Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Большая загрузка процессора Cisco 7206, Luxor (??), 22-Апр-09, (0) [смотреть все] модуль для vpn какойнить стоит или все софтваре далем А что вы хотели раз еще , den (??), 18:47 , 22-Апр-09, (1) // Den, спасибо за ответ 7206 незанимается терминированием VPN-тунелей, это делает , Luxor (??), 19:30 , 22-Апр-09, (2) // Имею 7204 NPE-G2 2 Full View Nat NetflowВ пике 100Мбит с вход и 50Мбит с вы, seducer (??), 10:19 , 23-Апр-09, (3) gt оверквотинг удален просто ради интереса иос какой на машине , green79 (ok), 13:48 , 23-Апр-09, (8) // gt оверквотинг удален rtr1-node10 sh verCisco IOS Software, 7200 Software C72, Luxor (??), 14:11 , 23-Апр-09, (9) gt оверквотинг удален NAT - Зло Думаю, проблема именно в нем Попробуйте пере, lumenous (ok), 10:20 , 23-Апр-09, (4)   // а у Вас часом не ebgp multihop, а то тут на форуме уже обсуждали случай когда дв, den (??), 11:23 , 23-Апр-09, (5)   // У меня Cisco 7206 с NPE G-1 через себя пропускает 360 Мб с 3 разных интерфейсов , Murzik (??), 12:41 , 23-Апр-09, (6)   // У меня вечерами в NAT порядка 150 тысяч трансляций Murzik, расскажите пожалуйста, Luxor (??), 13:16 , 23-Апр-09, (7)   Что вы хотите получить от этой железки с таким количеством трансляций Я огранич, seducer (??), 14:20 , 23-Апр-09, (10)   А как вы вычисляете таких пользователей Средствами IOS или програмку написали , Luxor (??), 14:24 , 23-Апр-09, (11)   И смех и грех но смотрю глазами - Без проблем отличаю дос от торретов,обычно , seducer (??), 14:43 , 23-Апр-09, (12)   gt оверквотинг удален Загрузка прилично падает, где-то на 30 До очистки табл, Luxor (??), 15:08 , 23-Апр-09, (13)   Повести на интерфейс на вход от пользователей динамический АСЛ и заблокируйте по, seducer (??), 15:23 , 23-Апр-09, (14)   Хорошо бы ограничить макимальное число трансляций для каждого хоста ip nat trans, alex.krav (ok), 08:04 , 24-Апр-09, (15)   А насчет плодить зоопарк тут я полностью согласен Т к сервера имеют такую не хо, Murzik (??), 12:39 , 24-Апр-09, (16)   gt оверквотинг удален Murzik, а какое время жизни трансляции NAT у вас приэтом, Luxor (??), 12:50 , 24-Апр-09, (17)   Чтобы с натом было меньше проблем, 7206 должны быть статические трансляции на пр, fenix2 (??), 13:33 , 24-Апр-09, (18) // Мне не совсем понятно как прокси-сервер который по сути является кэшэм для Web-с, Luxor (??), 14:24 , 24-Апр-09, (19) 1,4,18

Сообщения

[Сортировка по времени | RSS]

4. "Большая загрузка процессора Cisco 7206"	+/–
Сообщение от lumenous (ok), 23-Апр-09, 10:20
>[оверквотинг удален] >  Drop due to input queue full: 0 > > >rtr1-node10# sh ip cef summary >IPv4 CEF is enabled and running >VRF Default: > 283475 prefixes (283475/0 fwd/non-fwd) > Table id 0 > Database epoch:        0 (283475 >entries at this epoch) NAT - Зло. Думаю, проблема именно в нем. Попробуйте перенести его на отдельный сервер, если это конечно возможно. У нас в одном из городов стоит точно такая же циска. Насилуем ее как можем - MPLS, BGP, OSPF, vrf и тд и тп. На двух портах разруливает по 600-800 мбит трафика и загрузка в пики достигает 70-80 процентов. Мы как то пробовали NAT, сильно сжирает ресурсы =(((((
Ответить | Правка | Наверх | Cообщить модератору

	5. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от den (??), 23-Апр-09, 11:23
	а у Вас часом не ebgp multihop, а то тут на форуме уже обсуждали случай когда две сесии multihop без двух статик роутов к бордерам, в результате циска пересчитывала для всего full-view интерфейс в который отдавать трафик для каждого префикса. Это тоже сжирает ресурсы.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от Murzik (??), 23-Апр-09, 12:41
