Salve ragazzi,
esiste un qualche comando per visualizzare la tabella di nat ?
Che sono curioso del perche il router ad un certo punto naviga in stile analogico quando aumento i terminali.
Premetto che (cisco 837):
1) carico cpu 15-50%
2) memoria 20-24MB liberi sui 48 disponibili
3) ios 12.3(2)XC2
4) ip nat translation timeout 600 e compagno tcp-timeount 600, udp-timeout 15, il max-entries prima omesso, dopo ho inserito 10000 come valore.
5) log controllati, ma non ci sono picchi o anomalie
Memoria e cpu restano discretamente libere, è possibile che la tabella abbia un limite antecedente alle risorse disponibili del sistema ?
Tabella nat
Moderatore: Federico.Lagni
-
ciscomanagement
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
-
ciscomanagement
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Ok, controllate le stats, siamo tra le 800-1000 traslazioni con cpu 35-40% e si iniziano a piantare i terminali.
Mio dubbio, ma la tabella di nat pienamente saturata non dovrebbe occuparsi una gran parte della cpu ?
Mi è venuto in mente di togliere l'overload sulle nat, domani provo..
In tal caso ? dove sbatto la testa ? cambio ios ?
Mio dubbio, ma la tabella di nat pienamente saturata non dovrebbe occuparsi una gran parte della cpu ?
Mi è venuto in mente di togliere l'overload sulle nat, domani provo..
In tal caso ? dove sbatto la testa ? cambio ios ?
-
ciscomanagement
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Togliendo l'overload ho visto che non mi permette di uscire più macchine con un solo ip, solo 1 ip esterno per macchina.
Provo ad aggiornare il bios alla 12.4 e vediamo se qualcosa cambia.
Che memoria minima è necessaria oltre lo spazio occupato dalla flash ovviamente, per far lavorare correttamente il router ?
Provo ad aggiornare il bios alla 12.4 e vediamo se qualcosa cambia.
Che memoria minima è necessaria oltre lo spazio occupato dalla flash ovviamente, per far lavorare correttamente il router ?
-
fm
- Cisco fan
- Messaggi: 55
- Iscritto il: gio 23 ott , 2008 12:00 pm
Della memoria, non della CPU. Le entry della tabella di nat sono in DRAM.Mio dubbio, ma la tabella di nat pienamente saturata non dovrebbe occuparsi una gran parte della cpu ?
L'overload non c'entra nulla.Mi è venuto in mente di togliere l'overload sulle nat, domani provo..
Se hai questo tipo di problemi con 1000 entry, probabilmente sei sottodimensionato con la macchina che hai. Oppure hai poca memoria. Oppure hai tempi di refresh molto stretti e questo giustifica i carichi di CPU.
In ogni caso che macchina hai?![/quote]
-
ciscomanagement
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Ciao fm,
grazie per la risposta...
sto provando con l'aggiornamento a 12.4-5, mi sono rimasti 2 MB di memoria libera con questa ios
Ora provo a vedere se crasha tutto
Il router fm e' un normale 837, con 48MB; i 64MB servivano come il pane mi sa tanto...
grazie per la risposta...
sto provando con l'aggiornamento a 12.4-5, mi sono rimasti 2 MB di memoria libera con questa ios
Ora provo a vedere se crasha tutto
Il router fm e' un normale 837, con 48MB; i 64MB servivano come il pane mi sa tanto...
-
fm
- Cisco fan
- Messaggi: 55
- Iscritto il: gio 23 ott , 2008 12:00 pm
Nel tuo caso forse si. Comunque 1000 entry nella tabella di NAT è una cifra abbastanza alta (non altissima, però se pensi che cisco consiglia di limitare le entry tipo a 300, ti fai già un'idea del fatto che qualche problemino ce l'hai). Hai molti client che fanno accesso ad internet, oppure c'e' qualche P2P di mezzo che crea numerose entry. In questo caso o limiti alla fonte, o upgrade.
-
ciscomanagement
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Ciao fm,
purtroppo sono circa 70 vecchi pentium III a 667 mhz che navigano ed altri 4 computer con p2p (anzi ci sta pure un quinto con p2p ma non è acceso sempre).
Sto facendo ora delle prove, al momento ancora i 2MB sono disponibili
tra poco mi arriva a -20MB
Ma non esiste un modo per evitare di mandare tipo 5 computer in www con lo stesso ip fisso evitando la traslazione dei 5 ip fissi interni ?
Se metto un netowork secondario alle eth0, posso solo mandare 1 pc per ogni ip pubblico.
purtroppo sono circa 70 vecchi pentium III a 667 mhz che navigano ed altri 4 computer con p2p (anzi ci sta pure un quinto con p2p ma non è acceso sempre).
Sto facendo ora delle prove, al momento ancora i 2MB sono disponibili
tra poco mi arriva a -20MBMa non esiste un modo per evitare di mandare tipo 5 computer in www con lo stesso ip fisso evitando la traslazione dei 5 ip fissi interni ?
