Nat lento...
nospam
su un cisco 7604 che usa IOS Version 12.2(18)SXF5, RELEASE
SOFTWARE (fc3)
ho la seguente configurazione di nat:
interface ATM3/0/1.102 point-to-point
...
ip nat outside
...
interface GigabitEthernet1/2
...
ip nat inside
...
ip nat pool terzo 192.135.27.2 192.135.27.128 netmask 255.255.255.0
ip nat pool second 192.135.27.235 192.135.27.254 netmask 255.255.255.0
ip nat inside source list 13 pool terzo
ip nat inside source list 16 pool second
access-list 13 permit 172.16.10.0 0.0.1.255
access-list 16 permit 172.16.7.0 0.0.0.255
che e` quanto di piu`classico e che funziona, pero' e` lento e la
lentezza si nota
per lo piu' nella navigazione web:
pagine caricate quasi istantaneamente configurando sul pc un indirizzo
pubblico
ci mettono piu`di un minuto a caricarsi configurando sullo stesso pc
un indirizzo
172.16.x.x soggetto a NAT.
Ora, il router non mi sembra eccessivamente caricato.
show proc cpu
mostra un carico minore del 3-4%.
Escluderei che il problema si trovi dal lato wan, (155 Mbit/s). Non
e`colpa delle ACL
perche' eliminandole non cambia nulla.
Non dovrebbero problemi dal lato LAN, perche' se cosi' fosse, anche il
pc con l'indirizzo
pubblico, non dovrebbe correre.
Avete qualche idea o suggerimento? grazie.
erny
Ciao
fai :
R1#sh ip nat translations
Ciao
nospam wrote:
> Ciao a tutti,
> su un cisco 7604 che usa IOS Version 12.2(18)SXF5, RELEASE
> SOFTWARE (fc3)
> ho la seguente configurazione di nat:
> interface ATM3/0/1.102 point-to-point
> ....
> ip nat outside
> ....
> interface GigabitEthernet1/2
> ....
> ip nat inside
> ....
> ip nat pool terzo 192.135.27.2 192.135.27.128 netmask 255.255.255.0
> ip nat pool second 192.135.27.235 192.135.27.254 netmask 255.255.255.0
> ip nat inside source list 13 pool terzo
> ip nat inside source list 16 pool second
> access-list 13 permit 172.16.10.0 0.0.1.255
> access-list 16 permit 172.16.7.0 0.0.0.255
> che e` quanto di piu`classico e che funziona, pero' e` lento e la
> lentezza si nota
> per lo piu' nella navigazione web:
> pagine caricate quasi istantaneamente configurando sul pc un indirizzo
> pubblico
> ci mettono piu`di un minuto a caricarsi configurando sullo stesso pc
> un indirizzo
> 172.16.x.x soggetto a NAT.
> Ora, il router non mi sembra eccessivamente caricato.
> show proc cpu
> mostra un carico minore del 3-4%.
> Escluderei che il problema si trovi dal lato wan, (155 Mbit/s). Non
> e`colpa delle ACL
> perche' eliminandole non cambia nulla.
> Non dovrebbero problemi dal lato LAN, perche' se cosi' fosse, anche il
> pc con l'indirizzo
> pubblico, non dovrebbe correre.
> Avete qualche idea o suggerimento? grazie.
