https://www.opennet.ru/openforum/vsluhforumID6/20748.html Приветствую всех спецов Opennet'a.<br>Решили в нашей славной кампании переезжать на Циски в связи с усложнением топологии сети и растущим количеством удаленных офисов.<br>Купили для теста cisco877-k9, после настроек и пробросов туннелей, в работе выяснилось что при выходе пользователей в инет через нат загрузка ЦП становится на 100 %, при условии что выходит только один хост (прокся), советы в стиле ip nat translation max-entries all-hosts я сделал но эффекта просто ноль... Вопрос в следующем это у всей серии такое? Или есть хитрость в настройках которую мне не удалось найти у гугля, возможно это просто особенность одной такой что то вроде брака... ??? Подскажите кто работал с этой моделью. Вопрос важный, покупать их дальше? Или поискать другого вендора...<br> https://www.opennet.ru/openforum/vsluhforumID6/20748.html#13 Tue, 30 Mar 2010 17:24:03 GMT Все время цпу ушло на коммутацию.<br>Ради интереса, сделайте acl asd:<br>deny tcp any any eq 135<br>deny tcp any any eq 137<br>deny tcp any any eq 139<br>deny udp any any eq 135<br>deny udp any any eq netbios-ns<br>deny udp any any eq netbios-ss<br>и повесть его на vlan1<br>ip access-group asd in<br> https://www.opennet.ru/openforum/vsluhforumID6/20748.html#12 Tue, 30 Mar 2010 13:54:18 GMT ip nat inside source list 22 pool NATPOOL overload<br>ip nat Pool NATPOOL 80.255.139.201 80.255.139.201 netmask 255.255.255.252<br><br><br>&gt;[оверквотинг удален]<br>&gt; 0 0.00% <br>&gt; 0.00% 0.00% 0 IP NAT WLAN <br>&gt; 191 <br>&gt;4 184 <br>&gt; 21 0.00% 0.00% <br>&gt;0.00% 0 IP VFR proc <br>&gt; 192 84896 <br>&gt; 6465 13131 0.00% <br>&gt; 0.00% 0.00% 0 crypto sw pk pro <br>&gt;<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20748.html#11 Fri, 26 Mar 2010 10:24:01 GMT Не успел я сделать задуманное как мне стали жаловаться что сеть жутко тормозит, подцепиться я просто не смог т.к. после ввода пароль и баннера все висло. послал я добровольца в серверную перегрузить циску как после этого все заработало!!!!!!!!!!!!!!!!!<br>т.е. теперь <br>krasnoyarsk#sh proc cpu his<br><br>krasnoyarsk 10:00:27 PM Friday Mar 1 2002 UTC<br><br><br><br> 555555333332222222222222222222222222222223333322222222222222<br>100<br> 90<br> 80<br> 70<br> 60<br> 50<br> 40<br> 30<br> 20<br> 10 ******<br> 0....5....1....1....2....2....3....3....4....4....5....5....6<br> 0 5 0 5 0 5 0 5 0 5 0<br> CPU% per second (last 60 seconds)<br><br><br> 1 111111 114551 11 5 1 11111111 1118<br> 098012223899026731901995889818985068888884414333473449<br>100<br> 90 *<br> 80 *<br> 70 *<br> 60 * * https://www.opennet.ru/openforum/vsluhforumID6/20748.html#10 Fri, 26 Mar 2010 08:59:00 GMT &gt;[оверквотинг удален]<br>&gt;та грань, при которой все работает оптимально. <br>&gt;Экспериментально же установлено: если это значение оставить по дефолту (86400 кажется), то <br>&gt;даже при 40-50 пользователях за НАТом и скорости порядка 1,5 Мбит/сек <br>&gt; таблица трансляций довольно быстро разрастается до параметра, заданного в "ip <br>&gt;nat translation max-entries " и проц прогружается практически на 100%. <br>&gt;Эксперименты - хорошо, но может кто-то пояснит методику подбора этих параметров, а <br>&gt;также других параметров тайм-аутов НАТа? <br>&gt;<br>&gt;1. уберите ip nat translation max-entries all-host 100 вообще - пусть железка <br>&gt;колбасит сама на свой вкус. <br><br>Это я сделал, вообще довольно логично выход то только для одного хоста<br>&gt;2. С inside и outside уберите ip virtual-reassembly - на практике у <br>&gt;меня из за неё 871 часто подвисали забивалась память и проц <br>&gt;загружен был. <br><br>так?<br>!<br>interface Vlan1<br> description local.network<br> ip address 192.168.2.1 255.255.255.0<br> ip nat inside<br> no ip virtual-reassembly<br>!