forum.opennet.ru - "Эпизодическая проблема с НАТ на 2821" (16)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Эпизодическая проблема с НАТ на 2821"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Эпизодическая проблема с НАТ на 2821"
Сообщение от Balrog (ok) on 31-Окт-05, 18:29 (MSK)
Доброго времени суток. Есть циска 2821, подключенная одним интерфейсом в локалку, другим - к провайдеру. Время от времени кто-то из локальных пользователей перестает "ходить" в интернет, выглядит это следующим образом: Клиент обращается куда-то в инет: 13:38:46.465056 IP 192.168.19.11.3821 > 217.23.153.36.80: S [tcp sum ok] 13:38:46.470080 IP 217.23.153.36.80 > 192.168.19.11.0: S [tcp sum ok] То есть клиент вроде посылает нормальный запрос на удаленный веб-сервер, а ответ от веб-сервера ему приходит на нулевой порт. При этом на циске наблюдается следующее: gwcsc#sh ip nat trans \| in 192.168.19.11.+217.23.153.36 tcp 195.19.28.74:0 192.168.19.11:0 217.23.153.36:80 217.23.153.36:80 gwcsc# То есть, как я понимаю, циска считает, что от клиента запрос пришел с порта номер 0, и соответственно ответ от сервера возвращает не на тот порт, где клиент его ждет. gwcsc# sh ip nat stat [Id: 11] access-list 40 pool nat_pool_10 refcount 1897 pool nat_pool_10: netmask 255.255.255.0 start 195.19.28.74 end 195.19.28.74 type generic, total addresses 1, allocated 1 (100%), misses 2 gwcsc# ip nat pool gagarino10 195.19.28.74 195.19.28.74 prefix-length 24 ip nat inside source list 40 pool nat_pool_10 overload access-list 40 permit 192.168.18.0 0.0.0.255 access-list 40 permit 192.168.19.0 0.0.0.255 Проблема вылечивается clear ip nat trans forced Куда копать? Хотя бы общее направление. Заранее большое спасибо :)
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Эпизодическая проблема с НАТ на 2821, Balrog, 20:22 , 31-Окт-05, (1)

Эпизодическая проблема с НАТ на 2821, Изгой, 10:21 , 01-Ноя-05, (2)

Эпизодическая проблема с НАТ на 2821, Balrog, 12:46 , 01-Ноя-05, (3)

Эпизодическая проблема с НАТ на 2821, Изгой, 16:13 , 01-Ноя-05, (4)

Эпизодическая проблема с НАТ на 2821, ram_scan, 18:29 , 01-Ноя-05, (5)

Эпизодическая проблема с НАТ на 2821, Balrog, 19:58 , 01-Ноя-05, (6)

Эпизодическая проблема с НАТ на 2821, ram_scan, 21:36 , 01-Ноя-05, (7)

Эпизодическая проблема с НАТ на 2821, Balrog, 21:45 , 01-Ноя-05, (8)

Эпизодическая проблема с НАТ на 2821, Изгой, 11:18 , 02-Ноя-05, (9)

Эпизодическая проблема с НАТ на 2821, Balrog, 13:12 , 03-Ноя-05, (10)

Эпизодическая проблема с НАТ на 2821, Изгой, 13:26 , 07-Ноя-05, (11)

Эпизодическая проблема с НАТ на 2821, Изгой, 15:14 , 07-Ноя-05, (12)
Эпизодическая проблема с НАТ на 2821, Изгой, 09:26 , 08-Ноя-05, (13)
Эпизодическая проблема с НАТ на 2821, Balrog, 13:10 , 08-Ноя-05, (14)
Эпизодическая проблема с НАТ на 2821, Изгой, 15:08 , 08-Ноя-05, (15)
Эпизодическая проблема с НАТ на 2821, Изгой, 15:32 , 08-Ноя-05, (16)

Сообщения по теме [Сортировка по времени, UBB]

1. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Balrog (ok) on 31-Окт-05, 20:22  (MSK)

>
>ip nat pool gagarino10 195.19.28.74 195.19.28.74 prefix-length 24
Следует читать как
ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24
:)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 01-Ноя-05, 10:21  (MSK)

>
>>
>>ip nat pool gagarino10 195.19.28.74 195.19.28.74 prefix-length 24
>Следует читать как
>ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24
>
>:)

Знаешь всё вроде правильно у тебя ) но есть сомнение , если я правильно понял у тебя две подсетки с одного интерфейса в нат транслируються ?
access-list 40 permit 192.168.18.0 0.0.0.255
access-list 40 permit 192.168.19.0 0.0.0.255
кхе кхе мне кажеться что проблема в этом попробуй одну сеть переделать в 212.6.5.1 255.255.255.0 , я не говорю что проблема в этом но когда не знаешь в чём пробывать надо всё, не стоять на месте, попробуй.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Balrog (ok) on 01-Ноя-05, 12:46  (MSK)

К сожалению, такая же проблема бывает с другими пулами, в которые натится только одна сетка клиентов /24

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 01-Ноя-05, 16:13  (MSK)

>К сожалению, такая же проблема бывает с другими пулами, в которые натится
>только одна сетка клиентов /24

Ну не знаю, лимит портов маскарада может маленький , хотя я даже не знаю задаеться ли он.Хотя где то читал вроде задаеться, привиди show run , естественно затри всё что нужно затереть.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Эпизодическая проблема с НАТ на 2821"

Сообщение от ram_scan on 01-Ноя-05, 18:29  (MSK)

>Ну не знаю, лимит портов маскарада может маленький , хотя я даже
>не знаю задаеться ли он.Хотя где то читал вроде задаеться, привиди
>show run , естественно затри всё что нужно затереть.
Предаплагаю. Тупо, почти наобум. Может стоит поиграть с ip nat translation timeout ?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Balrog (ok) on 01-Ноя-05, 19:58  (MSK)

>Предаплагаю. Тупо, почти наобум. Может стоит поиграть с ip nat translation timeout
Все timeout'ы стоят по-дефолту. В какую сторону пробовать их менять?
ip nat translation max-entries 2147483647
Да, вот еще одна деталь:  проблема возникает после того, как произошел "глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась от серверной. После этого у некоторых пользователей вылезают описанные выше баги.