	У меня Cisco 7206 с NPE G-1 через себя пропускает 360 Мб с 3 разных интерфейсов с включенным натом и загрузка не превышает 40% видимо что то не в порядке с настройками ната.Помнится в свое время я конфигурил некоторые тонкие настройки ната так что он перестал потреблять процессорное время.Да еще на ней же 2 BGP Full View от 2 разных провайдеров
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от Luxor (??), 23-Апр-09, 13:16
	>У меня Cisco 7206 с NPE G-1 через себя пропускает 360 Мб >с 3 разных интерфейсов с включенным натом и загрузка не превышает >40% видимо что то не в порядке с настройками ната.Помнится в >свое время я конфигурил некоторые тонкие настройки ната так что он >перестал потреблять процессорное время.Да еще на ней же 2 BGP Full >View от 2 разных провайдеров У меня вечерами в NAT порядка 150 тысяч трансляций. Murzik, расскажите пожалуйста что вы имеете ввиду под тонкими настройками NAT, или покажите как он настроен у Вас. Вот как это выглядит у меня (удалили все что NAT на касается): interface GigabitEthernet0/1 description IP-tunnel-to-VPN-server (трафик поступающий с VPN-сервера) ip address 172.16.3.5 255.255.255.252 ip access-group LAN-FILTER in ip nat inside ! interface GigabitEthernet0/2 description StartTelecom (собственно провайдер) ip address 81.16.113.250 255.255.255.252 ip access-group WAN-FILTER in ip nat outside ! ip nat translation timeout 300 ip nat translation tcp-timeout 300 ip nat translation icmp-timeout 120 ip nat pool NAT-POOL {начало пула} {конец пула} prefix-length 28 ip nat inside source list NAT pool NAT-POOL overload Вот rtr1-node10#sh ip nat statistics Total active translations: 112505 (4 static, 112501 dynamic; 112495 extended) Peak translations: 154420, occurred 13:59:45 ago Outside interfaces:   GigabitEthernet0/2 Inside interfaces:   GigabitEthernet0/1 Hits: 1634249480  Misses: 0 CEF Translated packets: 1511307498, CEF Punted packets: 3116792470 Expired translations: 403175242 Dynamic mappings: -- Inside Source [Id: 1] access-list NAT pool NAT-POOL refcount 108780 pool NAT-POOL: netmask 255.255.255.240         start {начало пула} end {конец пула}         type generic, total addresses 15, allocated 2 (13%), misses 8 Appl doors: 0 Normal doors: 1 Queued Packets: 94 Отключил NetFlow нагрузка упала на 10%, но от этого мне легче так как сейчас порядка 70% к вечеру опять под 90% зашкаливать будет
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от seducer (??), 23-Апр-09, 14:20
	>У меня вечерами в NAT порядка 150 тысяч трансляций. Что вы хотите получить от этой железки с таким количеством трансляций? Я ограничиваю количество трансляций в 40000 ,НАТ пользователей у меня не так много. Но раз в месяц кто то регулярно хватает вирусню которая сжирает эти 40к за пару сек.Инет для НАТ пользователей тормозит пару минут зато сразу вычисляю вирусню.Может у вас такая же ситуация.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от Luxor (??), 23-Апр-09, 14:24
	>>У меня вечерами в NAT порядка 150 тысяч трансляций. > >Что вы хотите получить от этой железки с таким количеством трансляций? Я >ограничиваю количество трансляций в 40000 ,НАТ пользователей у меня не так >много. Но раз в месяц кто то регулярно хватает вирусню которая >сжирает эти 40к за пару сек.Инет для НАТ пользователей тормозит пару >минут зато сразу вычисляю вирусню.Может у вас такая же ситуация. А как вы вычисляете таких пользователей ? Средствами IOS или програмку написали ?
