОС c5350-jk9s-mz.124-21.bin , появилась возможность ограничивать количество сессий на айпишку.. но при этом увеличилось значение IP NAT Ager (от 13.97% до 20%) в #sh procc cpu sorted, хотя на старом иосе было меньше 1%.
Думаю выход с этой ситуации залить базовый иос c5350-is-mz.124-18.bin.
Так как мне надо именно фичу ip nat translation max-entries all-host, которая не доступна в 12,3 версиях ИОСа, а уже есть в 12,4 версиях._______________________________________________
Но , все таки, из всех ваших соображений и опыта, лучьше снять НАТ с кошки?
В таком случае не будет загррузка ЦПУ убивать ее? :)____________________________________________________
ЕЩЕ ОДИН ВОПРОС: чем статический НАТ будет лучьше?
у меня нат организован так:ip nat pool NEW xxx.yyy.zzz.149 xxx.yyy.zzz.149 netmask 255.255.255.252
ip nat inside source list NAT pool NEW overloadи на внешний\внутренний интерфейсы ip nat outside\ip nat inside
Провел у себя эксперимент
Что имею:
c3825#sh proc cpu sort
CPU utilization for five seconds: 99%/1%; one minute: 79%; five minutes: 30%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
332 4738940 429772 11026 94.16% 69.54% 22.42% 0 IP NAT Ager
43 2035192 169059 12038 1.38% 1.33% 1.31% 0 Per-Second Jobs
5 215336 20105 10710 0.65% 0.19% 0.13% 0 Check heaps
122 362032 562474 643 0.49% 0.49% 0.49% 0 Skinny Msg Serve
113 570700 3178148 179 0.16% 2.13% 1.65% 0 IP Input
361 22360 3360906 6 0.08% 0.07% 0.08% 0 IP-EIGRP: PDM
102 40 247 161 0.08% 0.00% 0.00% 0 AAA Serverc3825#sh ip nat stat
Total active translations: 24897 (22 static, 24875 dynamic; 24891 extended)
Peak translations: 41602, occurred 1d00h ago
Outside interfaces:
FastEthernet0/0/1
Inside interfaces:
GigabitEthernet0/0
Hits: 25053786 Misses: 0
CEF Translated packets: 23481632, CEF Punted packets: 1861316
Expired translations: 1194096c3825#sh adjacency summary
Adjacency table has 143 adjacencies:
each adjacency consumes 276 bytes (0 bytes platform extension)
143 complete adjacencies
0 incomplete adjacencies
143 adjacencies of linktype IP
143 complete adjacencies of linktype IP
0 incomplete adjacencies of linktype IP
0 adjacencies with fixups of linktype IP
0 adjacencies with IP redirect of linktype IP
0 adjacencies post encap punt capable of linktype IPAdjacency database high availability:
Database epoch: 0 (143 entries at this epoch)Adjacency manager summary event processing:
Summary events epoch is 3
Summary events queue contains 0 events (high water mark 4 events)
Т.е. конечно процессор нагружен, но кошка при этом адекватна и нет сумасщедшей нагрузки проца по прерываниям.
Забыл добавить, 2 канала по 10 мбит/с
>[оверквотинг удален]
>
>Adjacency manager summary event processing:
> Summary events epoch is 3
> Summary events queue contains 0 events (high water mark 4 events)
>
>
>
>Т.е. конечно процессор нагружен, но кошка при этом адекватна и нет сумасщедшей
>нагрузки проца по прерываниям.
>Забыл добавить, 2 канала по 10 мбит/сНифига себе IP NAT AGER грузит ЦПУ...
а сколько клиентов сидит под НАТом?...
через циску проходит в тот момент 20 Мбит?...
а циска при єтом с локалки нормально пингуеться.. так как у меня уже задержки по 50-80 мс.
>[оверквотинг удален]
>> Summary events queue contains 0 events (high water mark 4 events)
>>
>>
>>
>>Т.е. конечно процессор нагружен, но кошка при этом адекватна и нет сумасщедшей
>>нагрузки проца по прерываниям.
>>Забыл добавить, 2 канала по 10 мбит/с
>
>Нифига себе IP NAT AGER грузит ЦПУ...
>а сколько клиентов сидит под НАТом?...не много, где-то 150
и это я ее на пике поямал, реально будничные значения не большие, т.е. где-то 5000-8000 трансляций
такие пиковые не часто случаются, тока в сезон массового выхода в инет>через циску проходит в тот момент 20 Мбит?...