>Ну не знаю, лимит портов маскарада может маленький , хотя я даже
>не знаю задаеться ли он.Хотя где то читал вроде задаеться, привиди
>show run , естественно затри всё что нужно затереть.
Не уверен что поможет, но вдруг :)
Есть пулы, куда попадают много сетей, это потому, что там в каждой сети менее 10 компов.
gwcsc#sh run
Building configuration...
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gwcsc
!
boot-start-marker
boot system flash c2800nm-spservicesk9-mz.124-3.bin
boot system flash
boot-end-marker
!
logging buffered 51200 warnings
no logging console
no logging monitor
!
no aaa new-model
!
resource policy
!
clock timezone msk 3
ip subnet-zero
!
!
ip cef
!
!
ip flow-cache entries 131072
ip ftp username xxxxxxx
ip ftp password xxxxxxx
ip domain name yourdomain.com
ip name-server 195.34.32.11
!
!
interface GigabitEthernet0/0
description ge0$ETH-WAN$
ip address xxx.xxx.xxx.xxx 255.255.254.0
no ip redirects
no ip proxy-arp
ip nat outside
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no keepalive
no mop enabled
!
interface GigabitEthernet0/1
description Lan$ETH-WAN$
ip address 192.168.255.32 255.255.0.0
ip nat inside
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 3
vlan-id dot1q 3
  exit-vlan-config
!
!
interface FastEthernet0/0/1
switchport access vlan 4
vlan-range dot1q 4 5
  exit-vlan-config
!
!
interface FastEthernet0/0/2
switchport mode trunk
shutdown
vlan-range dot1q 4 5
  exit-vlan-config
!
!
interface FastEthernet0/0/3
switchport access vlan 2
vlan-id dot1q 2
  exit-vlan-config
!
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
ip address 195.19.28.12 255.255.255.0
!
interface Vlan3
ip address 195.19.33.198 255.255.255.252
ip nat outside
ip route-cache policy
ip route-cache flow
!
!
ip classless
ip flow-export version 5
ip flow-export destination 195.19.28.11 9001
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
ip nat translation max-entries 2147483647
ip nat pool ip_nat_pool1 195.19.28.65 195.19.28.65 prefix-length 24
ip nat pool ip_nat_pool2 195.19.28.66 195.19.28.66 prefix-length 24
ip nat pool ip_nat_pool3 195.19.28.67 195.19.28.67 prefix-length 24
ip nat pool ip_nat_pool4 195.19.28.68 195.19.28.68 prefix-length 24
ip nat pool ip_nat_pool5 195.19.28.69 195.19.28.69 prefix-length 24
ip nat pool ip_nat_pool6 195.19.28.70 195.19.28.70 prefix-length 24
ip nat pool ip_nat_pool7 195.19.28.71 195.19.28.71 prefix-length 24
ip nat pool ip_nat_pool8 195.19.28.72 195.19.28.72 prefix-length 24
ip nat pool ip_nat_pool9 195.19.28.73 195.19.28.73 prefix-length 24
ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24
ip nat pool ip_nat_pool11 195.19.28.75 195.19.28.75 prefix-length 24
ip nat pool ip_nat_pool12 195.19.28.76 195.19.28.76 prefix-length 24
ip nat pool ip_nat_pool13 195.19.28.77 195.19.28.77 prefix-length 24
ip nat pool ip_nat_pool14 195.19.28.78 195.19.28.78 prefix-length 24
ip nat pool ip_nat_pool15 195.19.28.79 195.19.28.79 prefix-length 24
ip nat pool ip_nat_pool16 195.19.28.80 195.19.28.80 prefix-length 24
ip nat pool ip_nat_pool17 195.19.28.81 195.19.28.81 prefix-length 24
ip nat pool ip_nat_pool18 195.19.28.82 195.19.28.82 prefix-length 24
ip nat pool ip_nat_pool19 195.19.28.83 195.19.28.83 prefix-length 24
ip nat pool ip_nat_pool20 195.19.28.84 195.19.28.84 prefix-length 24
ip nat pool ip_nat_pool21 195.19.28.85 195.19.28.85 prefix-length 24
ip nat pool ip_nat_pool22 195.19.28.86 195.19.28.86 prefix-length 24
ip nat pool ip_nat_pool23 195.19.28.87 195.19.28.87 prefix-length 24
ip nat pool ip_nat_pool24 195.19.28.88 195.19.28.88 prefix-length 24
ip nat pool ip_nat_pool25 195.19.28.89 195.19.28.89 prefix-length 24
ip nat pool ip_nat_pool26 195.19.28.90 195.19.28.90 prefix-length 24
ip nat pool ip_nat_pool27 195.19.28.91 195.19.28.91 prefix-length 24
ip nat pool ip_nat_pool28 195.19.28.92 195.19.28.92 prefix-length 24
ip nat pool ip_nat_pool29 195.19.28.93 195.19.28.93 prefix-length 24
ip nat pool ip_nat_pool30 195.19.28.94 195.19.28.94 prefix-length 24
ip nat pool ip_nat_pool31 195.19.28.95 195.19.28.95 prefix-length 24
ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24
ip nat inside source list 5 pool ip_nat_pool-portfw overload
ip nat inside source list 31 pool ip_nat_pool1 overload
ip nat inside source list 32 pool ip_nat_pool2 overload
ip nat inside source list 33 pool ip_nat_pool3 overload
ip nat inside source list 34 pool ip_nat_pool4 overload
ip nat inside source list 35 pool ip_nat_pool5 overload
ip nat inside source list 36 pool ip_nat_pool6 overload
ip nat inside source list 37 pool ip_nat_pool7 overload
ip nat inside source list 38 pool ip_nat_pool8 overload
ip nat inside source list 39 pool ip_nat_pool9 overload
ip nat inside source list 40 pool ip_nat_pool10 overload
ip nat inside source list 41 pool ip_nat_pool11 overload
ip nat inside source list 42 pool ip_nat_pool12 overload
ip nat inside source list 43 pool ip_nat_pool13 overload
ip nat inside source list 44 pool ip_nat_pool14 overload
ip nat inside source list 45 pool ip_nat_pool15 overload
ip nat inside source list 46 pool ip_nat_pool16 overload
ip nat inside source list 47 pool ip_nat_pool17 overload
ip nat inside source list 48 pool ip_nat_pool-portfw overload
ip nat inside source list 49 pool ip_nat_pool17 overload
ip nat inside source list 50 pool ip_nat_pool18 overload
ip nat inside source list 51 pool ip_nat_pool18 overload
ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable
ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable
ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable
ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable
ip nat inside source static 192.168.0.6 195.19.28.108
!
access-list 5 permit 192.168.58.121
access-list 5 permit 192.168.32.203
access-list 5 permit 192.168.0.116
access-list 5 permit 192.168.7.217
access-list 31 permit 192.168.2.0 0.0.0.255
access-list 32 permit 192.168.3.0 0.0.0.255
access-list 33 permit 192.168.4.0 0.0.0.255
access-list 34 permit 192.168.5.0 0.0.0.255
access-list 35 permit 192.168.6.0 0.0.0.255
access-list 36 permit 192.168.7.0 0.0.0.255
access-list 37 permit 192.168.8.0 0.0.0.255
access-list 38 permit 192.168.9.0 0.0.0.255
access-list 38 permit 192.168.10.0 0.0.0.255
access-list 38 permit 192.168.11.0 0.0.0.255
access-list 38 permit 192.168.12.0 0.0.0.255
access-list 38 permit 192.168.13.0 0.0.0.255
access-list 38 permit 192.168.14.0 0.0.0.255
access-list 39 permit 192.168.15.0 0.0.0.255
access-list 39 permit 192.168.16.0 0.0.0.255
access-list 39 permit 192.168.17.0 0.0.0.255
access-list 40 permit 192.168.18.0 0.0.0.255
access-list 40 permit 192.168.19.0 0.0.0.255
access-list 41 permit 192.168.20.0 0.0.0.255
access-list 41 permit 192.168.21.0 0.0.0.255
access-list 41 permit 192.168.22.0 0.0.0.255
access-list 41 permit 192.168.23.0 0.0.0.255
access-list 41 permit 192.168.24.0 0.0.0.255
access-list 41 permit 192.168.25.0 0.0.0.255
access-list 41 permit 192.168.26.0 0.0.0.255
access-list 42 permit 192.168.27.0 0.0.0.255
access-list 42 permit 192.168.28.0 0.0.0.255
access-list 42 permit 192.168.29.0 0.0.0.255
access-list 42 permit 192.168.30.0 0.0.0.255
access-list 42 permit 192.168.31.0 0.0.0.255
access-list 42 permit 192.168.32.0 0.0.0.255
access-list 42 permit 192.168.33.0 0.0.0.255
access-list 42 permit 192.168.34.0 0.0.0.255
access-list 42 permit 192.168.35.0 0.0.0.255
access-list 42 permit 192.168.36.0 0.0.0.255
access-list 42 permit 192.168.37.0 0.0.0.255
access-list 42 permit 192.168.38.0 0.0.0.255
access-list 42 permit 192.168.39.0 0.0.0.255
access-list 42 permit 192.168.40.0 0.0.0.255
access-list 42 permit 192.168.41.0 0.0.0.255
access-list 42 permit 192.168.42.0 0.0.0.255
access-list 42 permit 192.168.43.0 0.0.0.255
access-list 42 permit 192.168.44.0 0.0.0.255
access-list 42 permit 192.168.45.0 0.0.0.255
access-list 42 permit 192.168.46.0 0.0.0.255
access-list 42 permit 192.168.47.0 0.0.0.255
access-list 42 permit 192.168.48.0 0.0.0.255
access-list 42 permit 192.168.49.0 0.0.0.255
access-list 43 permit 192.168.50.0 0.0.0.255
access-list 44 permit 192.168.51.0 0.0.0.255
access-list 44 permit 192.168.52.0 0.0.0.255
access-list 44 permit 192.168.53.0 0.0.0.255
access-list 44 permit 192.168.54.0 0.0.0.255
access-list 44 permit 192.168.55.0 0.0.0.255
access-list 45 permit 192.168.57.0 0.0.0.255
access-list 45 permit 192.168.58.0 0.0.0.255
access-list 46 permit 192.168.56.0 0.0.0.255
access-list 46 permit 192.168.59.0 0.0.0.255
access-list 47 permit 192.168.192.0 0.0.0.255
access-list 48 permit 192.168.1.0 0.0.0.255
access-list 48 permit 192.168.255.0 0.0.0.255
access-list 49 permit 192.168.193.0 0.0.0.255
access-list 50 permit 192.168.194.0 0.0.0.255
access-list 51 permit 192.168.195.0 0.0.0.255
!
control-plane
!
gateway
timer receive-rtp 1200
!
banner login .
Please login:
.
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
password xxxxxxxx
login local
transport input telnet ssh
line vty 5 15
privilege level 15
password xxxxxxxxx
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
ntp clock-period 17180038
ntp server 194.87.0.22
!
end