Se metto un netowork secondario alle eth0, posso solo mandare 1 pc per ogni ip pubblico.
-
fm
- Cisco fan
- Messaggi: 55
- Iscritto il: gio 23 ott , 2008 12:00 pm
Cioè se ho capito bene mi chiedi "Esiste un modo per non fare NAT della rete ad indirizzazione privata che hai all'interno?"
La risposta è no.
Il discorso che fai della rete secondaria assomiglia di più a qualcosa che si chiama DMZ. Però è un'altra storia quella.
La risposta è no.
Il discorso che fai della rete secondaria assomiglia di più a qualcosa che si chiama DMZ. Però è un'altra storia quella.
-
ciscomanagement
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Ciao fm,
no, non mi riferivo alla zona demilitarizzata, non mi è necessaria.
Piu' che altro intendevo questo :
Prendere per esempio 5 pc (ferrovecchi) e farli uscire all'esterno con ip fisso, al momento faccio ciò con una nat dinamica con indirizzamento verso un pool di indirizzi esterni.
E tutto funziona correttamente(proprio come desidero), tranne che per il fatto prima citato, ad un certo punto tra emule e questi vari pc, il router mi saluta
Potrei ovviare a queste traslazioni nat, non so magari effettuando una loopback o altro.
Per quanto riguarda il network secondario avevo fatto questo :
avevo inserito l'indirizzo iniziale del pool di indirizzi esterni e la loro mask in secodary, alla eth0, dopo nei pc come ip fisso inserivo uno delli ip esterni, con gateway l'indirizzo ip del pool di indirizzi esterni.
E tutto funziona, escono tranquillamente (con tutte le varie regole)
Però in questo modo ovviamente, mi serve un indirizzo esterno per ogni pc.
Oppure devo inserire qualcosa prima del router, tipo un firewall o un pc che elabori lui le traslazioni, e li passi al router
no, non mi riferivo alla zona demilitarizzata, non mi è necessaria.
Piu' che altro intendevo questo :
Prendere per esempio 5 pc (ferrovecchi) e farli uscire all'esterno con ip fisso, al momento faccio ciò con una nat dinamica con indirizzamento verso un pool di indirizzi esterni.
E tutto funziona correttamente(proprio come desidero), tranne che per il fatto prima citato, ad un certo punto tra emule e questi vari pc, il router mi saluta
Potrei ovviare a queste traslazioni nat, non so magari effettuando una loopback o altro.
Per quanto riguarda il network secondario avevo fatto questo :
avevo inserito l'indirizzo iniziale del pool di indirizzi esterni e la loro mask in secodary, alla eth0, dopo nei pc come ip fisso inserivo uno delli ip esterni, con gateway l'indirizzo ip del pool di indirizzi esterni.
E tutto funziona, escono tranquillamente (con tutte le varie regole)
Però in questo modo ovviamente, mi serve un indirizzo esterno per ogni pc.
Oppure devo inserire qualcosa prima del router, tipo un firewall o un pc che elabori lui le traslazioni, e li passi al router
-
ciscomanagement
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Ciao FM,
infatti... l'unico metodo per ovviare al nat mi sembra sia quello, ma servono troppi indirizzi fissi esterni.
Comunque disperazione a parte, l'837 mi da problemi di ios, praticamente non ha flash al momento, ed ora provo a fare qualcosa con il disaster recovery.
Nel contempo forse ho trovato la soluzione per ovviare ai problemi, sto configurando un 2610, forse con questo riesco a reggere la tabella di nat di quel livello (anche se ha solo 64MB).
Problema è che mi si collega, le interfacce si uppano, ma non riesco a navigare, ho qualche errore nella configurazione che posto di seguito :
Building configuration...
Current configuration : 4372 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$uOYc$51PFBdr.aZw7cNdOyRJt00
enable password xxxxxxxx
!
no aaa new-model
ip subnet-zero
no ip routing
no ip cef
!
!
ip name-server 62.94.0.41
ip name-server 62.94.0.42
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface ATM0/0
no ip address
no ip route-cache
no ip mroute-cache
atm vc-per-vp 128
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.240.0
ip access-group 122 out
ip nat inside
no ip route-cache
no ip mroute-cache
half-duplex
no cdp enable
hold-queue 100 out
!
interface BRI0/0
no ip address
encapsulation hdlc
no ip route-cache
shutdown
no cdp enable
!