да, 20 мбит
>а циска при єтом с локалки нормально пингуеться.. так как у меня
>уже задержки по 50-80 мс.более чем адекватно себя ведет
>[оверквотинг удален]
>
>
>>через циску проходит в тот момент 20 Мбит?...
>
>да, 20 мбит
>
>>а циска при єтом с локалки нормально пингуеться.. так как у меня
>>уже задержки по 50-80 мс.
>
>более чем адекватно себя ведетИнтересно.. у меня так же порядка 150 клиентов... ну и даже при загрузке 20 Мбит, колличество НАТ-сессий не превышает 10тыс.
Кстати какой щас ИОС у Вас стоит?
12,3 или 12,4... по айпишкам сесси ограничиваете?*
>[оверквотинг удален]
>>
>>>а циска при єтом с локалки нормально пингуеться.. так как у меня
>>>уже задержки по 50-80 мс.
>>
>>более чем адекватно себя ведет
>
>Интересно.. у меня так же порядка 150 клиентов... ну и даже при
>загрузке 20 Мбит, колличество НАТ-сессий не превышает 10тыс.
>
>Кстати какой щас ИОС у Вас стоит?12.4.20T1
>12,3 или 12,4... по айпишкам сесси ограничиваете?*
нет
у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят вклад.
>[оверквотинг удален]
>>
>>Кстати какой щас ИОС у Вас стоит?
>
>12.4.20T1
>
>>12,3 или 12,4... по айпишкам сесси ограничиваете?*
>
>нет
>у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят
>вклад.Ага.. тоесть у Вас НАТ на линуксах висит?
А где можна достать ИОС как у Вас? :)
>[оверквотинг удален]
>>
>>12.4.20T1
>>
>>>12,3 или 12,4... по айпишкам сесси ограничиваете?*
>>
>>нет
>>у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят
>>вклад.
>
>Ага.. тоесть у Вас НАТ на линуксах висит?Не... все тока на кошках, исключительно. Это моя позиция.
>А где можна достать ИОС как у Вас? :)
ммм... стукнись в асю 46131677
>>
>>Ага.. тоесть у Вас НАТ на линуксах висит?
>
>Не... все тока на кошках, исключительно. Это моя позиция.Ну и позиция моего начальства... которое категорически против линуксов и прочего..
только цисковско-подобное железо.
А я не хочу нести ответственность потом о железе.. которое купят за бешеные деньги.. и которое вскоре уже не будет подходить по своей функциональности.Все же склоняю шефа к испытания сети на линуксе. :)
>[оверквотинг удален]
>>
>>Не... все тока на кошках, исключительно. Это моя позиция.
>
>Ну и позиция моего начальства... которое категорически против линуксов и прочего..
>только цисковско-подобное железо.
>А я не хочу нести ответственность потом о железе.. которое купят за
>бешеные деньги.. и которое вскоре уже не будет подходить по своей
>функциональности.
>
>Все же склоняю шефа к испытания сети на линуксе. :):) кому чего
расскажи потом про испытания
>[оверквотинг удален]
>>>у нас есть публичные серверы, т.е. поброс во внутрь НАТом. Они вносят
>>>вклад.
>>
>>Ага.. тоесть у Вас НАТ на линуксах висит?
>
>Не... все тока на кошках, исключительно. Это моя позиция.
>
>>А где можна достать ИОС как у Вас? :)
>
>ммм... стукнись в асю 46131677ждю авторизейшн :)
>[оверквотинг удален]
>>>
>>>Ага.. тоесть у Вас НАТ на линуксах висит?
>>
>>Не... все тока на кошках, исключительно. Это моя позиция.
>>
>>>А где можна достать ИОС как у Вас? :)
>>
>>ммм... стукнись в асю 46131677
>
>ждю авторизейшн :)повтори, я снял антиспам
>>[оверквотинг удален]
>ммм... стукнись в асю 46131677Тоже стукнулся в аську. Тишина. :)
>>>[оверквотинг удален]
>>ммм... стукнись в асю 46131677
>
>Тоже стукнулся в аську. Тишина. :):) стучите тихо
еще раз попробуй
>>>>[оверквотинг удален]
>>>ммм... стукнись в асю 46131677
>>
>>Тоже стукнулся в аську. Тишина. :)
>
>:) стучите тихо
>еще раз попробуйтук-тук-тук :)