https://opennet.me/openforum/vsluhforumID6/17800.html Есть cisco 3620:<br>fa 1/0 - смотрит в другую циску (3725, ip 10.1.2.1), с которой идут пользователи с адресами 10.1.3.х<br>Serial1/0:0 - смотрит в интернет, куда этих пользователей надо выпустить через НАТ.<br><br>Вроде все стандартно:<br><br>interface FastEthernet1/0<br> description To Local<br> ip address 10.1.2.2 255.255.255.252<br> ip nat inside<br> speed 10<br> half-duplex<br>!<br>interface Serial1/0:0<br> description To Inet<br> ip address 94.25.10.94 255.255.255.252<br> ip nat outside<br> no fair-queue<br>!<br>ip nat inside source route-map nat_to_rt2 interface Serial1/0:0 overload<br>ip classless<br>ip route 0.0.0.0 0.0.0.0 94.25.10.93 100<br>ip route 10.1.3.0 255.255.255.0 10.1.2.1<br>no ip http server<br>!<br>access-list 100 permit ip 10.1.3.0 0.0.0.255 any log<br>access-list 100 deny ip any any log<br>no cdp run<br>route-map nat_to_rt2 permit 10<br> match ip address 100<br><br>Но не работает: с пользователя пингуется 94.25.10.94, но не дальше, т.е. уже 94.25.10.93 недоступен.<br><br>Команда<br>sh ip nat tr<br>показывает пустую таблицу трансляций.<br><br>Пробовал вариа https://opennet.me/openforum/vsluhforumID6/17800.html#17 Mon, 15 Dec 2008 03:54:54 GMT &gt;ip nat translation timeout 600 <br>&gt;ip nat translation max-entries 15000 <br><br>Логичней наверное уменьшать таймуат, чтобы таблица быстрее циской самостоятельно подчищалась? Или наоборот - частая подчистка таблицы будет отнимать больше процессорных ресурсов, чем обработка и поиск в большой таблице НАТа?<br> https://opennet.me/openforum/vsluhforumID6/17800.html#16 Sun, 14 Dec 2008 11:29:28 GMT &gt;&gt;Вот дефолтное время транляций, <br>&gt;<br>&gt;Дефолтовые значения знаю. :) <br>&gt;Вобщем, на сколько я понял, надо играться с двумя параметрами: <br>&gt;<br>&gt;ip nat translation timeout 900 <br>&gt;ip nat translation max-entries 25000 <br><br>Через 2 часа:<br><br>c3620#sh proc cpu s &#124; e 0.00<br>CPU utilization for five seconds: 99%/9%; one minute: 99%; five minutes: 98%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 33 36731948 3697691 9933 87.08% 88.93% 87.99% 0 IP Input<br> 105 1291764 2896761 445 0.92% 0.80% 0.89% 0 IP NAT Ager<br> 52 88436 7216 12255 0.85% 0.10% 0.06% 0 IP Cache Ager<br> 5 287120 47059 6101 0.42% 0.10% 0.06% 0 Check heaps<br><br>Циска практически в down-е. :(<br>Спасло только clear ip nat tr * :(<br>Конфиг такой:<br><br><br>Current configuration : 2705 bytes<br>!<br>version 12.2<br>service nagle<br>no service pad<br>service timestamps debug datetime localtime<br>service timestamps log datetime localtime<br>no service password-encryption<br>service comp https://opennet.me/openforum/vsluhforumID6/17800.html#15 Sun, 14 Dec 2008 10:56:59 GMT &gt;Вот дефолтное время транляций, <br><br>Дефолтовые значения знаю. :)<br>Вобщем, на сколько я понял, надо играться с двумя параметрами:<br><br>ip nat translation timeout 900<br>ip nat translation max-entries 25000<br><br>Сейчас при трафике 124.4 kKbytes/sec:<br><br>c3620#sh ip nat st<br>Total active translations: 20471 (0 static, 20471 dynamic; 20470 extended)<br>Outside interfaces:<br> Serial1/0:0<br>Inside interfaces:<br> FastEthernet1/0<br>Hits: 41647408 Misses: 1421079<br>Expired translations: 1353102<br>Dynamic mappings:<br>-- Inside Source<br>[Id: 10] access-list 100 interface Serial1/0:0 refcount 20471<br><br><br>c3620#sh proc cpu s &#124; e 0.00<br>CPU utilization for five seconds: 61%/10%; one minute: 67%; five minutes: 66%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 33 35148660 3684487 9539 50.90% 55.13% 53.91% 0 IP Input<br> 105 1271252 2886453 440 0.62% 0.41% 0.46% 0 IP NAT Ager<br> 3 24936 3297 7563 0.23% 0.02% 0.10% 66 Virtual Exec<br><br>Чет как-то многовато мне ка https://opennet.me/openforum/vsluhforumID6/17800.html#14 Sun, 14 Dec 2008 07:34:05 GMT Никак не повлияет.