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от seducer (??), 23-Апр-09, 14:43
	>А как вы вычисляете таких пользователей ? Средствами IOS или програмку написали >? И смех и грех но смотрю глазами %-) .Без проблем отличаю дос от торретов,обычно это имеет вид "ipмоегоклиента(перебор порта) - ipсервера(порт сервиса 80 53 и тд)" + 5 экранов статы по sh ip nat tr, далее подозрительные трансляции deny в динамическом ACL , sh ip nat st. Знаю что бред но проблема переполнения НАТ еще не решалась больше 5 минут. Хотя в свое время написал парсер кот делает тоже самое.Еще никак не доходят руки сделать трэп на количество НАТ трансляций. Попробуйте в момент макс загрузки сделать clear ip nat tr * . Существенно ли упадет?
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от Luxor (??), 23-Апр-09, 15:08
	>[оверквотинг удален] >53 и тд)" + 5 экранов статы по sh ip nat >tr, далее подозрительные трансляции deny в динамическом ACL , sh ip >nat st. Знаю что бред но проблема переполнения НАТ еще не >решалась больше 5 минут. > >Хотя в свое время написал парсер кот делает тоже самое.Еще никак не >доходят руки сделать трэп на количество НАТ трансляций. > >Попробуйте в момент макс загрузки сделать clear ip nat tr * . >Существенно ли упадет? Загрузка прилично падает, где-то на 30%. До очистки таблицы транcляций NAT, загрузка центрального процессора была 75%/55%, сразу после очистки таблицы NAT стала 48%/34%, примерно через 3 минуты загрузка восстанавливается до исходных значений. Визуально определил пару клиентов которые очень вероятно подцепили вирусы... думаю перенести все-таки NAT на отдельный сервер.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от seducer (??), 23-Апр-09, 15:23
	Повести на интерфейс на вход от пользователей динамический АСЛ и заблокируйте подозрительных,если кол НАТ трансляций будет падать на десятки тысяц то это дос от пользователей. Нат это конечно зло , но плодить зоопарк серверов тоже не айс.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от alex.krav (ok), 24-Апр-09, 08:04
	>Повести на интерфейс на вход от пользователей динамический АСЛ и заблокируйте подозрительных,если >кол НАТ трансляций будет падать на десятки тысяц то это дос >от пользователей. Нат это конечно зло , но плодить зоопарк серверов >тоже не айс. Хорошо бы ограничить макимальное число трансляций для каждого хоста: ip nat translation max-entries all-host Установите это значение для начала = 300 и посмотрите (sh ip nat s) сколько хостов превышают этот порог трансляций
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от Murzik (??), 24-Апр-09, 12:39
	>>Повести на интерфейс на вход от пользователей динамический АСЛ и заблокируйте подозрительных,если >>кол НАТ трансляций будет падать на десятки тысяц то это дос >>от пользователей. Нат это конечно зло , но плодить зоопарк серверов >>тоже не айс. > >Хорошо бы ограничить макимальное число трансляций для каждого хоста: >ip nat translation max-entries all-host > >Установите это значение для начала = 300 и посмотрите (sh ip nat >s) сколько хостов превышают этот порог трансляций А насчет плодить зоопарк тут я полностью согласен.Т.к. сервера имеют такую не хорошую штуку как жесткие диски а по ночам хочется спать а не пересобирать рейды. У меня этот параметр стоит в 450 и всем пользователям кроме прокси этого хватает!
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Большая загрузка процессора Cisco 7206"	+/–
	Сообщение от Luxor (??), 24-Апр-09, 12:50
	>[оверквотинг удален] >>ip nat translation max-entries all-host >> >>Установите это значение для начала = 300 и посмотрите (sh ip nat >>s) сколько хостов превышают этот порог трансляций > >А насчет плодить зоопарк тут я полностью согласен.Т.к. сервера имеют такую не >хорошую штуку как жесткие диски а по ночам хочется спать а >не пересобирать рейды. >У меня этот параметр стоит в 450 и всем пользователям кроме прокси >этого хватает! Murzik, а какое время жизни трансляции NAT у вас приэтом установлено ?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема