Problema di memoria con emule e 1801

[matteofe]

Ciao a tutti.
dopo qualche minuto che faccio partire emule, il mio 1801 si inchioda con il seguente errore:
Feb 25 21:46:51.051: %AAA-3-ACCT_LOW_MEM_UID_FAIL: AAA unable to create UID for incoming calls due to insufficient processor memory

Ho fatto un sh proc memory sorted e questo è quello che è uscito:
Processor Pool Total: 55256388 Used: 55229240 Free: 27148
I/O Pool Total: 12582912 Used: 8485264 Free: 4097648
Reserve Pool Total: 262144 Used: 48 Free: 262096

Codice: Seleziona tutto

 PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
   0   0   85346912   50222944   30883644          0          0 *Init*
  85   0   11433320     454272   10986292          0          0 IP ARP Adjacency
   1   0    9202704     582332    8627616          0          0 Chunk Manager
  84   0    6952560    1339112    5626692     977600          0 ADJ resolve proc
   0   0          0          0    1701364          0          0 *MallocLite*
   0   0   56859884   55665004    1296264    1540156          0 *Dead*
  87   0    1380720     273188     313240      43944          0 IP Input
  11   0    2791036    2487948     310332          0          0 ARP Input
 111   0     997556          0     278432          0          0 IP Background
  24   0     259312          0     269556      99792          0 EEM ED Syslog
 170   0     218332        504     215828          0          0 Crypto HW Proc
 220   0     187528          0     194772          0          0 EEM Server
   5   0     114988          0     122232      23140          0 Pool Manager
 182   0     109184        532     117896          0          0 Crypto WUI
 158   0      77772       1104      84764      15600          0 Inspect process
 167   0      76468        252      83460          0          0 HTTP Process
 138   0        940          0      62184          0          0 COPS
   3   0     178808     134704      57212          0          0 Exec
  80   0      49384          0      56628          0          0 ACCT Periodic Pr
  86   0      49384          0      56628          0          0 IP ARP Retry Age
 231   0      39280        252      38124          0          0 DHCPD Receive
  12   0      29800      66028      33796        780          0 ARP Background
 156   0      16812        252      29804          0          0 IPS Auto Update
 123   0   15240476    6032660      27960          0          0 HTTP CORE

...............
ecc ecc.. (Ho tagliato un po, non credo che il resto sia significativo...)

posto anche la configurazione:

Codice: Seleziona tutto

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$C0H1$qPuFxTBc1s2ElVbJgtJAV1
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.9
ip dhcp excluded-address 192.168.1.201 192.168.1.254
!
ip dhcp pool PoolCasa
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1 
   dns-server 192.168.1.2 
   lease infinite
!
!
ip dhcp update dns
ip inspect name SDM_LOW cuseeme
ip inspect name SDM_LOW dns
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW h323
ip inspect name SDM_LOW https
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW imap
ip inspect name SDM_LOW pop3
ip inspect name SDM_LOW netshow
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW realaudio
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW sqlnet
ip inspect name SDM_LOW streamworks
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW vdolive
!
!
!
username matteo privilege 15 view root secret 5 $1$tA2M$3wLvbRfki7somGAhdKTZa/
!
! 
!
!
!
!
interface FastEthernet0
 description $FW_OUTSIDE$
 ip address dhcp
 ip access-group 101 in
 ip nat outside
 ip inspect SDM_LOW in
 ip inspect SDM_LOW out
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface Vlan1
 description $FW_INSIDE$
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip inspect SDM_LOW out
 ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0
!
!
ip http server
no ip http secure-server
ip nat translation timeout 420
ip nat translation tcp-timeout 120
ip nat translation udp-timeout 120
ip nat translation finrst-timeout 300
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 120
ip nat inside source list 9 interface FastEthernet0 overload
ip nat inside source static udp 192.168.1.20 4711 interface FastEthernet0 4711
ip nat inside source static udp 192.168.1.20 4665 interface FastEthernet0 4665
ip nat inside source static udp 192.168.1.20 4672 interface FastEthernet0 4672
ip nat inside source static tcp 192.168.1.20 4662 interface FastEthernet0 4662
!
access-list 9 remark INSIDE_IF=Vlan1
access-list 9 remark SDM_ACL Category=2 
access-list 9 permit 192.168.1.0 0.0.0.255
!
access-list 100 remark modified by Matteo
access-list 100 remark SDM_ACL Category=1
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
!
access-list 101 remark modified by Matteo
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp host 29.253.128.10 eq domain any
access-list 101 permit udp host 1.253.128.39 eq domain any
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 4662
access-list 101 permit udp any any eq 4672
access-list 101 permit udp any any eq 4665
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny   ip 10.0.0.0 0.255.255.255 any
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any
access-list 101 deny   ip 192.168.0.0 0.0.255.255 any
access-list 101 deny   ip 192.168.1.0 0.0.0.255 any
access-list 101 deny   ip 127.0.0.0 0.255.255.255 any
access-list 101 deny   ip host 255.255.255.255 any
access-list 101 deny   ip any any
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

Non so se devo postare qualche altra informazione, spero che qualcuno mi possa aiutare!!
Grazie.