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Эпизодическая проблема с НАТ на 2821"

Сообщение от ram_scan on 01-Ноя-05, 21:36  (MSK)

>ip nat translation max-entries 2147483647
Таймауты видимо крутить в сторону увеличения.
>Да, вот еще одна деталь:  проблема возникает после того, как произошел
>"глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась
>от серверной. После этого у некоторых пользователей вылезают описанные выше баги.
Seems to be протухают записи в таблице трансляции во время спада активности сетевой.
Глюк происходит только на established соединении, верно ? То есть новое соединение устанавливается корректно, а старое бьется ?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Balrog (ok) on 01-Ноя-05, 21:45  (MSK)

>>ip nat translation max-entries 2147483647
>
>Таймауты видимо крутить в сторону увеличения.
>
>>Да, вот еще одна деталь:  проблема возникает после того, как произошел
>>"глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась
>>от серверной. После этого у некоторых пользователей вылезают описанные выше баги.
>
>Seems to be протухают записи в таблице трансляции во время спада активности
>сетевой.
>
>Глюк происходит только на established соединении, верно ? То есть новое соединение
>устанавливается корректно, а старое бьется ?

Не, беда как раз в том, что новые соединения не устанавливаются. Причем icmp протокол нормально НАТиться - пинги наружу от клиента ходят, видимо потому что в нем портов нету :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 02-Ноя-05, 11:18  (MSK)

>>>ip nat translation max-entries 2147483647
>>
>>Таймауты видимо крутить в сторону увеличения.
>>
>>>Да, вот еще одна деталь:  проблема возникает после того, как произошел
>>>"глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась
>>>от серверной. После этого у некоторых пользователей вылезают описанные выше баги.
>>
>>Seems to be протухают записи в таблице трансляции во время спада активности
>>сетевой.
>>
>>Глюк происходит только на established соединении, верно ? То есть новое соединение
>>устанавливается корректно, а старое бьется ?
>
>
>Не, беда как раз в том, что новые соединения не устанавливаются. Причем
>icmp протокол нормально НАТиться - пинги наружу от клиента ходят, видимо
>потому что в нем портов нету :)
Посмотрел конфиг , првильно ли я понял что у вас весь травик уходит на
interface FastEthernet0/0/3
switchport access vlan 2
vlan-id dot1q 2
  exit-vlan-config
interface Vlan2
ip address 195.19.28.12 255.255.255.0
чего то не очень понятно
Сюда что для сбора статистики ?
interface Vlan3
ip address 195.19.33.198 255.255.255.252
ip nat outside
ip route-cache policy
ip route-cache flow
А кто ходит в интернет ?
И как это всё маршрутизируется..
Просто интерестный конфиг поясните  что к чему ...
Вижу транслируется у вас всё в адреса 195.19.28.0  и у вас назначен влан
с того же пула .Интересненько.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Balrog (ok) on 03-Ноя-05, 13:12  (MSK)

Локалка - 192.168.0.0/16
Есть сеть класса С - 195.19.28.0/24
Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него, nat outside тоже на нем.
К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта).
Понятно объяснил, или не удалось?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 07-Ноя-05, 13:26  (MSK)

>Локалка - 192.168.0.0/16
>Есть сеть класса С - 195.19.28.0/24
>Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него,
>nat outside тоже на нем.
>К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта).
>
>Понятно объяснил, или не удалось?
Да не вроде все ясно кроме )) ... лан чужой конфиг потёмки -по теме
Так у вас проброс по статике и по динамическому нату одних и тех же адресов , если не ошибаюсь
access-list 5 permit 192.168.58.121
access-list 5 permit 192.168.32.203
access-list 5 permit 192.168.0.116
access-list 5 permit 192.168.7.217
ip nat inside source list 5 pool ip_nat_pool-portfw overload
ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24
I
ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable
ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable
ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable
ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable
ip nat inside source static 192.168.0.6 195.19.28.108
Так  терь думаем логически может ли выйти из ната адресс 192.168.7.217 с исходным портом 1400 получается перехлёст
Значит нам в листе 5 нужно это запретить
Прописываем  расширенный акцесс лист
101 deny tcp host 192.168.7.217 eg 1400 any
и так далее для всех статиков
permit 192.168.58.121 any
permit 192.168.32.203 any
permit 192.168.0.116 any
permit 192.168.7.2 any
Это мои  предположения , но думаю стоит попробывать и заменить акцесс лист 5
Попробуйте потом расскажите.. если  не получится можно ещё подумать, кстати интерестно посмотреть ваш show ip route

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 07-Ноя-05, 15:14  (MSK)

