https://ns.opennet.dev/openforum/vsluhforumID6/18717.html Здравствуйте, товарищи!<br>Имеется Cisco 7206 NPE-G2, выполняет роль пограничного маршрутизатора на Интернет, также на нем работает NAT и BGP. На данный момент маршрутизирует порядка 140 Мегабит/с на входящий, и 50 Мегабит/с на исходящий и при этом загрузка процессора 85%/65% (65% по прерываниям). Помогите идеями :), цисковскую документацию по борьбе с перегрузками изучил но пока что глухо. Если эту тему увидят владельцы 7206 NPE-G2 отпишите пожалуйста сюда какой объем трафика она у вас маршрутизирует и какие сервисы при этом провайдит. Читал что у одного админа 7206 NPE-G2 500 Мегабит маршрутизировало и он был не доволен, а у меня только 140, представляете как недоволен я?!))<br><br>Приведу немного информации для анализа:<br><br>rtr1-node10#sh interfaces switching<br>GigabitEthernet0/1 IP-tunnel-to-VPN-server<br> Throttle count 0<br> Drops RP 7894874 SP 0<br> SPD Flushes Fast 32893025 SSE 0<br> SPD Aggress Fast https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#19 Fri, 24 Apr 2009 10:24:04 GMT &gt;Чтобы с натом было меньше проблем, 7206 должны быть статические трансляции на <br>&gt;прокси сервера. Тогда роутер не держит 100к динамических трансляций, а 1 <br>&gt;статическую, не тратя ресурны на обработку этих 100к с ихними таймаутами <br>&gt;и поиском. <br>&gt;<br>&gt;Ставте прокси! <br><br>Мне не совсем понятно как прокси-сервер который по сути является кэшэм для Web-страниц может помочь в перегрузками NAT, для меня пока что данное предлоежние выглядит как абсурд. fenix2, опишиет пожалуйста подробнее схему узла раздачи Интернета которую вы предлагаете.<br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#18 Fri, 24 Apr 2009 09:33:52 GMT Чтобы с натом было меньше проблем, 7206 должны быть статические трансляции на прокси сервера. Тогда роутер не держит 100к динамических трансляций, а 1 статическую, не тратя ресурны на обработку этих 100к с ихними таймаутами и поиском.<br><br>Ставте прокси!<br><br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#17 Fri, 24 Apr 2009 08:50:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;ip nat translation max-entries all-host <br>&gt;&gt;<br>&gt;&gt;Установите это значение для начала = 300 и посмотрите (sh ip nat <br>&gt;&gt;s) сколько хостов превышают этот порог трансляций <br>&gt;<br>&gt;А насчет плодить зоопарк тут я полностью согласен.Т.к. сервера имеют такую не <br>&gt;хорошую штуку как жесткие диски а по ночам хочется спать а <br>&gt;не пересобирать рейды. <br>&gt;У меня этот параметр стоит в 450 и всем пользователям кроме прокси <br>&gt;этого хватает! <br><br>Murzik, а какое время жизни трансляции NAT у вас приэтом установлено ?<br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#16 Fri, 24 Apr 2009 08:39:47 GMT &gt;&gt;Повести на интерфейс на вход от пользователей динамический АСЛ и заблокируйте подозрительных,если <br>&gt;&gt;кол НАТ трансляций будет падать на десятки тысяц то это дос <br>&gt;&gt;от пользователей. Нат это конечно зло , но плодить зоопарк серверов <br>&gt;&gt;тоже не айс. <br>&gt;<br>&gt;Хорошо бы ограничить макимальное число трансляций для каждого хоста: <br>&gt;ip nat translation max-entries all-host <br>&gt;<br>&gt;Установите это значение для начала = 300 и посмотрите (sh ip nat <br>&gt;s) сколько хостов превышают этот порог трансляций <br><br>А насчет плодить зоопарк тут я полностью согласен.Т.к. сервера имеют такую не хорошую штуку как жесткие диски а по ночам хочется спать а не пересобирать рейды.