Доброго времени!
Может кто подскажет, как это победить.
Имеется Cisco 3660, которая делает NAT около 500 юзерам (одновременно выходят  не больше 50) на пул адресов.
1. Если не указывать таймауты трансляций, начинает быстро расти загрузка процессора, в конечном итоге все сдыхает. Если сделать clear ip nat tr *, загрузка сбрасывается и все начинается сначала. С таймаутами загрузка не больше 3%, но теперь периодически рубятся TCP-сессии(отваливается аська и т.п.). Пробовал вместо таймаутов указывать ip nat translation max-entries,
не помогает :(. Размер памяти и версия IOSа тоже не влияют.
2. При любых настройках транслирует в 99% на первый адрес из пула. Как бы заставить ее использовать ее весь пул?
Вот кусок конфига:

interface FastEthernet0/0
ip address 172.16.0.4 255.255.0.0
ip access-group ist in
ip nat inside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 218.228.63.254 255.255.255.0
ip access-group NO_SHIT in
ip access-group NO_SHIT out
ip nat outside
ip route-cache policy
ip route-cache flow
!
!---вот без этого долго не работает---
ip nat translation timeout 20
ip nat translation tcp-timeout 60
ip nat translation udp-timeout 60
ip nat translation dns-timeout 80
ip nat translation icmp-timeout 10
!-------------------------------------
ip nat pool pool1 218.228.63.100 218.228.63.200 netmask 255.255.255.0
ip nat inside source list 1 pool pool1 overload
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 permit 172.16.0.0 0.0.255.255

Заранее спасибо

• NAT на пул адресов,ВОЛКА, 15:59 , 25-Мрт-04
  • NAT на пул адресов,A Clockwork Orange, 21:57 , 25-Мрт-04
    • NAT на пул адресов,Agronom, 08:17 , 26-Мрт-04
      • NAT на пул адресов,A Clockwork Orange, 09:06 , 26-Мрт-04
      • NAT на пул адресов,ВОЛКА, 10:52 , 26-Мрт-04
        • NAT на пул адресов,kir, 15:13 , 26-Мрт-04
          • NAT на пул адресов,Agronom, 15:46 , 26-Мрт-04
        • NAT на пул адресов,Agronom, 15:45 , 26-Мрт-04
• NAT на пул адресов,ВОЛКА, 15:50 , 26-Мрт-04
  • NAT на пул адресов,Agronom, 11:59 , 29-Мрт-04
• NAT на пул адресов,NMA, 17:45 , 26-Мрт-04

вылелить вирус в локальной сети....

Волка.
Значит ли что данная cisco может натить 500 зрителей как нечего делать?

2 ВОЛКА
Думаю, вирусы тут ни при чем. Смотрим сниффером на предыдущем роутере. Основной траффик - HTTP, к тому же большая часть нижних портов фильтруется аксесс-листом.

2 Clockwork Orange
>Значит ли что данная cisco может натить 500 зрителей как нечего делать?
>
500 всего в сети. Когда возились с этой проблемой (пробовали убрать таймауты), киску валили за 10 мин. человек 20-30.
Я так думаю, если сейчас, с таймаутами, загрузка составляет около 3%, то Киска с задачей должна справляться. Наверное должен быть способ более грамотного избавления от устаревших трансляций..

3660 30 человек... удивительно, проде ведь зверь а не машина...

www.cisco.com поиск high cpu

>www.cisco.com поиск high cpu
Имхо,убери из своего конфига, строчку где ты декларируешь pool
просто одна запись ip nat inside source list (такой-то)интрефейс overload
и усе, ни надо тебе никаких еще полов цеплять, у тебя прекрасно будет работать динамическая трансляция

>>www.cisco.com поиск high cpu
>Имхо,убери из своего конфига, строчку где ты декларируешь pool
>просто одна запись ip nat inside source list (такой-то)интрефейс overload
>и усе, ни надо тебе никаких еще полов цеплять, у тебя прекрасно
>будет работать динамическая трансляция

так мне на пул желательно, чтоб разные адреса выдавались, а то, к примеру в некоторые места несколько хостов с одинаковым IP не пускает..
хотя, как я написал, это тоже толком не работает.

Может есть какие соображения по пункту (2)?

>www.cisco.com поиск high cpu

копался, что-то не нашел ничего внятного.. :(

конфиг полностью покажите....

>конфиг полностью покажите....
Там слишком много не относящегося к делу.. да и стесняюсь :)

Вирусня имеется, но всех вылечить не представляется возможным..
Пусть тогда натятся пока с таймаутами.

Спасибо всем за участие

Вирусняк наверняка. У меня такое же было - мсбласт постарался