URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21073
[ Назад ]

Исходное сообщение
"подскажите как сделать траблешутинг ната? "
Отправлено ilya , 25-Май-10 10:17

Есть циска 2851. На ней есть несколько трансляций
например
ip nat inside source static tcp 1.1.1.2 3389 8.7.3.1 3389 extendable
ip nat inside source static tcp 1.1.1.3 4000 8.7.3.1 4000 extendable
ip nat inside source static tcp 1.1.1.4 4001 8.7.3.1 4001 extendable
Раз в неделю гдето отваливается одно из правил трансляции. На одно правило трансляции приходится примерно 1000-1500 соединений.
Т.е. подключиться по порту 4001 не получается. Делаю clear ip nat trans * - не помогает
Отключаю/включаю правило трансляции - все начинает работать
ИОС C2800NM-ADVENTERPRISEK9-M), Version 12.4(24)T3
debug ip nat translation приведет к зависанию циски т.к. средняя загрузка процессора - 30-40%.

Содержание

подскажите как сделать траблешутинг ната? ,teebot, 17:52 , 25-Май-10
- подскажите как сделать траблешутинг ната? ,ilya, 09:26 , 26-Май-10
  - подскажите как сделать траблешутинг ната? ,Pep, 22:58 , 27-Май-10
подскажите как сделать траблешутинг ната? ,_RAW_, 17:09 , 26-Май-10
- подскажите как сделать траблешутинг ната? ,ilya, 15:20 , 28-Май-10
  - подскажите как сделать траблешутинг ната? ,_RAW_, 12:03 , 01-Июн-10
    - подскажите как сделать траблешутинг ната? ,romanikq, 17:05 , 03-Июн-10

Сообщения в этом обсуждении

"подскажите как сделать траблешутинг ната? "
Отправлено teebot , 25-Май-10 17:52

ИМХО мало шансов что будет ответ.
Сегодня перед прочтением форума установил такой же ИОС. Теперь со страхом жду когда закончиться неделя.
Если будут какие-то новости отпишусь.
З.Ы. 40% загруки для циски это не нагрузка. Были времена когда у меня циска нормально работала с постоянной нагрузкой 80%. Вот когда нагрузка под 100% тогда она вешается и то если ломиться то можно прорваться, ну например для того что бы перегрузить девайс удалено.

"подскажите как сделать траблешутинг ната? "
Отправлено ilya , 26-Май-10 09:26

блин, надо было не лениться и посмотреть баг навигатор
у меня симптомы похоже этому багу. Поправил, дальше посмотрим.
CSCtf36262 , CSCtf36243
Symptom:
If an Access Control List (ACL) for the NAT inside local address and the NAT pool for the inside
global addresses overlap, after a dynamic translation expires, the ARP entry for the inside global
address is deleted. This results in the failure of outside-to-inside static translations that rely
on a cached ARP entry.

"подскажите как сделать траблешутинг ната? "
Отправлено Pep , 27-Май-10 22:58

Илья, доброго времени суток!
Проблема не нова. На тутошнем форуме встречалась несколько раз.
http://www.opennet.me/openforum/vsluhforumID6/16762.html
Сам недавно столкнулся, но пока не победил.
С ACL получилось?
\\
CSCsi30964 Bug Details:
Static NAT statement disappears from running-configuration
Symptoms:
On a Cisco router performing NAT, static NAT statements may disappear from the
running-configuration during operation. Any new flows requiring translation via
the missing statement may fail.
Conditions:
- This problem was first experienced in IOS 12.4(9)T.
- It has only been reported for extendable, inside source static NAT statements
for TCP ports 80 (HTTP) and 25 (SMTP), with and without a route-map:
Examples:
ip nat inside source static tcp x.x.x.x 25 y.y.y.y 25 extendable
ip nat inside source static tcp x.x.x.x 25 y.y.y.y 25 extendable route-map nonat
ip nat inside source static tcp x.x.x.x 80 y.y.y.y 80 route-map nonat extendable
- After the statement disappears from the running-configuration, it is still
visible in the startup-configuration.
- Existing translations created before the disappearance are cached in the NAT
translation table and continue to work correctly.
\\
>[оверквотинг удален]
>
>CSCtf36262 , CSCtf36243
>Symptom:
>If an Access Control List (ACL) for the NAT inside local address
>and the NAT pool for the inside
>global addresses overlap, after a dynamic translation expires, the ARP entry for
>the inside global
>address is deleted. This results in the failure of outside-to-inside static translations
>that rely
>on a cached ARP entry.

"подскажите как сделать траблешутинг ната? "
Отправлено _RAW_ , 26-Май-10 17:09

>debug ip nat translation приведет к зависанию циски т.к. средняя загрузка процессора
>- 30-40%.
а может более простенькие sh ip nat tra? или не вариант и надо налету?

"подскажите как сделать траблешутинг ната? "
Отправлено ilya , 28-Май-10 15:20

>>debug ip nat translation приведет к зависанию циски т.к. средняя загрузка процессора
>>- 30-40%.
>
>а может более простенькие sh ip nat tra? или не вариант и
>надо налету?
показывает трансляции. порядка 1500 записей на данное правило. точнее пыпытки установить соединение. как это дальше использовать я не понял.

"подскажите как сделать траблешутинг ната? "
Отправлено _RAW_ , 01-Июн-10 12:03

>>>debug ip nat translation приведет к зависанию циски т.к. средняя загрузка процессора
>>>- 30-40%.
>>
>>а может более простенькие sh ip nat tra? или не вариант и
>>надо налету?
>
>показывает трансляции. порядка 1500 записей на данное правило. точнее пыпытки установить соединение.
>как это дальше использовать я не понял.
можно как в юниксах что то типа grep использовать.
sh ip nat tra | i xxx.xxx.xxx.xxx - тобишь с маской фильтра. тогда интересующие транзакции будут.

"подскажите как сделать траблешутинг ната? "
Отправлено romanikq , 03-Июн-10 17:05

ip nat translation udp-timeout
ip nat translation dns-timeout
ip nat translation tcp-timeout
ip nat translation finrst-timeout
ip nat translation timeout