>>Локалка - 192.168.0.0/16
>>Есть сеть класса С - 195.19.28.0/24
>>Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него,
>>nat outside тоже на нем.
>>К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта).
>>
>>Понятно объяснил, или не удалось?
>
>Да не вроде все ясно кроме )) ... лан чужой конфиг потёмки
>-по теме
>Так у вас проброс по статике и по динамическому нату одних и
>тех же адресов , если не ошибаюсь
>
>access-list 5 permit 192.168.58.121
>access-list 5 permit 192.168.32.203
>access-list 5 permit 192.168.0.116
>access-list 5 permit 192.168.7.217
>
>ip nat inside source list 5 pool ip_nat_pool-portfw overload
>ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24
>I
>
>ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable
>ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable
>ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable
>ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable
>ip nat inside source static 192.168.0.6 195.19.28.108
>
>Так  терь думаем логически может ли выйти из ната адресс 192.168.7.217
>с исходным портом 1400 получается перехлёст
>Значит нам в листе 5 нужно это запретить
>Прописываем  расширенный акцесс лист
>101 deny tcp host 192.168.7.217 eg 1400 any
>и так далее для всех статиков
>permit 192.168.58.121 any
>permit 192.168.32.203 any
>permit 192.168.0.116 any
>permit 192.168.7.2 any
>
>Это мои  предположения , но думаю стоит попробывать и заменить акцесс
>лист 5
>Попробуйте потом расскажите.. если  не получится можно ещё подумать, кстати интерестно
>посмотреть ваш show ip route
Хотя бредовая идея )

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 08-Ноя-05, 09:26  (MSK)

>>>Локалка - 192.168.0.0/16
>>>Есть сеть класса С - 195.19.28.0/24
>>>Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него,
>>>nat outside тоже на нем.
>>>К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта).
>>>
>>>Понятно объяснил, или не удалось?
>>
>>Да не вроде все ясно кроме )) ... лан чужой конфиг потёмки
>>-по теме
>>Так у вас проброс по статике и по динамическому нату одних и
>>тех же адресов , если не ошибаюсь
>>
>>access-list 5 permit 192.168.58.121
>>access-list 5 permit 192.168.32.203
>>access-list 5 permit 192.168.0.116
>>access-list 5 permit 192.168.7.217
>>
>>ip nat inside source list 5 pool ip_nat_pool-portfw overload
>>ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24
>>I
>>
>>ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable
>>ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable
>>ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable
>>ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable
>>ip nat inside source static 192.168.0.6 195.19.28.108
>>
>>Так  терь думаем логически может ли выйти из ната адресс 192.168.7.217
>>с исходным портом 1400 получается перехлёст
>>Значит нам в листе 5 нужно это запретить
>>Прописываем  расширенный акцесс лист
>>101 deny tcp host 192.168.7.217 eg 1400 any
>>и так далее для всех статиков
>>permit 192.168.58.121 any
>>permit 192.168.32.203 any
>>permit 192.168.0.116 any
>>permit 192.168.7.2 any
>>
>>Это мои  предположения , но думаю стоит попробывать и заменить акцесс
>>лист 5
>>Попробуйте потом расскажите.. если  не получится можно ещё подумать, кстати интерестно
>>посмотреть ваш show ip route
>Хотя бредовая идея )
Можно отключить ip nat translation max-entries 2147483647 , по умолчанию станет неограничено , и может покрутить таймаут именно
ip nat translation timeout <seconds>
Динамическая трансляция блокируется по времени после определенного периода отсутствия работы. Когда трансляция порта не сконфигурирована, трансляция блокируется после 24 часов. Это время можно настраивать с помощью приведенной выше команды или следующих ее вариантов:
ip nat translation udp-timeout <seconds>
ip nat translation dns-timeout <seconds>
ip nat translation tcp-timeout <seconds>
ip nat translation finrst-timeout <seconds>
Когда трансляция порта сконфигурирована, то появляется возможность более точного управления тайм-аутом трансляции, потому что каждый элемент содержит более подробную информацию о трафике, использующем трансляцию. Трансляция не в среде протоколов DNS UDP блокируется после 5 минут; в DNS - через 1 минуту; в TCP - после 24 часов, если же в потоке есть RST или FIN, тогда - через минуту.
Вот может поможет , попробуй настроить тайм ауты , всё же похоже на какие то переполнения.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Balrog (ok) on 08-Ноя-05, 13:10  (MSK)

Спасибо за ответы.
С пятым ацл поиграюсь, отпишусь - поможет или нет.
ip nat translation max-entries 2147483647 изначально не было, это я уж потом добавил в качестве эксперимента.
с таймаутами поковыряюсь, но все же, если честно, не понимаю при чем тут они :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 08-Ноя-05, 15:08  (MSK)

>Спасибо за ответы.
>
>С пятым ацл поиграюсь, отпишусь - поможет или нет.
>
>ip nat translation max-entries 2147483647 изначально не было, это я уж потом
>добавил в качестве эксперимента.
>с таймаутами поковыряюсь, но все же, если честно, не понимаю при чем
>тут они :)
В общем смысле , я с вланами на роутере дела не имел ещё , и твой случай
интересен своим необычным глюком, может этот глюк связан  именно с трансляцией во влан... может что перекрыто у тебя в акцесс листе на интерфейсах что порождает такой глюк.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Эпизодическая проблема с НАТ на 2821"

Сообщение от Изгой (??) on 08-Ноя-05, 15:32  (MSK)