<br>У меня этот параметр стоит в 450 и всем пользователям кроме прокси этого хватает! <br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#15 Fri, 24 Apr 2009 04:04:56 GMT &gt;Повести на интерфейс на вход от пользователей динамический АСЛ и заблокируйте подозрительных,если <br>&gt;кол НАТ трансляций будет падать на десятки тысяц то это дос <br>&gt;от пользователей. Нат это конечно зло , но плодить зоопарк серверов <br>&gt;тоже не айс. <br><br>Хорошо бы ограничить макимальное число трансляций для каждого хоста:<br>ip nat translation max-entries all-host <br><br>Установите это значение для начала = 300 и посмотрите (sh ip nat s) сколько хостов превышают этот порог трансляций<br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#14 Thu, 23 Apr 2009 11:23:21 GMT Повести на интерфейс на вход от пользователей динамический АСЛ и заблокируйте подозрительных,если кол НАТ трансляций будет падать на десятки тысяц то это дос от пользователей. Нат это конечно зло , но плодить зоопарк серверов тоже не айс.<br><br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#13 Thu, 23 Apr 2009 11:08:56 GMT &gt;[оверквотинг удален]<br>&gt;53 и тд)" + 5 экранов статы по sh ip nat <br>&gt;tr, далее подозрительные трансляции deny в динамическом ACL , sh ip <br>&gt;nat st. Знаю что бред но проблема переполнения НАТ еще не <br>&gt;решалась больше 5 минут. <br>&gt;<br>&gt;Хотя в свое время написал парсер кот делает тоже самое.Еще никак не <br>&gt;доходят руки сделать трэп на количество НАТ трансляций. <br>&gt;<br>&gt;Попробуйте в момент макс загрузки сделать clear ip nat tr * . <br>&gt;Существенно ли упадет? <br><br>Загрузка прилично падает, где-то на 30%. До очистки таблицы транcляций NAT, загрузка центрального процессора была 75%/55%, сразу после очистки таблицы NAT стала 48%/34%, примерно через 3 минуты загрузка восстанавливается до исходных значений. Визуально определил пару клиентов которые очень вероятно подцепили вирусы... думаю перенести все-таки NAT на отдельный сервер.<br><br><br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#12 Thu, 23 Apr 2009 10:43:36 GMT &gt;А как вы вычисляете таких пользователей ? Средствами IOS или програмку написали <br>&gt;? <br><br>И смех и грех но смотрю глазами %-) .Без проблем отличаю дос от торретов,обычно это имеет вид "ipмоегоклиента(перебор порта) - ipсервера(порт сервиса 80 53 и тд)" + 5 экранов статы по sh ip nat tr, далее подозрительные трансляции deny в динамическом ACL , sh ip nat st. Знаю что бред но проблема переполнения НАТ еще не решалась больше 5 минут.<br><br>Хотя в свое время написал парсер кот делает тоже самое.Еще никак не доходят руки сделать трэп на количество НАТ трансляций.<br><br>Попробуйте в момент макс загрузки сделать clear ip nat tr * . Существенно ли упадет?<br> https://ns.opennet.dev/openforum/vsluhforumID6/18717.html#11 Thu, 23 Apr 2009 10:24:35 GMT &gt;&gt;У меня вечерами в NAT порядка 150 тысяч трансляций. <br>&gt;<br>&gt;Что вы хотите получить от этой железки с таким количеством трансляций? Я <br>&gt;ограничиваю количество трансляций в 40000 ,НАТ пользователей у меня не так <br>&gt;много. Но раз в месяц кто то регулярно хватает вирусню которая <br>&gt;сжирает эти 40к за пару сек.Инет для НАТ пользователей тормозит пару <br>&gt;минут зато сразу вычисляю вирусню.Может у вас такая же ситуация. <br><br>А как вы вычисляете таких пользователей ? Средствами IOS или програмку написали ?<br>