[matteofe]

Nuove informazioni,
il 1801 si blocca anche senza emule, solo che succede dopo ore invece che dopo minuti.
Per l'esattezza continua a funzionare con le connessioni già aperte, ma non ne apre nuove.
Ad esempio, posso continuare a navigare all'interno di ciscoforums.it, ma se voglio aprire un nuovo sito, non riesco...

Cosa potrebbe essere????

[Wizard]

Fai un upgrade alla ios prima di tutto

[matteofe]

Fai un upgrade alla ios prima di tutto

Grazie per la risposta,
lo avevo già fatto, ma nulla di fatto...

[lorbellu]

Ciao,

personalmente ho avuto questo problema con un 1841, comunque il problema a me lo dava in quanto con l'utilizzo di PAT, un uso intensivo di software peer-to-peer (io usavo utorrent), provoca la saturazione della memoria.
A quanto pare l'IOS non si preoccupa troppo di cancellare le NAT translations più vecchie, il che provoca la saturazione della RAM.
Inizialmente ho provato a risolvere il problema aumentando la RAM la ovviamente il problema si riproponeva (anche se più lentamente).
Personalmente ho risolto cambiando la macchina con un 2800 ma avevamo una ragione ben più valida per fare ciò.
Altresì, un pagliativo temporaneo era lanciare un clear ip nat translations anche se ovviamente così facendo non risolvevamo il problema.
Una soluzione più efficace é quello di definire un limite alle sessioni NAT che ogni host può eseguire, il che di fatto forza l'IOS a cancellare le translation più obsolete, il problema é che tale operazione rallenta un po' tutto, quindi bisogna trovare il giusto compromesso, ovvero un numero di NAT translations che sia abbastanza basso da non ingolfare la memoria e che sia al tempo stesso abbastanzaalto da non rallentare le operazioni di rete del PC.
Il comando per per impostare tale limite é ip nat translation max-entries, da notare che puoi anche impostare tale limite ai soli host di una acl o anche solo ad un host della rete. Questo potrebbe essere utile per limitare solo PC di emule, lasciando gli altri PC della rete liberi di lavorare.
Questo é il link per la guida al comando http://www.cisco.com/en/US/docs/ios/12_ ... #wp1050719

Ciao e buon lavoro

[Wizard]

Inizia limitando le connesioni massime sul client emule.
Io a casa le ho impostate a 500 e con un 837 nn ho mai avuto problemi di saturazione ram

[matteofe]

Innanzitutto voglio ringraziare lorbellu per l'indicazione che, anche se ancora non mi ha risolto il problema, quantomeno lo ha ridotto.
Attualmente sto utilizzando:
ip nat translation max-entries host 192.168.1.10 500
Il problema rimane ma con un tempo di ore invece di minuti. Inoltre in questo modo quantomeno riesco ad entrare via terminal e dare un reload (invece di dover spegnere e riaccendere a mano).

Inizia limitando le connesioni massime sul client emule.
Io a casa le ho impostate a 500 e con un 837 nn ho mai avuto problemi di saturazione ram

Anche questo lo avevo già impostato seguendo le indicazioni di altri post che avevo visto (forse proprio tuoi?!?).
Ho impostato il valore "Fonti massime per file" a 200 (è questo quello che intendevi. giusto?).
Purtroppo però il problema si ripropone come indicato sopra.

Se qualcuno ha qualche altra idea...
Grazie,
Matteo

PS: uso Adunanza, non emule, visto che sono su rete fastweb. Non so se questo può dare qualche indicazione...

[Wizard]

Ho impostato il valore "Fonti massime per file" a 200 (è questo quello che intendevi. giusto?).

No non dico questo.

Ecco quello che dico io:

[lorbellu]

Ciao,

Non so se dopo il suggerimento di Wizard hai ancora il problema.
In tal caso, oltre a quanto detto in un post precedente (quello riguardante il rate limit per le sessioni nat per l'IP della macchina emule), ti do questo altro suggerimento.
Prova a schedulare un clear ip nat translations. Questo é un comando eseguibile in EXEC mode e che non richiede conferme da parte dell'operatore, pertanto può essere schedulato con il comando kron per un esecuzione ogni X ore.
In questo modo non risolverai il problema alla radice (probabilmente si tratta di un bug IOS per la piattaforma), ma quantomeno dovresti avere un workaround funzionante.

La strategia quindi é:
1) Impostare il nat translations per l'IP della macchina emule (ammettiamo che sia 192.168.0.10) a 500 con il comando:
ip nat translation max-entries host 192.168.0.10 500

2)Creare la policy kron che esegua il comando clear ip nat translation
kron policy-list ClearNAT
cli clear ip nat translations *

3) Scheduli l'esecuzione della policy suddetta ogni X ore
kron occurence ClearNAT in X:00 recurring
policy-list ClearNAT

Attenzione: il comando clear ip nat translation * pulisce TUTTE le translations, non solo quelle del PC in questione

Buona fortuna e saluti.