>>Спасибо за ответы.
>>
>>С пятым ацл поиграюсь, отпишусь - поможет или нет.
>>
>>ip nat translation max-entries 2147483647 изначально не было, это я уж потом
>>добавил в качестве эксперимента.
>>с таймаутами поковыряюсь, но все же, если честно, не понимаю при чем
>>тут они :)
>
>В общем смысле , я с вланами на роутере дела не имел
>ещё , и твой случай
>интересен своим необычным глюком, может этот глюк связан  именно с трансляцией
>во влан... может что перекрыто у тебя в акцесс листе на
>интерфейсах что порождает такой глюк.
Да и всё таки меня смущает данное совпадение!!! Обрати внимание , если копать то копать везде.
interface Vlan2
ip address 195.19.28.12 255.255.255.0  префикс 24
!
interface Vlan3
ip address 195.19.33.198 255.255.255.252
ip nat outside
ip route-cache policy
ip route-cache flow
Здесь префикс 24 совпадение максимальное 195.19.28
оутсайд у тебя во влан 195.19.33 если был бы маршрутизация
то ..... в общем не знаю советую как то сменить префикс на
что нибудь различное и попробывать .. попробывать мож затык и в этом...
ip nat pool ip_nat_pool1 195.19.28.65 195.19.28.65 prefix-length 24
ip nat pool ip_nat_pool2 195.19.28.66 195.19.28.66 prefix-length 24
ip nat pool ip_nat_pool3 195.19.28.67 195.19.28.67 prefix-length 24
ip nat pool ip_nat_pool4 195.19.28.68 195.19.28.68 prefix-length 24
ip nat pool ip_nat_pool5 195.19.28.69 195.19.28.69 prefix-length 24
ip nat pool ip_nat_pool6 195.19.28.70 195.19.28.70 prefix-length 24
ip nat pool ip_nat_pool7 195.19.28.71 195.19.28.71 prefix-length 24
ip nat pool ip_nat_pool8 195.19.28.72 195.19.28.72 prefix-length 24
ip nat pool ip_nat_pool9 195.19.28.73 195.19.28.73 prefix-length 24
ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24
ip nat pool ip_nat_pool11 195.19.28.75 195.19.28.75 prefix-length 24
ip nat pool ip_nat_pool12 195.19.28.76 195.19.28.76 prefix-length 24
ip nat pool ip_nat_pool13 195.19.28.77 195.19.28.77 prefix-length 24
ip nat pool ip_nat_pool14 195.19.28.78 195.19.28.78 prefix-length 24
ip nat pool ip_nat_pool15 195.19.28.79 195.19.28.79 prefix-length 24
ip nat pool ip_nat_pool16 195.19.28.80 195.19.28.80 prefix-length 24
ip nat pool ip_nat_pool17 195.19.28.81 195.19.28.81 prefix-length 24
ip nat pool ip_nat_pool18 195.19.28.82 195.19.28.82 prefix-length 24
ip nat pool ip_nat_pool19 195.19.28.83 195.19.28.83 prefix-length 24
ip nat pool ip_nat_pool20 195.19.28.84 195.19.28.84 prefix-length 24
ip nat pool ip_nat_pool21 195.19.28.85 195.19.28.85 prefix-length 24
ip nat pool ip_nat_pool22 195.19.28.86 195.19.28.86 prefix-length 24
ip nat pool ip_nat_pool23 195.19.28.87 195.19.28.87 prefix-length 24
ip nat pool ip_nat_pool24 195.19.28.88 195.19.28.88 prefix-length 24
ip nat pool ip_nat_pool25 195.19.28.89 195.19.28.89 prefix-length 24
ip nat pool ip_nat_pool26 195.19.28.90 195.19.28.90 prefix-length 24
ip nat pool ip_nat_pool27 195.19.28.91 195.19.28.91 prefix-length 24
ip nat pool ip_nat_pool28 195.19.28.92 195.19.28.92 prefix-length 24
ip nat pool ip_nat_pool29 195.19.28.93 195.19.28.93 prefix-length 24
ip nat pool ip_nat_pool30 195.19.28.94 195.19.28.94 prefix-length 24
ip nat pool ip_nat_pool31 195.19.28.95 195.19.28.95 prefix-length 24
Попробуй.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Эпизодическая проблема с НАТ на 2821"
Сообщение от Balrog (ok) on 31-Окт-05, 20:22 (MSK)
> >ip nat pool gagarino10 195.19.28.74 195.19.28.74 prefix-length 24 Следует читать как ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24 :)
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 01-Ноя-05, 10:21 (MSK)
	> >> >>ip nat pool gagarino10 195.19.28.74 195.19.28.74 prefix-length 24 >Следует читать как >ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24 > >:) Знаешь всё вроде правильно у тебя ) но есть сомнение , если я правильно понял у тебя две подсетки с одного интерфейса в нат транслируються ? access-list 40 permit 192.168.18.0 0.0.0.255 access-list 40 permit 192.168.19.0 0.0.0.255 кхе кхе мне кажеться что проблема в этом попробуй одну сеть переделать в 212.6.5.1 255.255.255.0 , я не говорю что проблема в этом но когда не знаешь в чём пробывать надо всё, не стоять на месте, попробуй.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Balrog (ok) on 01-Ноя-05, 12:46 (MSK)
	К сожалению, такая же проблема бывает с другими пулами, в которые натится только одна сетка клиентов /24
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 01-Ноя-05, 16:13 (MSK)
	>К сожалению, такая же проблема бывает с другими пулами, в которые натится >только одна сетка клиентов /24 Ну не знаю, лимит портов маскарада может маленький , хотя я даже не знаю задаеться ли он.Хотя где то читал вроде задаеться, привиди show run , естественно затри всё что нужно затереть.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от ram_scan on 01-Ноя-05, 18:29 (MSK)
	>Ну не знаю, лимит портов маскарада может маленький , хотя я даже >не знаю задаеться ли он.Хотя где то читал вроде задаеться, привиди >show run , естественно затри всё что нужно затереть. Предаплагаю. Тупо, почти наобум. Может стоит поиграть с ip nat translation timeout ?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Balrog (ok) on 01-Ноя-05, 19:58 (MSK)
	>Предаплагаю. Тупо, почти наобум. Может стоит поиграть с ip nat translation timeout Все timeout'ы стоят по-дефолту. В какую сторону пробовать их менять? ip nat translation max-entries 2147483647 Да, вот еще одна деталь: проблема возникает после того, как произошел "глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась от серверной. После этого у некоторых пользователей вылезают описанные выше баги. >Ну не знаю, лимит портов маскарада может маленький , хотя я даже >не знаю задаеться ли он.Хотя где то читал вроде задаеться, привиди >show run , естественно затри всё что нужно затереть. Не уверен что поможет, но вдруг :) Есть пулы, куда попадают много сетей, это потому, что там в каждой сети менее 10 компов. gwcsc#sh run Building configuration... ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname gwcsc ! boot-start-marker boot system flash c2800nm-spservicesk9-mz.124-3.bin boot system flash boot-end-marker ! logging buffered 51200 warnings no logging console no logging monitor ! no aaa new-model ! resource policy ! clock timezone msk 3 ip subnet-zero ! ! ip cef ! ! ip flow-cache entries 131072 ip ftp username xxxxxxx ip ftp password xxxxxxx ip domain name yourdomain.com ip name-server 195.34.32.11 ! ! interface GigabitEthernet0/0 description ge0$ETH-WAN$ ip address xxx.xxx.xxx.xxx 255.255.254.0 no ip redirects no ip proxy-arp ip nat outside ip route-cache policy ip route-cache flow duplex auto speed auto no keepalive no mop enabled ! interface GigabitEthernet0/1 description Lan$ETH-WAN$ ip address 192.168.255.32 255.255.0.0 ip nat inside ip route-cache flow duplex auto speed auto ! interface FastEthernet0/0/0 switchport access vlan 3 vlan-id dot1q 3 exit-vlan-config ! ! interface FastEthernet0/0/1 switchport access vlan 4 vlan-range dot1q 4 5 exit-vlan-config ! ! interface FastEthernet0/0/2 switchport mode trunk shutdown vlan-range dot1q 4 5 exit-vlan-config ! ! interface FastEthernet0/0/3 switchport access vlan 2 vlan-id dot1q 2 exit-vlan-config ! ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip address 195.19.28.12 255.255.255.0 ! interface Vlan3 ip address 195.19.33.198 255.255.255.252 ip nat outside ip route-cache policy ip route-cache flow ! ! ip classless ip flow-export version 5 ip flow-export destination 195.19.28.11 9001 ! no ip http server ip http authentication local no ip http secure-server ip http timeout-policy idle 600 life 86400 requests 10000 ip nat translation max-entries 2147483647 ip nat pool ip_nat_pool1 195.19.28.65 195.19.28.65 prefix-length 24 ip nat pool ip_nat_pool2 195.19.28.66 195.19.28.66 prefix-length 24 ip nat pool ip_nat_pool3 195.19.28.67 195.19.28.67 prefix-length 24 ip nat pool ip_nat_pool4 195.19.28.68 195.19.28.68 prefix-length 24 ip nat pool ip_nat_pool5 195.19.28.69 195.19.28.69 prefix-length 24 ip nat pool ip_nat_pool6 195.19.28.70 195.19.28.70 prefix-length 24 ip nat pool ip_nat_pool7 195.19.28.71 195.19.28.71 prefix-length 24 ip nat pool ip_nat_pool8 195.19.28.72 195.19.28.72 prefix-length 24 ip nat pool ip_nat_pool9 195.19.28.73 195.19.28.73 prefix-length 24 ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24 ip nat pool ip_nat_pool11 195.19.28.75 195.19.28.75 prefix-length 24 ip nat pool ip_nat_pool12 195.19.28.76 195.19.28.76 prefix-length 24 ip nat pool ip_nat_pool13 195.19.28.77 195.19.28.77 prefix-length 24 ip nat pool ip_nat_pool14 195.19.28.78 195.19.28.78 prefix-length 24 ip nat pool ip_nat_pool15 195.19.28.79 195.19.28.79 prefix-length 24 ip nat pool ip_nat_pool16 195.19.28.80 195.19.28.80 prefix-length 24 ip nat pool ip_nat_pool17 195.19.28.81 195.19.28.81 prefix-length 24 ip nat pool ip_nat_pool18 195.19.28.82 195.19.28.82 prefix-length 24 ip nat pool ip_nat_pool19 195.19.28.83 195.19.28.83 prefix-length 24 ip nat pool ip_nat_pool20 195.19.28.84 195.19.28.84 prefix-length 24 ip nat pool ip_nat_pool21 195.19.28.85 195.19.28.85 prefix-length 24 ip nat pool ip_nat_pool22 195.19.28.86 195.19.28.86 prefix-length 24 ip nat pool ip_nat_pool23 195.19.28.87 195.19.28.87 prefix-length 24 ip nat pool ip_nat_pool24 195.19.28.88 195.19.28.88 prefix-length 24 ip nat pool ip_nat_pool25 195.19.28.89 195.19.28.89 prefix-length 24 ip nat pool ip_nat_pool26 195.19.28.90 195.19.28.90 prefix-length 24 ip nat pool ip_nat_pool27 195.19.28.91 195.19.28.91 prefix-length 24 ip nat pool ip_nat_pool28 195.19.28.92 195.19.28.92 prefix-length 24 ip nat pool ip_nat_pool29 195.19.28.93 195.19.28.93 prefix-length 24 ip nat pool ip_nat_pool30 195.19.28.94 195.19.28.94 prefix-length 24 ip nat pool ip_nat_pool31 195.19.28.95 195.19.28.95 prefix-length 24 ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24 ip nat inside source list 5 pool ip_nat_pool-portfw overload ip nat inside source list 31 pool ip_nat_pool1 overload ip nat inside source list 32 pool ip_nat_pool2 overload ip nat inside source list 33 pool ip_nat_pool3 overload ip nat inside source list 34 pool ip_nat_pool4 overload ip nat inside source list 35 pool ip_nat_pool5 overload ip nat inside source list 36 pool ip_nat_pool6 overload ip nat inside source list 37 pool ip_nat_pool7 overload ip nat inside source list 38 pool ip_nat_pool8 overload ip nat inside source list 39 pool ip_nat_pool9 overload ip nat inside source list 40 pool ip_nat_pool10 overload ip nat inside source list 41 pool ip_nat_pool11 overload ip nat inside source list 42 pool ip_nat_pool12 overload ip nat inside source list 43 pool ip_nat_pool13 overload ip nat inside source list 44 pool ip_nat_pool14 overload ip nat inside source list 45 pool ip_nat_pool15 overload ip nat inside source list 46 pool ip_nat_pool16 overload ip nat inside source list 47 pool ip_nat_pool17 overload ip nat inside source list 48 pool ip_nat_pool-portfw overload ip nat inside source list 49 pool ip_nat_pool17 overload ip nat inside source list 50 pool ip_nat_pool18 overload ip nat inside source list 51 pool ip_nat_pool18 overload ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable ip nat inside source static 192.168.0.6 195.19.28.108 ! access-list 5 permit 192.168.58.121 access-list 5 permit 192.168.32.203 access-list 5 permit 192.168.0.116 access-list 5 permit 192.168.7.217 access-list 31 permit 192.168.2.0 0.0.0.255 access-list 32 permit 192.168.3.0 0.0.0.255 access-list 33 permit 192.168.4.0 0.0.0.255 access-list 34 permit 192.168.5.0 0.0.0.255 access-list 35 permit 192.168.6.0 0.0.0.255 access-list 36 permit 192.168.7.0 0.0.0.255 access-list 37 permit 192.168.8.0 0.0.0.255 access-list 38 permit 192.168.9.0 0.0.0.255 access-list 38 permit 192.168.10.0 0.0.0.255 access-list 38 permit 192.168.11.0 0.0.0.255 access-list 38 permit 192.168.12.0 0.0.0.255 access-list 38 permit 192.168.13.0 0.0.0.255 access-list 38 permit 192.168.14.0 0.0.0.255 access-list 39 permit 192.168.15.0 0.0.0.255 access-list 39 permit 192.168.16.0 0.0.0.255 access-list 39 permit 192.168.17.0 0.0.0.255 access-list 40 permit 192.168.18.0 0.0.0.255 access-list 40 permit 192.168.19.0 0.0.0.255 access-list 41 permit 192.168.20.0 0.0.0.255 access-list 41 permit 192.168.21.0 0.0.0.255 access-list 41 permit 192.168.22.0 0.0.0.255 access-list 41 permit 192.168.23.0 0.0.0.255 access-list 41 permit 192.168.24.0 0.0.0.255 access-list 41 permit 192.168.25.0 0.0.0.255 access-list 41 permit 192.168.26.0 0.0.0.255 access-list 42 permit 192.168.27.0 0.0.0.255 access-list 42 permit 192.168.28.0 0.0.0.255 access-list 42 permit 192.168.29.0 0.0.0.255 access-list 42 permit 192.168.30.0 0.0.0.255 access-list 42 permit 192.168.31.0 0.0.0.255 access-list 42 permit 192.168.32.0 0.0.0.255 access-list 42 permit 192.168.33.0 0.0.0.255 access-list 42 permit 192.168.34.0 0.0.0.255 access-list 42 permit 192.168.35.0 0.0.0.255 access-list 42 permit 192.168.36.0 0.0.0.255 access-list 42 permit 192.168.37.0 0.0.0.255 access-list 42 permit 192.168.38.0 0.0.0.255 access-list 42 permit 192.168.39.0 0.0.0.255 access-list 42 permit 192.168.40.0 0.0.0.255 access-list 42 permit 192.168.41.0 0.0.0.255 access-list 42 permit 192.168.42.0 0.0.0.255 access-list 42 permit 192.168.43.0 0.0.0.255 access-list 42 permit 192.168.44.0 0.0.0.255 access-list 42 permit 192.168.45.0 0.0.0.255 access-list 42 permit 192.168.46.0 0.0.0.255 access-list 42 permit 192.168.47.0 0.0.0.255 access-list 42 permit 192.168.48.0 0.0.0.255 access-list 42 permit 192.168.49.0 0.0.0.255 access-list 43 permit 192.168.50.0 0.0.0.255 access-list 44 permit 192.168.51.0 0.0.0.255 access-list 44 permit 192.168.52.0 0.0.0.255 access-list 44 permit 192.168.53.0 0.0.0.255 access-list 44 permit 192.168.54.0 0.0.0.255 access-list 44 permit 192.168.55.0 0.0.0.255 access-list 45 permit 192.168.57.0 0.0.0.255 access-list 45 permit 192.168.58.0 0.0.0.255 access-list 46 permit 192.168.56.0 0.0.0.255 access-list 46 permit 192.168.59.0 0.0.0.255 access-list 47 permit 192.168.192.0 0.0.0.255 access-list 48 permit 192.168.1.0 0.0.0.255 access-list 48 permit 192.168.255.0 0.0.0.255 access-list 49 permit 192.168.193.0 0.0.0.255 access-list 50 permit 192.168.194.0 0.0.0.255 access-list 51 permit 192.168.195.0 0.0.0.255 ! control-plane ! gateway timer receive-rtp 1200 ! banner login . Please login: . ! line con 0 login local line aux 0 line vty 0 4 privilege level 15 password xxxxxxxx login local transport input telnet ssh line vty 5 15 privilege level 15 password xxxxxxxxx login local transport input telnet ssh ! scheduler allocate 20000 1000 ntp clock-period 17180038 ntp server 194.87.0.22 ! end