interface Dialer1
bandwidth 7200
ip address negotiated
ip access-group 111 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxx
ppp chap password 0 xxxxxxx
ppp pap sent-username xxxxxxxxxx password 0 xxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat translation timeout 600
ip nat translation tcp-timeout 600
ip nat translation udp-timeout 600
ip nat pool 62 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 63 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 64 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 65 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 66 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 67 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 68 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat inside source list 2 pool 62 overload
ip nat inside source list 3 pool 63 overload
ip nat inside source list 4 pool 64 overload
ip nat inside source list 5 pool 65 overload
ip nat inside source list 6 pool 66 overload
ip nat inside source list 7 pool 67 overload
ip nat inside source list 8 pool 68 overload
ip nat inside source list 9 interface Dialer1 overload
ip nat inside source list 10 interface Dialer1 overload
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source list 101 interface Dialer1 overload
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.3.0 0.0.0.255
access-list 4 permit 192.168.4.0 0.0.0.255
access-list 5 permit 192.168.5.0 0.0.0.255
access-list 6 permit 192.168.6.0 0.0.0.255
access-list 7 permit 192.168.7.0 0.0.0.255
access-list 8 permit 192.168.8.0 0.0.0.255
access-list 9 permit 192.168.9.0 0.0.0.255
access-list 10 permit 192.168.10.0 0.0.245.255
access-list 100 permit tcp host 192.168.1.10 any
access-list 100 permit udp host 192.168.1.10 any
access-list 100 permit icmp host 192.168.1.10 any
access-list 100 permit ip host 192.168.1.10 any
access-list 101 permit tcp host 192.168.1.4 any
access-list 101 permit udp host 192.168.1.4 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit udp any any eq 1723
access-list 111 permit udp any any eq netbios-ss
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
access-list 150 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
snmp-server community public RO
snmp-server enable traps tty
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
password xxxxxxxx
login
!
!
end
infatti... l'unico metodo per ovviare al nat mi sembra sia quello, ma servono troppi indirizzi fissi esterni.
Comunque disperazione a parte, l'837 mi da problemi di ios, praticamente non ha flash al momento, ed ora provo a fare qualcosa con il disaster recovery.
Nel contempo forse ho trovato la soluzione per ovviare ai problemi, sto configurando un 2610, forse con questo riesco a reggere la tabella di nat di quel livello (anche se ha solo 64MB).
Problema è che mi si collega, le interfacce si uppano, ma non riesco a navigare, ho qualche errore nella configurazione che posto di seguito :
Building configuration...
Current configuration : 4372 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$uOYc$51PFBdr.aZw7cNdOyRJt00
enable password xxxxxxxx
!
no aaa new-model
ip subnet-zero
no ip routing
no ip cef
!
!
ip name-server 62.94.0.41
ip name-server 62.94.0.42
!
ip audit po max-events 100
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface ATM0/0
no ip address
no ip route-cache
no ip mroute-cache
atm vc-per-vp 128
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.240.0
ip access-group 122 out
ip nat inside
no ip route-cache
no ip mroute-cache
half-duplex
no cdp enable
hold-queue 100 out
!
interface BRI0/0
no ip address
encapsulation hdlc
no ip route-cache
shutdown
no cdp enable
!
interface Dialer1
bandwidth 7200
ip address negotiated
ip access-group 111 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxxxxxxx
ppp chap password 0 xxxxxxx
ppp pap sent-username xxxxxxxxxx password 0 xxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
hold-queue 224 in
!
ip nat translation timeout 600
ip nat translation tcp-timeout 600
ip nat translation udp-timeout 600
ip nat pool 62 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 63 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 64 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 65 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 66 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 67 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat pool 68 62.94.xxx.xxx 62.94.xxx.xxx netmask 255.255.255.248
ip nat inside source list 2 pool 62 overload
ip nat inside source list 3 pool 63 overload
ip nat inside source list 4 pool 64 overload
ip nat inside source list 5 pool 65 overload
ip nat inside source list 6 pool 66 overload
ip nat inside source list 7 pool 67 overload
ip nat inside source list 8 pool 68 overload
ip nat inside source list 9 interface Dialer1 overload
ip nat inside source list 10 interface Dialer1 overload
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source list 101 interface Dialer1 overload
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.3.0 0.0.0.255
access-list 4 permit 192.168.4.0 0.0.0.255
access-list 5 permit 192.168.5.0 0.0.0.255
access-list 6 permit 192.168.6.0 0.0.0.255
access-list 7 permit 192.168.7.0 0.0.0.255
access-list 8 permit 192.168.8.0 0.0.0.255
access-list 9 permit 192.168.9.0 0.0.0.255
access-list 10 permit 192.168.10.0 0.0.245.255
access-list 100 permit tcp host 192.168.1.10 any
access-list 100 permit udp host 192.168.1.10 any
access-list 100 permit icmp host 192.168.1.10 any
access-list 100 permit ip host 192.168.1.10 any
access-list 101 permit tcp host 192.168.1.4 any
access-list 101 permit udp host 192.168.1.4 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit udp any any eq 1723
access-list 111 permit udp any any eq netbios-ss
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
access-list 150 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
snmp-server community public RO
snmp-server enable traps tty
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
password xxxxxxxx
login
!
!
end
