CiscoForums.it

Salve ragazzi,
esiste un qualche comando per visualizzare la tabella di nat ?
Che sono curioso del perche il router ad un certo punto naviga in stile analogico quando aumento i terminali.

Premetto che (cisco 837):

1) carico cpu 15-50%
2) memoria 20-24MB liberi sui 48 disponibili
3) ios 12.3(2)XC2
4) ip nat translation timeout 600 e compagno tcp-timeount 600, udp-timeout 15, il max-entries prima omesso, dopo ho inserito 10000 come valore.
5) log controllati, ma non ci sono picchi o anomalie


Memoria e cpu restano discretamente libere, è possibile che la tabella abbia un limite antecedente alle risorse disponibili del sistema ?

sh ip nat stat

sh ip nat trans


Statistiche ed entry della tabella di NAT. Il solito "sh ip nat ?" per avere altri parametri disponibili.

Ok, controllate le stats, siamo tra le 800-1000 traslazioni con cpu 35-40% e si iniziano a piantare i terminali.

Mio dubbio, ma la tabella di nat pienamente saturata non dovrebbe occuparsi una gran parte della cpu ?

Mi è venuto in mente di togliere l'overload sulle nat, domani provo..

In tal caso ? dove sbatto la testa ? cambio ios ?

Togliendo l'overload ho visto che non mi permette di uscire più macchine con un solo ip, solo 1 ip esterno per macchina.

Provo ad aggiornare il bios alla 12.4 e vediamo se qualcosa cambia.

Che memoria minima è necessaria oltre lo spazio occupato dalla flash ovviamente, per far lavorare correttamente il router ?

Mio dubbio, ma la tabella di nat pienamente saturata non dovrebbe occuparsi una gran parte della cpu ?

Della memoria, non della CPU. Le entry della tabella di nat sono in DRAM.

Mi è venuto in mente di togliere l'overload sulle nat, domani provo..

L'overload non c'entra nulla.

Se hai questo tipo di problemi con 1000 entry, probabilmente sei sottodimensionato con la macchina che hai. Oppure hai poca memoria. Oppure hai tempi di refresh molto stretti e questo giustifica i carichi di CPU.

In ogni caso che macchina hai?![/quote]

Ciao fm,
grazie per la risposta...
sto provando con l'aggiornamento a 12.4-5, mi sono rimasti 2 MB di memoria libera con questa ios

Ora provo a vedere se crasha tutto

Il router fm e' un normale 837, con 48MB; i 64MB servivano come il pane mi sa tanto...

Nel tuo caso forse si. Comunque 1000 entry nella tabella di NAT è una cifra abbastanza alta (non altissima, però se pensi che cisco consiglia di limitare le entry tipo a 300, ti fai già un'idea del fatto che qualche problemino ce l'hai). Hai molti client che fanno accesso ad internet, oppure c'e' qualche P2P di mezzo che crea numerose entry. In questo caso o limiti alla fonte, o upgrade.

Ciao fm,
purtroppo sono circa 70 vecchi pentium III a 667 mhz che navigano ed altri 4 computer con p2p (anzi ci sta pure un quinto con p2p ma non è acceso sempre).

Sto facendo ora delle prove, al momento ancora i 2MB sono disponibili

tra poco mi arriva a -20MB

Ma non esiste un modo per evitare di mandare tipo 5 computer in www con lo stesso ip fisso evitando la traslazione dei 5 ip fissi interni ?

Se metto un netowork secondario alle eth0, posso solo mandare 1 pc per ogni ip pubblico.

Cioè se ho capito bene mi chiedi "Esiste un modo per non fare NAT della rete ad indirizzazione privata che hai all'interno?"

La risposta è no.

Il discorso che fai della rete secondaria assomiglia di più a qualcosa che si chiama DMZ. Però è un'altra storia quella.

Ciao fm,
no, non mi riferivo alla zona demilitarizzata, non mi è necessaria.
Piu' che altro intendevo questo :

Prendere per esempio 5 pc (ferrovecchi) e farli uscire all'esterno con ip fisso, al momento faccio ciò con una nat dinamica con indirizzamento verso un pool di indirizzi esterni.