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от ram_scan on 01-Ноя-05, 21:36 (MSK)
	>ip nat translation max-entries 2147483647 Таймауты видимо крутить в сторону увеличения. >Да, вот еще одна деталь: проблема возникает после того, как произошел >"глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась >от серверной. После этого у некоторых пользователей вылезают описанные выше баги. Seems to be протухают записи в таблице трансляции во время спада активности сетевой. Глюк происходит только на established соединении, верно ? То есть новое соединение устанавливается корректно, а старое бьется ?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Balrog (ok) on 01-Ноя-05, 21:45 (MSK)
	>>ip nat translation max-entries 2147483647 > >Таймауты видимо крутить в сторону увеличения. > >>Да, вот еще одна деталь: проблема возникает после того, как произошел >>"глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась >>от серверной. После этого у некоторых пользователей вылезают описанные выше баги. > >Seems to be протухают записи в таблице трансляции во время спада активности >сетевой. > >Глюк происходит только на established соединении, верно ? То есть новое соединение >устанавливается корректно, а старое бьется ? Не, беда как раз в том, что новые соединения не устанавливаются. Причем icmp протокол нормально НАТиться - пинги наружу от клиента ходят, видимо потому что в нем портов нету :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 02-Ноя-05, 11:18 (MSK)
	>>>ip nat translation max-entries 2147483647 >> >>Таймауты видимо крутить в сторону увеличения. >> >>>Да, вот еще одна деталь: проблема возникает после того, как произошел >>>"глобальный" спад сетевой активности. Либо провайдер отваливался, либо локальная сеть отваливалась >>>от серверной. После этого у некоторых пользователей вылезают описанные выше баги. >> >>Seems to be протухают записи в таблице трансляции во время спада активности >>сетевой. >> >>Глюк происходит только на established соединении, верно ? То есть новое соединение >>устанавливается корректно, а старое бьется ? > > >Не, беда как раз в том, что новые соединения не устанавливаются. Причем >icmp протокол нормально НАТиться - пинги наружу от клиента ходят, видимо >потому что в нем портов нету :) Посмотрел конфиг , првильно ли я понял что у вас весь травик уходит на interface FastEthernet0/0/3 switchport access vlan 2 vlan-id dot1q 2 exit-vlan-config interface Vlan2 ip address 195.19.28.12 255.255.255.0 чего то не очень понятно Сюда что для сбора статистики ? interface Vlan3 ip address 195.19.33.198 255.255.255.252 ip nat outside ip route-cache policy ip route-cache flow А кто ходит в интернет ? И как это всё маршрутизируется.. Просто интерестный конфиг поясните что к чему ... Вижу транслируется у вас всё в адреса 195.19.28.0 и у вас назначен влан с того же пула .Интересненько.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Balrog (ok) on 03-Ноя-05, 13:12 (MSK)
	Локалка - 192.168.0.0/16 Есть сеть класса С - 195.19.28.0/24 Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него, nat outside тоже на нем. К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта). Понятно объяснил, или не удалось?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 07-Ноя-05, 13:26 (MSK)
	>Локалка - 192.168.0.0/16 >Есть сеть класса С - 195.19.28.0/24 >Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него, >nat outside тоже на нем. >К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта). > >Понятно объяснил, или не удалось? Да не вроде все ясно кроме )) ... лан чужой конфиг потёмки -по теме Так у вас проброс по статике и по динамическому нату одних и тех же адресов , если не ошибаюсь access-list 5 permit 192.168.58.121 access-list 5 permit 192.168.32.203 access-list 5 permit 192.168.0.116 access-list 5 permit 192.168.7.217 ip nat inside source list 5 pool ip_nat_pool-portfw overload ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24 I ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable ip nat inside source static 192.168.0.6 195.19.28.108 Так терь думаем логически может ли выйти из ната адресс 192.168.7.217 с исходным портом 1400 получается перехлёст Значит нам в листе 5 нужно это запретить Прописываем расширенный акцесс лист 101 deny tcp host 192.168.7.217 eg 1400 any и так далее для всех статиков permit 192.168.58.121 any permit 192.168.32.203 any permit 192.168.0.116 any permit 192.168.7.2 any Это мои предположения , но думаю стоит попробывать и заменить акцесс лист 5 Попробуйте потом расскажите.. если не получится можно ещё подумать, кстати интерестно посмотреть ваш show ip route
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 07-Ноя-05, 15:14 (MSK)
	>>Локалка - 192.168.0.0/16 >>Есть сеть класса С - 195.19.28.0/24 >>Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него, >>nat outside тоже на нем. >>К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта). >> >>Понятно объяснил, или не удалось? > >Да не вроде все ясно кроме )) ... лан чужой конфиг потёмки >-по теме >Так у вас проброс по статике и по динамическому нату одних и >тех же адресов , если не ошибаюсь > >access-list 5 permit 192.168.58.121 >access-list 5 permit 192.168.32.203 >access-list 5 permit 192.168.0.116 >access-list 5 permit 192.168.7.217 > >ip nat inside source list 5 pool ip_nat_pool-portfw overload >ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24 >I > >ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable >ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable >ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable >ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable >ip nat inside source static 192.168.0.6 195.19.28.108 > >Так терь думаем логически может ли выйти из ната адресс 192.168.7.217 >с исходным портом 1400 получается перехлёст >Значит нам в листе 5 нужно это запретить >Прописываем расширенный акцесс лист >101 deny tcp host 192.168.7.217 eg 1400 any >и так далее для всех статиков >permit 192.168.58.121 any >permit 192.168.32.203 any >permit 192.168.0.116 any >permit 192.168.7.2 any > >Это мои предположения , но думаю стоит попробывать и заменить акцесс >лист 5 >Попробуйте потом расскажите.. если не получится можно ещё подумать, кстати интерестно >посмотреть ваш show ip route Хотя бредовая идея )
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 08-Ноя-05, 09:26 (MSK)