-------------------------------------------------------
Messaggio inviato da http://www.sandlab.org/newsgroup/
Accesso gratuito via web ai Newsgroup
nospam
> Ciao
>
> fai :
> R1#sh ip nat translations
>
> Ciao
>
#sho ip nat stat
Total active translations: 60 (3 static, 57 dynamic; 22 extended)
Outside interfaces:
ATM3/0/0.1, ATM3/0/1.102
Inside interfaces:
GigabitEthernet1/2
Hits: 41212301 Misses: 13903
Expired translations: 39014
Dynamic mappings:
-- Inside Source
[Id: 2] access-list 13 pool terzo refcount 44
pool terzo: netmask 255.255.255.0
start 192.135.27.2 end 192.135.27.128
type generic, total addresses 127, allocated 26 (20%), misses
0
[Id: 3] access-list 16 pool second refcount 13
pool second: netmask 255.255.255.0
start 192.135.27.235 end 192.135.27.254
type generic, total addresses 20, allocated 10 (50%), misses 0
e con questo:
#sho ip nat trans
Pro Inside global Inside local Outside local Outside
global
tcp 192.84.135.153:80 172.16.4.172:80 --- ---
tcp 192.135.27.2:1720 172.16.11.142:1720 217.93.234.160:4661
217.93.234.160:4661
tcp 192.135.27.69:1720 172.16.11.174:1720 84.75.145.139:22577
84.75.145.139:22577
tcp 192.135.27.69:1720 172.16.11.174:1720 61.224.205.232:23184
61.224.205.232:23184
tcp 192.135.27.2:1720 172.16.11.142:1720 84.102.119.16:31642
84.102.119.16:31642
tcp 192.135.27.253:7000 172.16.7.23:7000 87.18.108.8:1720
87.18.108.8:1720
tcp 192.135.27.69:1720 172.16.11.174:1720 87.10.227.169:11397
87.10.227.169:11397
tcp 192.135.27.82:21 172.16.11.212:21 163.17.8.217:33490
163.17.8.217:33490
tcp 192.135.27.2:1720 172.16.11.142:1720 87.1.183.214:6579
87.1.183.214:6579
tcp 192.135.27.2:1720 172.16.11.142:1720 60.38.185.75:54132
60.38.185.75:54132
--- 192.135.27.2 172.16.11.142 --- ---
--- 192.135.27.13 172.16.11.72 --- ---
--- 192.135.27.68 172.16.10.206 --- ---
tcp 192.135.27.2:1762 172.16.11.142:1762 88.23.65.52:21
88.23.65.52:21
--- 192.135.27.69 172.16.11.174 --- ---
tcp 192.135.27.69:1720 172.16.11.174:1720 87.11.15.94:15071
87.11.15.94:15071
--- 192.135.27.73 172.16.10.252 --- ---
--- 192.135.27.74 172.16.10.146 --- ---
--- 192.135.27.75 172.16.11.120 --- ---
--- 192.135.27.76 172.16.10.128 --- ---
--- 192.135.27.77 172.16.11.159 --- ---
--- 192.135.27.80 172.16.11.66 --- ---
--- 192.135.27.81 172.16.11.36 --- ---
--- 192.135.27.82 172.16.11.212 --- ---
--- 192.135.27.84 172.16.10.171 --- ---
--- 192.135.27.85 172.16.11.186 --- ---
--- 192.135.27.86 172.16.11.205 --- ---
--- 192.135.27.87 172.16.10.89 --- ---
--- 192.135.27.88 172.16.10.230 --- ---
--- 192.135.27.89 172.16.11.214 --- ---
--- 192.135.27.90 172.16.11.117 --- ---
--- 192.135.27.92 172.16.11.151 --- ---
--- 192.135.27.93 172.16.11.114 --- ---
--- 192.135.27.94 172.16.11.75 --- ---
--- 192.135.27.95 172.16.11.147 --- ---
--- 192.135.27.104 172.16.11.71 --- ---
--- 192.135.27.105 172.16.10.73 --- ---
tcp 192.135.27.253:7000 172.16.7.23:7000 84.220.248.199:1720
84.220.248.199:1720
tcp 192.135.27.2:1720 172.16.11.142:1720 84.79.186.143:9000
84.79.186.143:9000
--- 192.135.27.233 172.16.4.222 --- ---
--- 192.135.27.234 172.16.4.223 --- ---
--- 192.135.27.245 172.16.7.5 --- ---
--- 192.135.27.246 172.16.7.14 --- ---
--- 192.135.27.248 172.16.7.11 --- ---
--- 192.135.27.249 172.16.7.19 --- ---
--- 192.135.27.250 172.16.7.4 --- ---
--- 192.135.27.251 172.16.7.16 --- ---
--- 192.135.27.252 172.16.7.22 --- ---
--- 192.135.27.253 172.16.7.23 --- ---
--- 192.135.27.254 172.16.7.6 --- ---
tcp 192.135.27.88:1720 172.16.10.230:1720 201.57.3.182:36156
201.57.3.182:36156
tcp 192.135.27.69:1720 172.16.11.174:1720 87.9.3.52:55333
87.9.3.52:55333
tcp 192.135.27.88:1720 172.16.10.230:1720 201.57.3.233:36156
201.57.3.233:36156
tcp 192.135.27.253:7000 172.16.7.23:7000 87.17.127.89:1720
87.17.127.89:1720
tcp 192.135.27.2:1720 172.16.11.142:1720 84.122.115.128:17289
84.122.115.128:17289
tcp 192.135.27.2:1720 172.16.11.142:1720 12.207.5.95:61864
12.207.5.95:61864
tcp 192.135.27.2:2000 172.16.11.142:2000 82.239.201.6:40810
82.239.201.6:40810
tcp 192.135.27.69:1720 172.16.11.174:1720 213.155.218.22:40259
213.155.218.22:40259
non mi suggerisce molto di piu'.....
che ne pensate?
erny
cosa pensi tu?
tu che dici? , le diamo una pulitina a quella tabella ?