E tutto funziona correttamente(proprio come desidero), tranne che per il fatto prima citato, ad un certo punto tra emule e questi vari pc, il router mi saluta

Potrei ovviare a queste traslazioni nat, non so magari effettuando una loopback o altro.

Per quanto riguarda il network secondario avevo fatto questo :

avevo inserito l'indirizzo iniziale del pool di indirizzi esterni e la loro mask in secodary, alla eth0, dopo nei pc come ip fisso inserivo uno delli ip esterni, con gateway l'indirizzo ip del pool di indirizzi esterni.
E tutto funziona, escono tranquillamente (con tutte le varie regole)
Però in questo modo ovviamente, mi serve un indirizzo esterno per ogni pc.

Oppure devo inserire qualcosa prima del router, tipo un firewall o un pc che elabori lui le traslazioni, e li passi al router

L'unico modo per ovviare a questo flood di traslazioni NAT è quello di assegnare direttamente l'ip statico al PC. Se natti, lo dice la parola stessa, continuerai ad avere lo stesso problema.

Ciao FM,
infatti... l'unico metodo per ovviare al nat mi sembra sia quello, ma servono troppi indirizzi fissi esterni.
Comunque disperazione a parte, l'837 mi da problemi di ios, praticamente non ha flash al momento, ed ora provo a fare qualcosa con il disaster recovery.

Nel contempo forse ho trovato la soluzione per ovviare ai problemi, sto configurando un 2610, forse con questo riesco a reggere la tabella di nat di quel livello (anche se ha solo 64MB).

Problema è che mi si collega, le interfacce si uppano, ma non riesco a navigare, ho qualche errore nella configurazione che posto di seguito :


Building configuration...

Current configuration : 4372 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$uOYc$51PFBdr.aZw7cNdOyRJt00
enable password xxxxxxxx
!
no aaa new-model
ip subnet-zero
no ip routing
no ip cef
!
!
ip name-server 62.94.0.41
ip name-server 62.94.0.42
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface ATM0/0
no ip address
no ip route-cache
no ip mroute-cache
atm vc-per-vp 128
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.240.0
ip access-group 122 out
ip nat inside
no ip route-cache
no ip mroute-cache
half-duplex
no cdp enable
hold-queue 100 out
!
interface BRI0/0
no ip address
encapsulation hdlc
no ip route-cache
shutdown
no cdp enable
!
interface Dialer1
bandwidth 7200
ip address negotiated
ip access-group 111 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxx
ppp chap password 0 xxxxxxx
ppp pap sent-username xxxxxxxxxx password 0 xxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat translation timeout 600
ip nat translation tcp-timeout 600
ip nat translation udp-timeout 600
ip nat pool 62 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 63 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 64 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 65 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 66 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 67 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 68 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat inside source list 2 pool 62 overload
ip nat inside source list 3 pool 63 overload
ip nat inside source list 4 pool 64 overload
ip nat inside source list 5 pool 65 overload
ip nat inside source list 6 pool 66 overload
ip nat inside source list 7 pool 67 overload
ip nat inside source list 8 pool 68 overload
ip nat inside source list 9 interface Dialer1 overload
ip nat inside source list 10 interface Dialer1 overload
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source list 101 interface Dialer1 overload
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.3.0 0.0.0.255
access-list 4 permit 192.168.4.0 0.0.0.255
access-list 5 permit 192.168.5.0 0.0.0.255
access-list 6 permit 192.168.6.0 0.0.0.255
access-list 7 permit 192.168.7.0 0.0.0.255
access-list 8 permit 192.168.8.0 0.0.0.255
access-list 9 permit 192.168.9.0 0.0.0.255
access-list 10 permit 192.168.10.0 0.0.245.255
access-list 100 permit tcp host 192.168.1.10 any
access-list 100 permit udp host 192.168.1.10 any
access-list 100 permit icmp host 192.168.1.10 any
access-list 100 permit ip host 192.168.1.10 any
access-list 101 permit tcp host 192.168.1.4 any
access-list 101 permit udp host 192.168.1.4 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit udp any any eq 1723
access-list 111 permit udp any any eq netbios-ss
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
access-list 150 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
snmp-server community public RO
snmp-server enable traps tty
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
password xxxxxxxx
login
!
!
end