Здравствуйте!Прошу помощи с CISCO 3825. Ситуация следующая:
Роутер теряет запросы DNS. В итоге юзерам приходится обновлять страницу, пока DNS запрос не пройдет. В момент проблемы, если пинговать с роутера DNS сервера, то все ок. Помогает перезагрузка маршрутизатора. На время.
На роутер приходит линия от провайдера + поток Е1. Кроме этого, маршрутизатор держит на себе внутреннюю телефонную сеть порядка 120 телефонов. Есть еще момент, после перезагрузки некоторые телефоны не загружаются. ТО есть продолжвают перезагрузкук в цикле, пока не вытащищь и не воткнешь кабель обратно. Посоветуйте где и как искать. Опыт настройки Циски небольшой. Максимум что получилось сделать это связать Циску с GSM шлюзом.
Надежды не теряю...
> Надежды не теряю...1. схема включения абонентов?
2. какой DNS у абонента прописан/выдан?
3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему не от абонента?) DNS сервер?
1. схема включения абонентов?
Не совсем понял. Есть терминальный сервер, с которого выходят в интернет. Есть клиенты, которые через другой маршрутизатор. Сам интернет приходит на эту циску.> 2. какой DNS у абонента прописан/выдан?
Пробовал разные, от провайдера, от гугла, от яндекса. DNS настраивается на самом клиенте. Дело не в сервере, есть другие клиенты с такими же проблемами.
> 3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему
> не от абонента?) DNS сервер?NSLOOKUP с клиента. На самой циске не знаю какие инструменты использовать.
Пингать с абонента не получается. В системе есть еще центральный свич (тоже циска, модель не помню, от серверной счас далеко) к которому и подключен этот терминальный сервер и все остальное, на нем закрыт ICMP трафик. То что не в нем дело, выяснил перезагрузив его и увидев, что проблема осталась.
Перезагружал также оборудование провайдера. Помогает только перезагрузка сабжа.
>[оверквотинг удален]
> проблемами.
>> 3. какие еще шаги для диагностики предпринимались кроме попингать с роутера (почему
>> не от абонента?) DNS сервер?
> NSLOOKUP с клиента. На самой циске не знаю какие инструменты использовать.
> Пингать с абонента не получается. В системе есть еще центральный свич (тоже
> циска, модель не помню, от серверной счас далеко) к которому и
> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
> трафик. То что не в нем дело, выяснил перезагрузив его и
> увидев, что проблема осталась.
> Перезагружал также оборудование провайдера. Помогает только перезагрузка сабжа.Ну пальцем в небо - на циске НАТ и проблема в нем, как вариант - обновить ИОС.
А так... "терминальный сервер" - если браузер тоже из него работает, дык с клинта проверять бесполезно.
> А так... "терминальный сервер" - если браузер тоже из него работает, дык
> с клинта проверять бесполезно.Ну интернет то сам пашет. Скажем если я IP вместо адреса в браузер ввожу (конечно если IP = сайт), то попаду на сайт. Не резолвятся конкретно адреса.
>> А так... "терминальный сервер" - если браузер тоже из него работает, дык
>> с клинта проверять бесполезно.
> Ну интернет то сам пашет. Скажем если я IP вместо адреса в
> браузер ввожу (конечно если IP = сайт), то попаду на сайт.
> Не резолвятся конкретно адреса.Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS запрос - UDP.
1. Смотрим логи циски на предмет аномалий.
2. смотрим статистику по NAT-у на той же циске.если после перезагрузки циски какое-то время все номально работает и потом вдруг начинает подглючивать, то очень похоже на утечку памяти или переполнение какой-нить таблицы..
Первое решается обновлением ИОС-а, второе тюнингом/обновлением/добавлением памяти (зависит от симптомов)
> Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS
> запрос - UDP.
> 1. Смотрим логи циски на предмет аномалий.
> 2. смотрим статистику по NAT-у на той же циске.Nat конечно есть. А как смотреть статистику и логи на Циске?
>> Судя по описанию - NAT таки присутствует; открытие сайта - TCP, DNS
>> запрос - UDP.
>> 1. Смотрим логи циски на предмет аномалий.
>> 2. смотрим статистику по NAT-у на той же циске.
> Nat конечно есть. А как смотреть статистику и логи на Циске?sh logging
sh ip nat ?
> sh logging
> sh ip nat ?Вот что есть в конфиге:
!
ip nat translation udp-timeout 5
ip nat translation max-entries 5000
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source list 2 interface GigabitEthernet0/1 overload //Это внешний интерфейс
!Не может быть, что срабатывает ограничение?
> Не может быть, что срабатывает ограничение?Ты админ? Сними, посмотри, что будет. Кардинально ничего не завалится, зато немного локализуешь проблему. Тем более, что косвенно и так всё указывает на проблемы с NAT-ом для UDP. Короче:
no ip nat translation udp-timeout 5
no ip nat translation max-entries 5000
> Ты админ? Сними, посмотри, что будет. Кардинально ничего не завалится, зато немного
> локализуешь проблему. Тем более, что косвенно и так всё указывает на
> проблемы с NAT-ом для UDP. Короче:
> no ip nat translation udp-timeout 5
> no ip nat translation max-entries 5000Спасибо, в момент напряга попробую.