	>>>Локалка - 192.168.0.0/16 >>>Есть сеть класса С - 195.19.28.0/24 >>>Есть п2п соединение с провайдером - 195.19.33.198/30, в инет ходим через него, >>>nat outside тоже на нем. >>>К интерфейсу 195.19.28.12 подключены серверы (маленький хостинг, почта). >>> >>>Понятно объяснил, или не удалось? >> >>Да не вроде все ясно кроме )) ... лан чужой конфиг потёмки >>-по теме >>Так у вас проброс по статике и по динамическому нату одних и >>тех же адресов , если не ошибаюсь >> >>access-list 5 permit 192.168.58.121 >>access-list 5 permit 192.168.32.203 >>access-list 5 permit 192.168.0.116 >>access-list 5 permit 192.168.7.217 >> >>ip nat inside source list 5 pool ip_nat_pool-portfw overload >>ip nat pool ip_nat_pool-portfw 195.19.28.97 195.19.28.97 prefix-length 24 >>I >> >>ip nat inside source static tcp 192.168.7.217 1400 195.19.28.97 1400 extendable >>ip nat inside source static tcp 192.168.32.203 1494 195.19.28.97 1494 extendable >>ip nat inside source static tcp 192.168.0.116 4262 195.19.28.97 4262 extendable >>ip nat inside source static tcp 192.168.58.121 4292 195.19.28.97 4292 extendable >>ip nat inside source static 192.168.0.6 195.19.28.108 >> >>Так терь думаем логически может ли выйти из ната адресс 192.168.7.217 >>с исходным портом 1400 получается перехлёст >>Значит нам в листе 5 нужно это запретить >>Прописываем расширенный акцесс лист >>101 deny tcp host 192.168.7.217 eg 1400 any >>и так далее для всех статиков >>permit 192.168.58.121 any >>permit 192.168.32.203 any >>permit 192.168.0.116 any >>permit 192.168.7.2 any >> >>Это мои предположения , но думаю стоит попробывать и заменить акцесс >>лист 5 >>Попробуйте потом расскажите.. если не получится можно ещё подумать, кстати интерестно >>посмотреть ваш show ip route >Хотя бредовая идея ) Можно отключить ip nat translation max-entries 2147483647 , по умолчанию станет неограничено , и может покрутить таймаут именно ip nat translation timeout <seconds> Динамическая трансляция блокируется по времени после определенного периода отсутствия работы. Когда трансляция порта не сконфигурирована, трансляция блокируется после 24 часов. Это время можно настраивать с помощью приведенной выше команды или следующих ее вариантов: ip nat translation udp-timeout <seconds> ip nat translation dns-timeout <seconds> ip nat translation tcp-timeout <seconds> ip nat translation finrst-timeout <seconds> Когда трансляция порта сконфигурирована, то появляется возможность более точного управления тайм-аутом трансляции, потому что каждый элемент содержит более подробную информацию о трафике, использующем трансляцию. Трансляция не в среде протоколов DNS UDP блокируется после 5 минут; в DNS - через 1 минуту; в TCP - после 24 часов, если же в потоке есть RST или FIN, тогда - через минуту. Вот может поможет , попробуй настроить тайм ауты , всё же похоже на какие то переполнения.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Balrog (ok) on 08-Ноя-05, 13:10 (MSK)
	Спасибо за ответы. С пятым ацл поиграюсь, отпишусь - поможет или нет. ip nat translation max-entries 2147483647 изначально не было, это я уж потом добавил в качестве эксперимента. с таймаутами поковыряюсь, но все же, если честно, не понимаю при чем тут они :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 08-Ноя-05, 15:08 (MSK)
	>Спасибо за ответы. > >С пятым ацл поиграюсь, отпишусь - поможет или нет. > >ip nat translation max-entries 2147483647 изначально не было, это я уж потом >добавил в качестве эксперимента. >с таймаутами поковыряюсь, но все же, если честно, не понимаю при чем >тут они :) В общем смысле , я с вланами на роутере дела не имел ещё , и твой случай интересен своим необычным глюком, может этот глюк связан именно с трансляцией во влан... может что перекрыто у тебя в акцесс листе на интерфейсах что порождает такой глюк.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "Эпизодическая проблема с НАТ на 2821"
	Сообщение от Изгой (??) on 08-Ноя-05, 15:32 (MSK)
	>>Спасибо за ответы. >> >>С пятым ацл поиграюсь, отпишусь - поможет или нет. >> >>ip nat translation max-entries 2147483647 изначально не было, это я уж потом >>добавил в качестве эксперимента. >>с таймаутами поковыряюсь, но все же, если честно, не понимаю при чем >>тут они :) > >В общем смысле , я с вланами на роутере дела не имел >ещё , и твой случай >интересен своим необычным глюком, может этот глюк связан именно с трансляцией >во влан... может что перекрыто у тебя в акцесс листе на >интерфейсах что порождает такой глюк. Да и всё таки меня смущает данное совпадение!!! Обрати внимание , если копать то копать везде. interface Vlan2 ip address 195.19.28.12 255.255.255.0 префикс 24 ! interface Vlan3 ip address 195.19.33.198 255.255.255.252 ip nat outside ip route-cache policy ip route-cache flow Здесь префикс 24 совпадение максимальное 195.19.28 оутсайд у тебя во влан 195.19.33 если был бы маршрутизация то ..... в общем не знаю советую как то сменить префикс на что нибудь различное и попробывать .. попробывать мож затык и в этом... ip nat pool ip_nat_pool1 195.19.28.65 195.19.28.65 prefix-length 24 ip nat pool ip_nat_pool2 195.19.28.66 195.19.28.66 prefix-length 24 ip nat pool ip_nat_pool3 195.19.28.67 195.19.28.67 prefix-length 24 ip nat pool ip_nat_pool4 195.19.28.68 195.19.28.68 prefix-length 24 ip nat pool ip_nat_pool5 195.19.28.69 195.19.28.69 prefix-length 24 ip nat pool ip_nat_pool6 195.19.28.70 195.19.28.70 prefix-length 24 ip nat pool ip_nat_pool7 195.19.28.71 195.19.28.71 prefix-length 24 ip nat pool ip_nat_pool8 195.19.28.72 195.19.28.72 prefix-length 24 ip nat pool ip_nat_pool9 195.19.28.73 195.19.28.73 prefix-length 24 ip nat pool ip_nat_pool10 195.19.28.74 195.19.28.74 prefix-length 24 ip nat pool ip_nat_pool11 195.19.28.75 195.19.28.75 prefix-length 24 ip nat pool ip_nat_pool12 195.19.28.76 195.19.28.76 prefix-length 24 ip nat pool ip_nat_pool13 195.19.28.77 195.19.28.77 prefix-length 24 ip nat pool ip_nat_pool14 195.19.28.78 195.19.28.78 prefix-length 24 ip nat pool ip_nat_pool15 195.19.28.79 195.19.28.79 prefix-length 24 ip nat pool ip_nat_pool16 195.19.28.80 195.19.28.80 prefix-length 24 ip nat pool ip_nat_pool17 195.19.28.81 195.19.28.81 prefix-length 24 ip nat pool ip_nat_pool18 195.19.28.82 195.19.28.82 prefix-length 24 ip nat pool ip_nat_pool19 195.19.28.83 195.19.28.83 prefix-length 24 ip nat pool ip_nat_pool20 195.19.28.84 195.19.28.84 prefix-length 24 ip nat pool ip_nat_pool21 195.19.28.85 195.19.28.85 prefix-length 24 ip nat pool ip_nat_pool22 195.19.28.86 195.19.28.86 prefix-length 24 ip nat pool ip_nat_pool23 195.19.28.87 195.19.28.87 prefix-length 24 ip nat pool ip_nat_pool24 195.19.28.88 195.19.28.88 prefix-length 24 ip nat pool ip_nat_pool25 195.19.28.89 195.19.28.89 prefix-length 24 ip nat pool ip_nat_pool26 195.19.28.90 195.19.28.90 prefix-length 24 ip nat pool ip_nat_pool27 195.19.28.91 195.19.28.91 prefix-length 24 ip nat pool ip_nat_pool28 195.19.28.92 195.19.28.92 prefix-length 24 ip nat pool ip_nat_pool29 195.19.28.93 195.19.28.93 prefix-length 24 ip nat pool ip_nat_pool30 195.19.28.94 195.19.28.94 prefix-length 24 ip nat pool ip_nat_pool31 195.19.28.95 195.19.28.95 prefix-length 24 Попробуй.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]