Nota: La tabella di NAt translation e limitata in capacita , se è piena
non fa piu le dinamic translation e succede quello hai sul Pc.
Nel router hai diversi comandi da utilizare , dai una guardata :
R3(config)#ip nat translation ?
R3(config)#ip nat translation ?
dns-timeout Specify timeout for NAT DNS flows
finrst-timeout Specify timeout for NAT TCP flows after a FIN or
RST
icmp-timeout Specify timeout for NAT ICMP flows
max-entries Specify maximum number of NAT entries
port-timeout Specify timeout for NAT TCP/UDP port specific
flows
pptp-timeout Specify timeout for NAT PPTP flows
routemap-entry-timeout Specify timeout for routemap created half entry
syn-timeout Specify timeout for NAT TCP flows after a SYN
and no
further data
tcp-timeout Specify timeout for NAT TCP flows
timeout Specify timeout for dynamic NAT translations
udp-timeout Specify timeout for NAT UDP flows
prova ad impostare il timeout , syn-timeout
per ogni dubbio sul comando cerca su www.cisco.com
Ciao
nospam wrote:
nospam
> Ciao,
> cosa pensi tu?
> tu che dici? , le diamo una pulitina a quella tabella ?
> Nota: La tabella di NAt translation e limitata in capacita , se è piena
> non fa piu le dinamic translation e succede quello hai sul Pc.
>
> Nel router hai diversi comandi da utilizare , dai una guardata :
ne penso che non e`quello. Per vari motivi:
a) sia dopo un comando: clear ip nat trans * che dopo un riavvio
del router
non va meglio di prima;
b) una lista come quella potrebbe forse, impensierire un routerino
domestico,
ma una macchina di quella classe con 1 Gbyte di ram che non debba
reg-
gere una trentina di translation non lo posso credere;
c) un tcp-timeout a 900 sec gia` e`configurato.
Una trentina di translation attive, inoltre, non mi sembramo molte una
volta rap-
portate al numero di indirizzi interni attivi ( da 200 a 300 ) che
potrebbero voler
accedere al NAT.
Le dimensioni di default della tabella di nat translation fossero
veramente trop-
po piccole per il mio contesto (a proposito, quali sono? ) si porrebbe
semmai
il problema di estenderla (come?).
Ciao
erny
per la fretta non ho visto il hostname,
per che non fai overload sul nat translate ?
ciao.
nospam wrote:
> On 29 Gen, 10:40, ernes...@tiscali.it (erny) wrote:
> > Ciao,
> > cosa pensi tu?
> > tu che dici? , le diamo una pulitina a quella tabella ?
> > Nota: La tabella di NAt translation e limitata in capacita , se č piena
> > non fa piu le dinamic translation e succede quello hai sul Pc.
> >
> > Nel router hai diversi comandi da utilizare , dai una guardata :
> ne penso che non e`quello. Per vari motivi:
> a) sia dopo un comando: clear ip nat trans * che dopo un riavvio
> del router
> non va meglio di prima;
> b) una lista come quella potrebbe forse, impensierire un routerino
> domestico,
> ma una macchina di quella classe con 1 Gbyte di ram che non debba
> reg-
> gere una trentina di translation non lo posso credere;
> c) un tcp-timeout a 900 sec gia` e`configurato.
> Una trentina di translation attive, inoltre, non mi sembramo molte una
> volta rap-
> portate al numero di indirizzi interni attivi ( da 200 a 300 ) che
> potrebbero voler
> accedere al NAT.
> Le dimensioni di default della tabella di nat translation fossero
> veramente trop-
> po piccole per il mio contesto (a proposito, quali sono? ) si porrebbe
> semmai
> il problema di estenderla (come?).
> Ciao
erny
nel pool TERZO esistono 500 ip clinet per un pool di 126 indirizzi,
nel SECONDO esistono 255 ip client per un pool di solo 19 indirizzi,
ho fai overload , o lo fai simmetrico.
ciao
nospam wrote:
> Ciao a tutti,
> su un cisco 7604 che usa IOS Version 12.2(18)SXF5, RELEASE
> SOFTWARE (fc3)
> ho la seguente configurazione di nat:
> interface ATM3/0/1.102 point-to-point
> ....