Так, похоже причина найдена:
moscow-rp1#sh ip nat statistics
Total active translations: 4894 (0 static, 4894 dynamic; 4894 extended)
Peak translations: 5000, occurred 00:32:33 ago
Outside interfaces:
GigabitEthernet0/1
Inside interfaces:
GigabitEthernet0/0.2, GigabitEthernet0/0.3, Integrated-Service-Engine1/0
Loopback0
Hits: 12797308 Misses: 0
CEF Translated packets: 12514379, CEF Punted packets: 283014
Expired translations: 319630
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 interface GigabitEthernet0/0 refcount 0
[Id: 2] access-list 2 interface GigabitEthernet0/1 refcount 4894
Appl doors: 0
Normal doors: 0
Queued Packets: 0------------------------------
!
ip nat translation udp-timeout 5
ip nat translation max-entries 5000
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source list 2 interface GigabitEthernet0/1 overload
!Мы упираемся в это ограничение. Я уменьшил значение max-entry до 2000 и пропажа DNS запросов сразу появилась. Теперь вопросы знающим:
1. Зачем выставляется это ограничение, что будет если я увеличу его до, скажем 10 000? И что это за 5000 записей? За какой период времени? Единомоментно? Не многовато ли для 70 пользователей?
2. Что делает параметр ip nat translation udp-timeout 5? Как он связан с п.1? Это время хранения трансляции? Что будет если его уменьшить? Или это время пока он ждет ответа и если его нет, повторяет снова? Этот параметр может влиять на количество, которое упирается в max-entry?
> Мы упираемся в это ограничение. Я уменьшил значение max-entry до 2000 и
> пропажа DNS запросов сразу появилась. Теперь вопросы знающим:
> 1. Зачем выставляется это ограничение, что будет если я увеличу его до,
> скажем 10 000? И что это за 5000 записей? За какой
> период времени? Единомоментно? Не многовато ли для 70 пользователей?естественно одновременно. Но таблица не чистится моментально. А насчет много или мало, кто же вас знает что делают ваши 70 пользователей
> 2. Что делает параметр ip nat translation udp-timeout 5?видимо очищает трансляцию nat для udp, после указанного времени таймаута
>Что будет если его уменьшить?раньше очистится, разве нелогично?
> Или это время пока он ждет ответа и если его нет,
> повторяет снова?кто он?
>Этот параметр может влиять на количество, которое упирается в max-entry?может, если трансляция не чистится, то количество трансляций увеличивается до максимума.
Вам выше сказали, уберите строчки, посмотрите как будет работать. Ну или укажите свои значения, какие вам большенравятся
> Вам выше сказали, уберите строчки, посмотрите как будет работать. Ну или укажите
> свои значения, какие вам больше нравятсяЯ ж уже написал, что причина найдена. Устранена изменением значения с 5000 на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу помощи в том, чтобы знающие люди объяснили, что конкретно значат и на что влияют эти настройки.
Вот например, изменил я это значение и что, не будет ли такого, что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена специалистами внедрявшими систему - значит она должна иметь смысл? Вот я хочу понять, зачем она там стоит, почему 5000, а не 10000 и к чему может привести ее увеличение.
> Я ж уже написал, что причина найдена. Устранена изменением значения с 5000
> на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу
> помощи в том, чтобы знающие люди объяснили, что конкретно значат и
> на что влияют эти настройки.
> Вот например, изменил я это значение и что, не будет ли такого,
> что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена
> специалистами внедрявшими систему - значит она должна иметь смысл? Вот я
> хочу понять, зачем она там стоит, почему 5000, а не 10000
> и к чему может привести ее увеличение.Уже давно писали, что пользоваться поисковиками считается хорошим тоном. Канючить на форуме чтобы что-то объяснили - моветон.
Конкретно для вас на сайте Cisco сказано следующее:To limit the size of a Network Address Translation (NAT) table to a specified maximum, use the ip nat translation max-entries command in global configuration mode. To remove a specified limit, use the no form of this command.
ip nat translation max-entries { all-host | all-vrf | host ip-address | list { list-name | list-number } | redundancy redundancy-id number-of-entries | vrf name } number
no ip nat translation max-entries { all-host | all-vrf | host ip-address | list { list-name | list-number } | redundancy redundancy-id number-of-entries | vrf name } number
Ищущий, да обрящет! (с)
> Уже давно писали, что пользоваться поисковиками считается хорошим тоном. Канючить на форуме
> чтобы что-то объяснили - моветон.
