Всем привет!Есть ISA прокси, через которую пользователи выходят в интернет, ISA в свою очередь выходит через Cisco 2801 (через NAT) и при такой схеме на Cisco создаются тысячи динамических правил NAT для ISA из за чего происходим много интераптов и большая нагрузка CPU.
возможно есть метод указать один из внешних адресов чисто для ISA, чтобы динамические правила не создавались? пробовал статический NAT сделать для ISA - всё равно создаёт динамические правила...
Help ;)
>Всем привет!
>
>Есть ISA прокси, через которую пользователи выходят в интернет, ISA в свою
>очередь выходит через Cisco 2801 (через NAT) и при такой схеме
>на Cisco создаются тысячи динамических правил NAT для ISA из за
>чего происходим много интераптов и большая нагрузка CPU.Дежавю ;)
Ну, во первых, трафик какой?Во, вторых, на Кошке, дайте команду sh proc c s | e 0.0
Что кажет ?
>
>возможно есть метод указать один из внешних адресов чисто для ISA, чтобы
>динамические правила не создавались? пробовал статический NAT сделать для ISA -
>всё равно создаёт динамические правила...Ну, извините ;) NAT по другому не умеет
А сколько адресов пров дает?
>
>Help ;)
LBZ-RTR1#sh proc c s | e 0.0
CPU utilization for five seconds: 94%/66%; one minute: 86%; five minutes: 84%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
103 96052248 38651363 2485 26.77% 22.61% 21.67% 0 IP Input
278 2964968 5939439 499 0.41% 0.34% 0.34% 0 IP SLAs Event Pr
43 1247440 941698 1324 0.24% 0.23% 0.24% 0 Per-Second Jobs
18 2100344 3614634 581 0.16% 0.15% 0.14% 0 ARP Input---
LBZ-RTR1#sh proc c s | e 0.0
CPU utilization for five seconds: 68%/54%; one minute: 84%; five minutes: 84%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
103 96058828 38652643 2485 11.71% 20.83% 20.35% 0 IP Input
109 864 114 7578 0.98% 0.39% 0.11% 514 SSH Process
278 2965128 5939546 499 0.40% 0.35% 0.35% 0 IP SLAs Event Pr
280 1793564 1799181 996 0.24% 0.13% 0.12% 0 IP SNMP
43 1247560 941714 1324 0.24% 0.22% 0.23% 0 Per-Second Jobs
18 2100396 3614698 581 0.16% 0.15% 0.14% 0 ARP InputКак я отсюда вижу - очень много интераптов (66%/54%)
---
Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет выставлять.
---
Трафик примерно следующий: в пиках на отправку 9 мегабит (удалённые филиалы по vpn), на приём 6 мегабит (я так понимаю интернет).
И ещё важное уточнение: CISCO 2811 (не 2801 как я вначале написал) + включен Netflow.
>Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет
>выставлять.А пробовали на циске НАТ настраивать на пул адресов вместо одного?
>
>>Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет
>>выставлять.
>
>А пробовали на циске НАТ настраивать на пул адресов вместо одного?Нет. А это как нибудь может повлиять на загрузку?
>[оверквотинг удален]
>Пров даёт подсеть 255.255.255.240, но не хотелось бы ISA напрямую в интернет
>выставлять.
>
>---
>
>Трафик примерно следующий: в пиках на отправку 9 мегабит (удалённые филиалы по
>vpn), на приём 6 мегабит (я так понимаю интернет).
>
>И ещё важное уточнение: CISCO 2811 (не 2801 как я вначале написал)
>+ включен Netflow.При правильной настройке ISA можете ее совершенно спокойно выставлять в Инет. 2801 не вытянет, если Вы еще захотите что то публиковать в Инет или организовать удаленный доступ.
Все будет нормально, правильно настройте на исе файервол и будет Вам счастье.
Никакое железо имеющее доступ во внутреннюю сеть напрямую НЕЛЬЗЯ(!!!!!!!!) выставлять напрямую в Инет, именно для этого куча умных людей придумали всякие DMZ, SAFE и т.п.
По теме: заменяйте маршрутизатор или договаривайтесь с провайдером (или еще с кем во внешнем мире), чтобы связать Ваш и их прокси либо туннелем, либо перенаправлением запросов (родительский/дочерний прокси). В данном случае будет одна сессия, но мне кажется не спасет это - железо слабое.
Ну чего сказать..
Железка работает, как умеет ;)
Ищите альтернативу...
1.Либо Кошка "по-жирнее"....
Кстати, если телефонии нет, то можно использовать серию 1ХХХ
2. Либо вариант с "выставлением наружу"
3. Либо, что то, типа микротика.....