> ip nat outside
> ....
> interface GigabitEthernet1/2
> ....
> ip nat inside
> ....
> ip nat pool terzo 192.135.27.2 192.135.27.128 netmask 255.255.255.0
> ip nat pool second 192.135.27.235 192.135.27.254 netmask 255.255.255.0
> ip nat inside source list 13 pool terzo
> ip nat inside source list 16 pool second
> access-list 13 permit 172.16.10.0 0.0.1.255
> access-list 16 permit 172.16.7.0 0.0.0.255
> che e` quanto di piu`classico e che funziona, pero' e` lento e la
> lentezza si nota
> per lo piu' nella navigazione web:
> pagine caricate quasi istantaneamente configurando sul pc un indirizzo
> pubblico
> ci mettono piu`di un minuto a caricarsi configurando sullo stesso pc
> un indirizzo
> 172.16.x.x soggetto a NAT.
> Ora, il router non mi sembra eccessivamente caricato.
> show proc cpu
> mostra un carico minore del 3-4%.
> Escluderei che il problema si trovi dal lato wan, (155 Mbit/s). Non
> e`colpa delle ACL
> perche' eliminandole non cambia nulla.
> Non dovrebbero problemi dal lato LAN, perche' se cosi' fosse, anche il
> pc con l'indirizzo
> pubblico, non dovrebbe correre.
> Avete qualche idea o suggerimento? grazie.
nospam
> ciao.
> nel pool TERZO esistono 500 ip clinet per un pool di 126 indirizzi,
> nel SECONDO esistono 255 ip client per un pool di solo 19 indirizzi,
>
> ho fai overload , o lo fai simmetrico.
>
modifiche
circa un anno fa. Credo che il precedente netmanager non l'abbia
implementato
perche' il cisco ios che avevamo (su un router piu' vecchio) non
consentiva facilmen-
te di loggare le translation (che sono vitali per rintracciare
l'utente che ha fatto qual-
che marachella). Prima magari vorrei veder funzionare il nat 1 a 1,
perche' se non va
bene questo non saprei come potrebbe andare pure quello con overload.
Il pool "secondo" sembra sbilanciato, ma in realta' gli indirizzi
locali assegnati in
172.16.7.* che pescano in quel pool sono cosi' pochi da risultare, in
pratica, in una
utilizzazione di circa il 55%, tanto quanto avviene nel pool
"terzo".
Da ieri sono in contatto con un "supporto". Mi ha detto di provare il
comando:
ip tcp adjust-mss 1300
da mettere sulla GigabitEthernet. Ci ho provato ma il cisco ios lo
schifa:
7604_garr-gw-gs#conf t
Enter configuration commands, one per line. End with CNTL/Z.
7604_garr-gw-gs(config)#interface GigabitEthernet1/2
7604_garr-gw-gs(config-if)#ip tcp adjust-mss 1300
^
% Invalid input detected at '^' marker.
7604_garr-gw-gs(config-if)#^Z
Per chi mi legge senza usare un font monospaziato, Il marker punta
alla parola adjust-mss.
Vediamo cosa il supporto mi risponde domani...
ciao.
nospam
- la versione di cisco ios e`stata aggiornata alla 12.2(18) da SXF5
a SXF7
- i problemi con la navigazione web da indirizzi soggetti a nat
ancora persistono, pero' sembra
che ci sia un problema "di latenza" ovvero se si scaricasse un
singolo grosso file il problema
non sarebbe quasi percepibile, invece quando si devono scaricare
molti file piccoli circa 3
secondi in totale per file ( benche', a detta di wget lo
scaricamento effettivo avvenga, in genere, a +
di 1 MB/s) per dieci-20 file/pagina spiega quel minuto per il
caricamento totale.
Non si capisce ancora come vengano fuori quei 3 secondi totali per
file...
ciao a tutti.
max.r...@gmail.com
Mi pare di ricordare che quando si stabilivano le connessioni tcp, in qualche modo l'ios si perdeva il primo ack e si doveva attendere un timeout per ritentare la connessione e quello era ciò che rallentava il nat.
La soluzione, allora, fu quella di cambiare proprio il treno di ios, non mi ricordo la prima versione che risolse il problema, attualmente quel 7604 usa la 122-33.SRD6 e funziona.