Ситуация такая:
мы подключены к интернету через одного провайдера (в смысле, что других пока нет и BGP/OSPF и прочее на нашем маршрутизаторе не поднято).
Подключены через ADSL-модем (канал - 2МБит).
С нашей стороны стоит маршрутизатор CISCO 3725 (конфиг прилагается ниже).
Мы раздаем интернет клиентам. Клиентские виланы терминируются на том же 3725.
С клиентской стороны есть DNS-сервер (также почта и прочее).
В конце месяца стали сравнивать трафик, что намеряли мы и тот, что нам отдал провайдер. Получилась разница в 4 Гб. По снимаемому с маршрутизатора ip accounting-у стало ясно, что эти гигабайты нагенерил сам маршрутизатор. При этом диапазон его IP-адресов, куда он лазил, практически был от 101.253.158.113 до 97.142.49.138 - ну с десяток тысяч адресов. Клиенты явно не могут лазить туда. Это он сам. Просветите плззззз, что с ним такое и как это можно вылечить.
Вообще он может и раньше такое делал....
А еще в начале мая я залил в него новый ios - который и сейчас на нем. Прежний начал "как-то не так работать" (периодически rate-limit вдруг переставал работать для каких попало клиентов и прочее) и, как мне тут в форуме посоветовали, я залил новый.И еще, может у кого есть данные, какой % прироста трафика дает то, что от нас к провайдеру он идет через ADSL? Там ведь тоже идет инкапсуляция, пакеты маленькие....
Вот обещаный конфиг:
в сторону провайдера смотрит Fa0/1
в сторону клинтов смотрит Fa0/0
NAT на Loopback0 сделан, чтобы можно было считать in и out трафик на клиентских интерфейсах с помощью ip accounting
интерфейс Serial0/0 не используется
------------------------------------------------------------
!
!
version 12.4
service timestamps debug uptime
service timestamps log datetime msec localtime
service password-encryption
service compress-config
!
hostname
!
boot-start-marker
boot system flash c3725-advipservicesk9-mz.124-5a.bin
boot-end-marker
!
security passwords min-length 6
logging buffered 4096 debugging
enable secret 5
!
no aaa new-model
!
resource policy
!
clock timezone XXX X
no ip cef
ip telnet source-interface FastEthernet0/0.3
!
!
username
!
!
interface Loopback0
ip address 10.200.0.1 255.255.255.0
ip accounting output-packets
ip accounting access-violations
ip nat inside
ip virtual-reassembly
!
interface FastEthernet0/0
description To inside
no ip address
load-interval 30
speed 100
half-duplex
no mop enabled
!
interface FastEthernet0/0.1
....................
!
interface FastEthernet0/0.2
....................
!
......
!
interface FastEthernet0/0.187
description
bandwidth 256
encapsulation dot1Q 187
ip address 10.187.0.1 255.255.0.0
ip access-group 100 in
no ip redirects
ip accounting output-packets
ip nat inside
ip virtual-reassembly
rate-limit input access-group 1393 256000 32000 48000 conform-action transmit exceed-action drop
..............
rate-limit input access-group 1465 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit output access-group 1393 256000 32000 48000 conform-action transmit exceed-action drop
.................
rate-limit output access-group 1465 64000 4000 4000 conform-action transmit exceed-action drop
ip policy route-map tst2
no ip mroute-cache
no snmp trap link-status
no cdp enable
!
.........................
.........................
!
interface Serial0/0
description From outside
no ip address
shutdown
clock rate 2000000
!
interface FastEthernet0/1
ip address 80.80.80.42 255.255.255.252
ip access-group 100 in
ip access-group 100 out
ip accounting output-packets
ip nat outside
ip virtual-reassembly
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 80.80.80.41
!
!
no ip http server
no ip http secure-server
ip nat pool net1 80.80.80.78 80.80.80.78 netmask 255.255.255.252
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 10.187.0.2
............
access-list 2 permit 10.187.0.2
............
access-list 1393 permit 10.187.0.2
............
............
............
............
access-list 100 deny tcp any any eq telnet
access-list 100 permit ip any any
............
.............
.............
snmp-server community public RO 10
snmp-server enable traps tty
snmp-server drop vrf-traffic
!
route-map tst2 permit 10
match ip address 2
set interface Loopback0
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login local
!
ntp clock-period 17181305
ntp access-group peer 16
ntp access-group serve-only 15
ntp server 195.195.195.195 source FastEthernet0/1
ntp server 194.194.194.194 source FastEthernet0/1 prefer
!
end
--------------------------------------------------------------------------
на всякий случай
--------------------------------------------------------------------------
#sh ver
Cisco IOS Software, 3700 Software (C3725-ADVIPSERVICESK9-M), Version 12.4(5a), RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Fri 13-Jan-06 16:43 by alnguyen
ROM: System Bootstrap, Version 12.2(8r)T2, RELEASE SOFTWARE (fc1)
3725 uptime is 6 weeks, 3 days, 3 minutes
System returned to ROM by reload at 19:24:23 XXX Tue May 2 2006
System restarted at 19:28:22 XXX Tue May 2 2006
System image file is "flash:c3725-advipservicesk9-mz.124-5a.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco 3725 (R7000) processor (revision 0.1) with 249856K/12288K bytes of memory.
Processor board ID JHY0845K065
R7000 CPU at 240MHz, Implementation 39, Rev 3.3, 256KB L2 Cache
2 FastEthernet interfaces
1 Serial(sync/async) interface
DRAM configuration is 64 bits wide with parity disabled.
55K bytes of NVRAM.
31360K bytes of ATA System CompactFlash (Read/Write)
Configuration register is 0x2102
------------------------------------------------
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 16-Июн-06, 17:47 