> Конкретно для вас на сайте Cisco сказано следующее:
> To limit the size of a Network Address Translation (NAT) table
> to a specified maximum, use the ip nat translation max-entries command
> in global configuration mode. To remove a specified limit, use the
> no form of this command.Уважаемый, у вас по теме вопроса есть что сказать? То что на циско.ком я прочитал до того, как вопрос задать. Я спрашиваю, зачем нужно ограничивать эту таблицу, если нужно вообще. И вообще зачем нужен форум, если не для того, чтобы просить, чтобы что-то объяснили. Короче, моветон, то что вы тут написали.
> Я ж уже написал, что причина найдена. Устранена изменением значения с 5000
> на 10000. Выключить/включить/ресетнуть - это я сам могу дойти. Я прошу
> помощи в том, чтобы знающие люди объяснили, что конкретно значат и
> на что влияют эти настройки.
> Вот например, изменил я это значение и что, не будет ли такого,
> что дальше что-нибудь всплывет. Эта настройка предусмотрена производителем и установлена
> специалистами внедрявшими систему - значит она должна иметь смысл? Вот я
> хочу понять, зачем она там стоит, почему 5000, а не 10000
> и к чему может привести ее увеличение.Не так уж много цисок повидал, но вот ограничений на количество трансляций ни разу не встречал.
Если снять ограничение, самое плохое, что может случиться из-за разрастания таблицы - подскочит нагрузка на проц/заполнится память на маршрутизаторе и как результат начнут глобально теряться пакеты.
Во-первых, логично было бы помониторить вообще трафик - может там кто-то просто торренты качает, потому что добрый прошлый админ по дружбе открыл доступ. Тут ключевое слово для поиска в гугле - "Netflow".
Во-вторых, снимай ограничение в 5000 и мониторь состояние устройства - память и загрузку проца. Циски эти значения умеют отдавать по SNMP, так что ставь любую систему мониторинга, поднимай на Циске SNMP, снимай значения и потом смотри графики. Или просто смотри руками на самой циске:
show processes cpu sorted
show processes memory sorted
Если всё норм, то и забей.Ни на что другое это ограничение не повлияет.
Невнимательно прочитал. Трафик мониторить смысла нет - это всё наверняка от телефонии такой загруз. Там как раз udp. И ограничения видимо от этого выставлены были (по умолчанию таймаут udp - 60 секунд, а ограничений на количество трансляций вообще нет) - видимо телефония вешала циску, вот её и подрезали.В качестве примера того, что может быть в итоге:
http://habrahabr.ru/post/111990/
> Невнимательно прочитал. Трафик мониторить смысла нет - это всё наверняка от телефонии
> такой загруз. Там как раз udp. И ограничения видимо от этого
> выставлены были (по умолчанию таймаут udp - 60 секунд, а ограничений
> на количество трансляций вообще нет) - видимо телефония вешала циску, вот
> её и подрезали.
> В качестве примера того, что может быть в итоге:
> http://habrahabr.ru/post/111990/Спасибо большле. Вот конкретные внятные рекомендации и ответы!
> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
> трафик.Интересно что сие означает? Тупо блокировать весь ICMP траффик чревато проблемами хотябы с PathMTU. Не говоря уже об остальном.
>> подключен этот терминальный сервер и все остальное, на нем закрыт ICMP
>> трафик.
> Интересно что сие означает? Тупо блокировать весь ICMP траффик чревато проблемами хотябы
> с PathMTU. Не говоря уже об остальном.Нет, тупо его не блокируют. Блокируют только пинг.
Дополнительная информация:
Описание системы:1. От провайдера приходит E1 и Интернет по кабелю rj45. Заходит на GigabiEthernet Interface X в Cisco с выделением белого IP адреса.
2. С одного физического GigabiEthernet Interface идет несколько логических (VLAN) 0.0/1, 0.0/2 и так далее. В их числе телефонная VLAN, локальная внутренняя, локальная с интернетом. Это кабель идет через фаервол в Core Switch (Это насколько я понимаю управляемый свич, котороый держит на себе сеть).Также Кор свич раздает DHCP по тонким клиентам. Он спарен из двух для обеспечения балансировки нашгрузки на спраренных сетевых картах трех серверов, которые к нему подкючены. Эти три сервера являются терминальными, два из них находятся во внетренней сети без доступа в интернет, а третий (наш клиент) в сети с доступом в интернет. На нем сидят 50-80 пользователей и смотрят в браузеры.
3. Также в корсвич подключен обычный маршрутизатор TP-Link в той же VLAN, что и интеренет-сервер (терминальный №3). К этому маршрутизатору подключены клиенты напрямую для получения интернета. Испытывают те же проблемы.
> Дополнительная информация:
> Описание системы:
> Это кабель идет через фаервол в Core Switchо как, "незначительные" нюансы на пути
>> Дополнительная информация:
>> Описание системы:
>> Это кабель идет через фаервол в Core Switch
> о как, "незначительные" нюансы на путиКак подтвердилось, это именно незначительные нюансы, не имеющие отношения к проблеме.