<br><br>Вот дефолтное время транляций, <br><br>Defaults<br><br>timeout: 86,400 seconds (24 hours)<br>udp-timeout: 300 seconds (5 minutes)<br>dns-timeout: 60 seconds (1 minute)<br>tcp-timeout: 86,400 seconds (24 hours)<br>finrst-timeout: 60 seconds (1 minute)<br>icmp-timeout: 60 seconds (1 minute)<br>pptp-timeout: 86,400 seconds (24 hours)<br>syn-timeout: 60 seconds (1 minute)<br> https://opennet.me/openforum/vsluhforumID6/17800.html#13 Sun, 14 Dec 2008 06:14:05 GMT &gt;Так Вы ограничили количество, а попробуйте еще ограничить время жизни трансляции, к <br>&gt;примеру равно 45 мин, и тогда посмотрите что у Вас получится. <br><br>Поставил 1 час для начала.<br>ip nat tr timeout 3600<br>Так?<br>Т.е. через час неактивные строки из таблицы трансляции будут вычищены автоматически? Как это повлияет на работу юзеров, сидящих за натом?<br> https://opennet.me/openforum/vsluhforumID6/17800.html#12 Sat, 13 Dec 2008 23:43:22 GMT Так Вы ограничили количество, а попробуйте еще ограничить время жизни трансляции, к примеру равно 45 мин, и тогда посмотрите что у Вас получится.<br><br>PS: Дефолтное время трансляции 24 часа, видать оно и забивает таблицу.<br><br>Удачи.<br> https://opennet.me/openforum/vsluhforumID6/17800.html#11 Sat, 13 Dec 2008 19:21:10 GMT Еще напасть:<br>начиная с какого-то момента начинает расти загрузка проца и убывать свободная процессорная память. Вижу -начинает циска "проседать", трафик проходит с трудом.<br><br>c3620#sh proc cpu s &#124; e 0.0<br>CPU utilization for five seconds: 99%/20%; one minute: 97%; five minutes: 80%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 33 24658672 2666750 9246 77.27% 67.83% 54.75% 0 IP Input<br> 105 967236 2102566 460 2.33% 6.60% 5.09% 0 IP NAT Ager<br><br>сделал<br><br>clear ip nat tr *<br><br>получил<br><br>c3620#sh proc cpu s &#124; e 0.00<br>CPU utilization for five seconds: 15%/9%; one minute: 16%; five minutes: 16%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 33 24939828 2738169 9108 5.98% 5.94% 6.29% 0 IP Input<br> 105 988196 2155644 458 0.24% 0.23% 0.43% 0 IP NAT Ager<br><br>c3620#sh ip nat stat<br>Total active translations: 1676 (0 static, 1676 dynamic; 1675 extended)<br>Outside interfaces:<br> Serial1/0:0<br>Ins https://opennet.me/openforum/vsluhforumID6/17800.html#10 Fri, 12 Dec 2008 09:29:07 GMT Рабочий вариант получился такой:<br>(без 110-го acl-я почему-то не работало)<br><br><br>interface FastEthernet1/0<br> description To Local<br> ip address 10.1.2.2 255.255.255.252<br> ip nat inside<br> speed 10<br> half-duplex<br>!<br>interface Serial1/0:0<br> description To Rostelecom<br> ip address 94.25.10.94 255.255.255.252<br> ip access-group 110 out<br> no ip proxy-arp<br> ip nat outside<br> no fair-queue<br>!<br>ip nat log translations syslog<br>ip nat translation max-entries 60000<br>ip nat pool to_rt2 94.25.10.94 94.25.10.94 netmask 255.255.255.252<br>ip nat inside source list 100 pool to_rt2 overload<br>ip classless<br>ip route 0.0.0.0 0.0.0.0 94.25.10.93 100<br>ip route 10.1.3.0 255.255.255.0 10.1.2.1<br>no ip http server<br>!<br>access-list 100 permit ip 10.1.3.0 0.0.0.255 any<br>access-list 100 deny ip any any<br>access-list 110 deny ip 10.1.3.0 0.0.0.255 any<br>access-list 110 permit ip any any<br><br> https://opennet.me/openforum/vsluhforumID6/17800.html#9 Fri, 12 Dec 2008 04:12:01 GMT Еще если возможно, попробуй подключиться непосредственно в порт FastEthernet1/0 с адресом 10.1.2.1<br><br>Я настраивал вот так у себя:<br>Cisco 7206<br>Правда тут с использованием VRF, но не суть.<br><br>ip vrf Test<br> rd xxxx:8<br> route-target export xxxx:8<br> route-target import xxxx:8<br><br>interface FastEthernet0/0.3<br> description Client 3<br> encapsulation dot1Q 3<br> ip vrf forwarding Test<br> ip address 3.3.3.1 255.255.255.252<br> ip nat inside<br> no snmp trap link-status<br><br>interface FastEthernet0/0.1017<br> description Uplink<br> encapsulation dot1Q 1017<br> ip address 333.114.179.179 255.255.255.248<br> ip nat outside<br> no snmp trap link-status<br><br>ip nat log translations syslog<br>ip nat pool Test 111.222.333.9 111.222.333.9 netmask 255.255.255.252<br><br>ip nat inside source list 8 pool Test vrf Test overload<br><br>ip route 0.0.0.0 0.0.0.0 333.114.179.177<br>ip route 111.222.333.8 255.255.255.248 Null0 100<br>ip route vrf Test 0.0.0.0 0.0.0.0 FastEthernet0/0.1017 333.114.179.177<br><br>access-list 8 permit 3.3.3.0 0.0.0.3<br><br><br>