<br>interface Vlan2<br> https://www.opennet.ru/openforum/vsluhforumID6/20748.html#9 Fri, 26 Mar 2010 08:54:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; <br>&gt;&gt; CPU% per minute (last 60 minutes) <br>&gt;&gt; <br>&gt;&gt; * = maximum CPU% # = average <br>&gt;&gt;CPU% <br>&gt;&gt;вот как так??? всего один пользователь сидел в интернет просто открыв www.yandex.ru... <br>&gt;&gt;<br>&gt;<br>&gt;Странно что-то, покажите в момент загрузки <br>&gt; sh proc cpu sorted <br><br>мега странно .... (((((<br>куда делось всё время цпу???<br><br>krasnoyarsk#sh proc cpu sort<br>CPU utilization for five seconds: 95%/94%; one minute: 41%; five minutes: 20%<br> PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process<br> 44 234748 908705 258 0.57% 0.30% 0.20% 0 COLLECT STAT COU<br> 30 8760 182419 48 0.19% 0.05% 0.01% 0 TTY Background<br> 2 48144 36592 1315 0.09% 0.01% 0.00% 0 Load Meter<br> 16 21336 25001 853 0.09% 0.05% 0.04% 0 EEM ED Syslog<br> 86 544 710861 0 0.09% 0.00% 0.00% 0 SSS Feature Time<br> 1 60 232 258 0.00% 0.00% 0.00% 0 Chunk Manager<br> https://www.opennet.ru/openforum/vsluhforumID6/20748.html#8 Fri, 26 Mar 2010 07:48:01 GMT сори за задержку итак давайте попробуем. Выдержка с этого же форума<br>&gt;ip nat translation timeout 300<br>&gt;ip nat translation tcp-timeout 600<br>&gt;ip nat translation max-entries 25000<br>&gt;<br>&gt;Остальное по дефолту.<br>&gt;<br>&gt;Для разгрузки проца логичней наверное уменьшать таймуат, чтобы таблица быстрее циской самостоятельно<br>&gt;подчищалась? Или наоборот - частая подчистка таблицы будет отнимать больше процессорных<br>&gt;ресурсов, чем обработка и поиск в большой таблице НАТа?<br><br>Может кто-то пояснить эту тонкость?<br>Эксперименты показывают, что если значение "ip nat translation tcp-timeout" ставить небольшое (например 600), то память циски не забивается таблицей трансляций (таблица не разрастается), проц не прогружается, но сам НАТ субъективно (со стороны пользователей) совершенно четко подтормаживает. Увеличивая это значение, увеличиваем все: размер таблицы, размер используемой памяти, загрузку проца, но НАТ начинает работать шустрее. Осталось понять где та грань, при которой все работает оптимально.<br>Экспериментально же установлено https://www.opennet.ru/openforum/vsluhforumID6/20748.html#7 Fri, 26 Mar 2010 07:16:53 GMT Вообще странно очень...<br>Ради интереса можно с mtu поиграться - понизить на входном интерфейсе и компах. <br>Хотя вряд ли в этом дело..<br>Странно)) <br> https://www.opennet.ru/openforum/vsluhforumID6/20748.html#6 Fri, 26 Mar 2010 06:47:14 GMT &gt;[оверквотинг удален]<br>&gt; 5 0 5 <br>&gt; 0 5 <br>&gt;0 5 0 <br>&gt; <br>&gt; CPU% per minute (last 60 minutes) <br>&gt; <br>&gt; * = maximum CPU% # = average <br>&gt;CPU% <br>&gt;вот как так??? всего один пользователь сидел в интернет просто открыв www.yandex.ru... <br>&gt;<br><br>Странно что-то, покажите в момент загрузки<br> sh proc cpu sorted <br> https://www.opennet.ru/openforum/vsluhforumID6/20748.html#5 Fri, 26 Mar 2010 05:44:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;на 100 %, при условии что выходит только один хост (прокся), <br>&gt;&gt;советы в стиле ip nat translation max-entries all-hosts я сделал но <br>&gt;&gt;эффекта просто ноль... Вопрос в следующем это у всей серии <br>&gt;&gt;такое? Или есть хитрость в настройках которую мне не удалось найти <br>&gt;&gt;у гугля, возможно это просто особенность одной такой что то вроде <br>&gt;&gt;брака... ??? Подскажите кто работал с этой моделью. Вопрос важный, покупать <br>&gt;&gt;их дальше? Или поискать другого вендора... <br>&gt;<br>&gt;Подробней, что за сеть, сколько хостов, тунелей и т.д. Каков трафик, при <br>&gt;котором она уходит в 100? Нат динамический с overload? <br><br> 99 9999998799899 2<br> 988878886868333885466891992277656985587888748888888899588888<br>100 **** **<br> 90 ** *#***** *****<br> 80 ** *#*********#*<br> 70 ** *#**##*****#*<br> 60 ** ##**##*****##<br> 50 ** ##**##*****##<br> 40 *# ##*####****##<br> 30 *# #